Keamanan kluster dan aplikasi

Biasakan diri Anda dengan esensi keamanan Kubernetes dan tinjau pengaturan aman untuk kluster dan panduan keamanan aplikasi. Keamanan Kubernetes penting di seluruh siklus hidup kontainer karena sifat kluster Kubernetes yang terdistribusi dan dinamis. Aplikasi hanya seaman link terlemah dalam rantai layanan yang terdiri dari keamanan aplikasi.

Merencanakan, melatih, dan membuktikan

Saat Anda memulai, daftar periksa esensi keamanan dan sumber daya keamanan Kubernetes di bawah ini akan membantu Anda merencanakan operasi kluster dan keamanan aplikasi. Pada akhir bagian ini, Anda akan dapat menjawab pertanyaan-pertanyaan ini:

Daftar periksa keamanan:

• Biasakan diri Anda dengan dokumen resmi esensi keamanan. Tujuan utama dari lingkungan Kubernetes yang aman adalah memastikan bahwa aplikasi yang dijalankannya dilindungi, masalah keamanan dapat diidentifikasi dan ditangani dengan cepat, dan masalah serupa di masa depan akan dapat dicegah. Untuk informasi lebih lanjut, lihat The Definitive Guide to Securing Kubernetes (dokumen resmi).

• Tinjau pengaturan peningkatan keamanan untuk node kluster. OS host dengan keamanan yang ditingkatkan akan mengurangi luas permukaan serangan dan memungkinkan penyebaran kontainer dengan aman. Untuk mempelajari lebih lanjut, lihat Peningkatan keamanan di host mesin virtual AKS.

• Menyiapkan kontrol akses berbasis peran kluster Kubernetes (Kubernetes RBAC). Mekanisme kontrol ini memungkinkan Anda menetapkan pengguna, atau kelompok pengguna, izin untuk melakukan hal-hal seperti membuat atau memodifikasi sumber daya, atau melihat log dari menjalankan beban kerja aplikasi.

  Untuk informasi selengkapnya, lihat

  • Memahami kontrol akses berbasis peran Kubernetes (Kubernetes RBAC) (video)
    
  • Mengintegrasikan ID Microsoft Entra dengan Azure Kubernetes Service
    
  • Membatasi akses ke file konfigurasi kluster

Menyebarkan ke produksi dan menerapkan praktik terbaik keamanan Kubernetes

Saat Anda mempersiapkan aplikasi untuk produksi, terapkan serangkaian praktik terbaik minimum. Gunakan daftar periksa ini pada tahap ini. Pada akhir bagian ini, Anda akan dapat menjawab pertanyaan-pertanyaan ini:

Daftar periksa keamanan:

• Kontrol akses ke kluster menggunakan keanggotaan grup. Konfigurasikan kontrol akses berbasis peran Kubernetes (Kubernetes RBAC) untuk membatasi akses ke sumber daya kluster berdasarkan identitas pengguna atau keanggotaan grup. Untuk informasi selengkapnya, lihat Mengontrol akses ke sumber daya kluster menggunakan Kubernetes RBAC dan identitas Microsoft Entra.

• Membuat kebijakan manajemen rahasia. Menyebarkan dan mengelola informasi sensitif dengan aman, seperti kata sandi dan sertifikat, menggunakan manajemen rahasia di Kubernetes. Untuk informasi selengkapnya, lihat Memahami manajemen rahasia di Kubernetes (video).

• Amankan lalu lintas jaringan intra-pod dengan kebijakan jaringan. Terapkan prinsip hak istimewa paling sedikit untuk mengontrol arus lalu lintas jaringan antara pod dalam kluster. Untuk informasi selengkapnya, lihat Mengamankan lalu lintas intra-pod dengan kebijakan jaringan.

• Batasi akses ke server API menggunakan IP resmi. Meningkatkan keamanan kluster dan meminimalkan permukaan serangan dengan membatasi akses ke server API menjadi satu set terbatas rentang alamat IP. Untuk informasi selengkapnya, lihat Mengamankan akses ke server API.

• Membatasi lalu lintas keluar kluster. Pelajari port dan alamat apa yang diizinkan jika Anda membatasi lalu lintas keluar kluster. Anda dapat menggunakan Azure Firewall atau alat firewall pihak ketiga untuk mengamankan lalu lintas keluar Anda dan menentukan port dan alamat yang diperlukan ini. Untuk mempelajari selengkapnya, lihat Mengontrol lalu lintas keluar node kluster di AKS.

• Mengamankan lalu lintas dengan Web Application Firewall (WAF). Gunakan Azure Application Gateway sebagai pengontrol masuk kluster Kubernetes. Untuk informasi selengkapnya, lihat Mengonfigurasi Azure Application Gateway sebagai pengontrol masuk.

• Menerapkan pembaruan keamanan dan kernel ke node pekerja. Memahami pengalaman pembaruan node AKS. Untuk melindungi kluster Anda, pembaruan keamanan secara otomatis diterapkan ke simpul Linux di AKS. Pembaruan ini mencakup perbaikan keamanan OS atau pembaruan kernel. Beberapa pembaruan memerlukan reboot simpul untuk menyelesaikan proses. Untuk mempelajari selengkapnya, lihat Menggunakan kured untuk memulai ulang node secara otomatis untuk menerapkan pembaruan.

• Mengonfigurasikan solusi pemindaian kontainer dan kluster. Pindai kontainer yang didorong ke Azure Container Registry dan dapatkan visibilitas yang lebih dalam ke node kluster, lalu lintas cloud, dan kontrol keamanan Anda.

  Untuk informasi selengkapnya, lihat:

  • Integrasi Azure Container Registry dengan Defender untuk Cloud
    
  • Integrasi Azure Kubernetes Service dengan Defender untuk Cloud

Optimalkan dan skalakan

Sekarang aplikasi sedang dalam produksi, bagaimana Anda bisa mengoptimalkan alur kerja Anda dan menyiapkan aplikasi dan tim Anda untuk penskalaan? Gunakan daftar periksa pengoptimalan dan penskalaan untuk mempersiapkannya. Pada akhir bagian ini, Anda akan dapat menjawab pertanyaan-pertanyaan ini:

Daftar periksa keamanan:

• Menegakkan kebijakan tata kelola kluster. Terapkan penegakan dan pengamanan dalam skala besar pada kluster Anda secara terpusat dan konsisten. Untuk mempelajari selengkapnya, lihat Mengontrol penyebaran dengan Azure Policy.

• Merotasikan sertifikat cluster secara berkala. Kubernetes menggunakan sertifikat untuk autentikasi dengan banyak komponennya. Anda mungkin ingin merotasi sertifikat tersebut secara berkala untuk alasan keamanan atau kebijakan. Untuk mempelajari selengkapnya, lihat Merotasikan sertifikat di Azure Kubernetes Service (AKS).