Küme ve uygulama güvenliği
Kubernetes güvenlik temelleri hakkında bilgi edinin ve kümeler için güvenli kurulumu ve uygulama güvenliği kılavuzunu gözden geçirin. Kubernetes kümesinin dağıtılmış, dinamik yapısı nedeniyle kapsayıcı yaşam döngüsü boyunca Kubernetes güvenliği önemlidir. Uygulamalar yalnızca uygulamanın güvenliğini oluşturan hizmet zincirindeki en zayıf bağlantı kadar güvenlidir.
Planlama, eğitma ve kanıt
Başlarken, aşağıdaki güvenlik temel öğeleri denetim listesi ve Kubernetes güvenlik kaynakları küme işlemlerini ve uygulama güvenliğini planlamanıza yardımcı olacaktır. Bu bölümün sonunda şu soruları yanıtlayabileceksiniz:
- Kubernetes kümelerinin güvenlik ve tehdit modelini gözden geçirdiniz mi?
- Kümeniz Kubernetes rol tabanlı erişim denetimi için etkinleştirildi mi?
Güvenlik denetim listesi:
Güvenlikle ilgili temel bilgiler teknik incelemesi hakkında bilgi sahibi olun. Güvenli bir Kubernetes ortamının birincil hedefleri, çalıştırıldığı uygulamaların korunmasını, güvenlik sorunlarının hızla tanımlanıp giderilebileceğini ve gelecekte benzer sorunların engellenmesini sağlamaktır. Daha fazla bilgi için bkz
The Definitive Guide to Securing Kubernetes
. (teknik inceleme).Küme düğümleri için güvenlik sağlamlaştırma kurulumunu gözden geçirin. Güvenliği sağlamlaştırılmış konak işletim sistemi, saldırının yüzey alanını azaltır ve kapsayıcıların güvenli bir şekilde dağıtılmasına olanak tanır. Daha fazla bilgi edinmek için bkz . AKS sanal makine konaklarında güvenlik sağlamlaştırma.
Küme Kubernetes rol tabanlı erişim denetimi (Kubernetes RBAC) kurulumu. Bu denetim mekanizması, kullanıcılara veya kullanıcı gruplarına kaynak oluşturma veya değiştirme ya da çalışan uygulama iş yüklerinden günlükleri görüntüleme izni atamanızı sağlar.
Daha fazla bilgi için bu sayfayı inceleyin
Üretime dağıtma ve Kubernetes güvenlik en iyi yöntemlerini uygulama
Uygulamayı üretime hazırlarken, en iyi yöntemlerin en düşük kümesini uygulayın. Bu aşamada bu denetim listesini kullanın. Bu bölümün sonunda şu soruları yanıtlayabileceksiniz:
- Giriş, çıkış ve pod içi iletişim için ağ güvenlik kuralları ayarladınız mı?
- Kümeniz düğüm güvenlik güncelleştirmelerini otomatik olarak uygulamak için ayarlandı mı?
- Kümeniz ve kapsayıcı hizmetleriniz için bir güvenlik tarama çözümü mü çalıştırıyorsunuz?
Güvenlik denetim listesi:
Grup üyeliğini kullanarak kümelere erişimi denetleme. Kullanıcı kimliğine veya grup üyeliğine göre küme kaynaklarına erişimi sınırlamak için Kubernetes rol tabanlı erişim denetimini (Kubernetes RBAC) yapılandırın. Daha fazla bilgi için bkz . Kubernetes RBAC ve Microsoft Entra kimliklerini kullanarak küme kaynaklarına erişimi denetleme.
Gizli dizi yönetimi ilkesi oluşturma. Kubernetes'te gizli dizi yönetimini kullanarak parolalar ve sertifikalar gibi hassas bilgileri güvenli bir şekilde dağıtın ve yönetin. Daha fazla bilgi için bkz . Kubernetes'te gizli dizi yönetimini anlama (video).
Ağ ilkeleriyle pod içi ağ trafiğinin güvenliğini sağlayın. Kümedeki podlar arasındaki ağ trafiği akışını denetlemek için en az ayrıcalık ilkesini uygulayın. Daha fazla bilgi için bkz . Ağ ilkeleriyle pod içi trafiğin güvenliğini sağlama.
Yetkili IP'leri kullanarak API sunucusuna erişimi kısıtlayın. API sunucusuna erişimi sınırlı bir IP adresi aralığı kümesiyle sınırlayarak küme güvenliğini geliştirin ve saldırı yüzeyini en aza indirin. Daha fazla bilgi için bkz . API sunucusuna güvenli erişim.
Küme çıkış trafiğini kısıtlayın. Küme için çıkış trafiğini kısıtlarsanız hangi bağlantı noktalarına ve adreslere izin vereceğinizi öğrenin. Çıkış trafiğinizin güvenliğini sağlamak ve bu gerekli bağlantı noktalarını ve adresleri tanımlamak için Azure Güvenlik Duvarı veya üçüncü taraf güvenlik duvarı gereci kullanabilirsiniz. Daha fazla bilgi edinmek için bkz . AKS'de küme düğümleri için çıkış trafiğini denetleme.
Web Uygulaması Güvenlik Duvarı (WAF) ile trafiğin güvenliğini sağlama. kubernetes kümeleri için giriş denetleyicisi olarak Azure Uygulaması lication Gateway kullanın. Daha fazla bilgi için bkz. Azure Uygulaması lication Gateway'i giriş denetleyicisi olarak yapılandırma.
Çalışan düğümlerine güvenlik ve çekirdek güncelleştirmeleri uygulayın. AKS düğümü güncelleştirme deneyimini anlama. Kümelerinizi korumak için güvenlik güncelleştirmeleri AKS'deki Linux düğümlerine otomatik olarak uygulanır. Bu güncelleştirmeler işletim sistemi güvenlik düzeltmelerini veya çekirdek güncelleştirmelerini içerir. Bu güncelleştirmelerden bazıları, işlemi tamamlamak için düğümün yeniden başlatılmasını gerektirir. Daha fazla bilgi edinmek için bkz . Güncelleştirmeleri uygulamak üzere düğümleri otomatik olarak yeniden başlatmak için kured kullanma.
Bir kapsayıcı ve küme tarama çözümü yapılandırın. Azure Container Registry'ye gönderilen kapsayıcıları tarayın ve küme düğümleriniz, bulut trafiğiniz ve güvenlik denetimleriniz için daha derin görünürlük elde edin.
Daha fazla bilgi için bkz.
İyileştirme ve ölçeklendirme
Uygulama üretim aşamasında olduğuna göre iş akışınızı nasıl iyileştirip uygulamanızı ve ekibinizi ölçeklendirmeye nasıl hazırlayabilirsiniz? Hazırlanmak için iyileştirme ve ölçeklendirme denetim listesini kullanın. Bu bölümün sonunda şu soruyu yanıtlayabileceksiniz:
- İdare ve küme ilkelerini büyük ölçekte zorunlu kılabilir misiniz?
Güvenlik denetim listesi:
Küme idare ilkelerini zorunlu kılma. Kümelerinize merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar uygulayın. Daha fazla bilgi edinmek için bkz. Azure İlkesi ile dağıtımları denetleme.
Küme sertifikalarını düzenli aralıklarla döndürün. Kubernetes, birçok bileşeniyle kimlik doğrulaması için sertifikalar kullanır. Güvenlik veya ilke nedenleriyle bu sertifikaları düzenli aralıklarla döndürmek isteyebilirsiniz. Daha fazla bilgi edinmek için bkz . Azure Kubernetes Service'te (AKS) sertifikaları döndürme.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin