Безопасность кластеров и приложений

Ознакомьтесь с основами безопасности Kubernetes и рекомендациями по безопасной настройке кластеров и приложений. Безопасность Kubernetes важна в течение всего жизненного цикла контейнеров из-за распределенной, динамической природы кластера Kubernetes. Приложение безопасно лишь настолько, насколько безопасно самое слабое звено в цепочке служб, образующих приложение.

Планирование, обучение и подтверждение

Когда вы приступите к работе, контрольный список по основам безопасности и ресурсы по безопасности Kubernetes, приведенные ниже, помогут вам спланировать операции в кластере и безопасность приложений. В конце этого раздела вы сможете ответить на следующие вопросы:

Контрольный список безопасности:

• Ознакомьтесь с документом об основах безопасности. Основными целями безопасной среды Kubernetes являются обеспечение безопасности выполняемых приложений, быстрое выявление и решение проблем с безопасностью, а также предотвращение аналогичных проблем в будущем. Дополнительные сведения см. в документе The Definitive Guide to Securing Kubernetes.

• Проверьте конфигурацию безопасности узлов кластера. Усиление защиты ОС узла сокращает контактную зону атаки и позволяет безопасно развертывать контейнеры. Дополнительные сведения см. в статье Усиление безопасности на узлах виртуальных машин AKS.

• Настройте управление доступом на основе ролей Kubernetes (Kubernetes RBAC). Этот механизм управления позволяет назначить пользователям или группам пользователей разрешение на выполнение каких-либо действий. Это может быть создание или изменение ресурсов, просмотр журналов выполнения рабочих нагрузок приложений и т. п.

  Дополнительные сведения доступны здесь.

  • Основные сведения об управлении доступом на основе ролей Kubernetes (Kubernetes RBAC) (видео)
    
  • Интеграция идентификатора Microsoft Entra с Служба Azure Kubernetes
    
  • Ограничение доступа к файлу конфигурации кластера

Развертывание в рабочей среде и применение рекомендаций по обеспечению безопасности Kubernetes

При подготовке приложения для рабочей среды выполните минимальный набор рекомендаций. Используйте на этом этапе следующий контрольный список. В конце этого раздела вы сможете ответить на следующие вопросы:

Контрольный список безопасности:

• Управляйте доступом к кластерам с помощью членства в группах. Настройте управление доступом на основе ролей Kubernetes (Kubernetes RBAC), чтобы ограничить доступ к ресурсам кластера на основе удостоверения пользователя или членства в группе. Дополнительные сведения см. в разделе "Управление доступом к ресурсам кластера" с помощью RBAC Kubernetes и удостоверений Microsoft Entra.

• Создайте политику управления секретами. Развертывайте конфиденциальные сведения, такие как пароли и сертификаты, безопасным образом и управляйте ими с помощью системы управления секретами в Kubernetes. Чтобы получить дополнительные сведения, просмотрите видео Основные сведения об управлении секретами в Kubernetes.

• Защитите сетевой трафик внутри модуля pod с помощью политик сети. Примените принцип наименьших привилегий для управления потоком сетевого трафика между модулями pod в кластере. Дополнительные сведения см. в статье Защита трафика внутри модуля pod с помощью политик сети.

• Ограничьте доступ к серверу API с помощью авторизованных IP-адресов. Повысьте безопасность кластера и сократите уязвимую зону, ограничив доступ к серверу API ограниченным набором диапазонов IP-адресов. Дополнительные сведения см. в статье Безопасный доступ к серверу API.

• Ограничьте исходящий трафик кластера. Узнайте, какие порты и адреса нужно разрешить при ограничении исходящего трафика для кластера. Для защиты исходящего трафика и настройки исключений для обязательных портов и адресов вы можете использовать Брандмауэр Azure или средства сторонних производителей. Дополнительные сведения см. в статье Управление исходящим трафиком для узлов кластера в AKS.

• Защитите трафик с помощью Брандмауэра веб-приложений (WAF). Используйте Шлюз приложений Azure в качестве контроллера объекта ingress для кластеров Kubernetes. Дополнительные сведения см. в статье Настройка Шлюза приложений Azure в качестве контроллера объекта ingress.

• Примените обновления системы безопасности и ядра к рабочим узлам. Ознакомьтесь со сведениями об обновлении узлов AKS. Для защиты кластеров обновления безопасности автоматически применяются к их узлам Linux в службе AKS. Учитываются такие обновления, как исправления безопасности для операционной системы и обновления ядра. Чтобы завершить установку некоторых обновлений, нужно перезагрузить узел. Дополнительные сведения см. в статье Использование kured для автоматической перезагрузки узлов с целью применения обновлений.

• Настройте решение для сканирования контейнеров и кластеров. Проверяйте контейнеры, переданные в Реестр контейнеров Azure, и получайте более глубокое представление об узлах кластера, облачном трафике и средствах управления безопасностью.

  Дополнительные сведения см. в разделе:

  • Интеграция Реестра контейнеров Azure с Defender для облака
    
  • Интеграция Службы Azure Kubernetes с Defender для облака

Оптимизация и масштабирование

Как после развертывания приложения в рабочей среде можно оптимизировать рабочий процесс и подготовить приложение и команду к масштабированию? Для подготовки используйте контрольный список для оптимизации и масштабирования. В конце этого раздела вы сможете ответить на следующий вопрос:

Контрольный список безопасности:

• Примените политики управления кластерами. Централизованно назначайте согласованные правила и меры безопасности для кластеров в нужном масштабе. Дополнительные сведения см. в статье Управление развертываниями с помощью Политики Azure.

• Периодически сменяйте сертификаты кластера. Kubernetes использует сертификаты для проверки подлинности множества своих компонентов. Может потребоваться периодическая смена этих сертификатов по соображениям безопасности или в соответствии с требованиями политики. Дополнительные сведения см. в статье Ротация сертификатов в Службе Azure Kubernetes (AKS).