Поделиться через

Руководство по безопасности для Kubernetes с поддержкой Azure Arc и AKS, активированного с помощью Azure Arc.

Замечание

Это одна из книг из серии по безопасности, предлагающая рекомендации и лучшие практики для обеспечения безопасности платформ Microsoft. Другие книги по безопасности включают локальную книгу безопасности Azure, книгу безопасности Windows Server 2025 и книгу безопасности клиента Windows.

В вашей организации могут быть развернуты развертывания Kubernetes, которые включают кластеры, работающие на границе (локальные центры обработки данных, фабрики, магазины) или в нескольких облаках. Часто это проблема поддержания согласованной и масштабируемой безопасности в этих разнородных средах. Вы можете решить эту задачу и упростить рабочие процессы безопасности, управляя кластерами, управляемыми Microsoft, с помощью Службы Azure Kubernetes (AKS), поддерживаемой Azure Arc на периферийной инфраструктуре, например, Azure Local. Также можно подключить существующие периферийные кластеры, не относящиеся к Майкрософт, с помощью Kubernetes с поддержкой Azure Arc.

В этой книге объясняется, как эти продукты помогают поддерживать согласованную и масштабируемую безопасность, охватывая как инфраструктуру кластера, так и рабочие нагрузки приложений. Он советует защититься от нескольких векторов угроз в цепочке поставок, вредоносных внешних субъектов или внутренних атак. Он основывается на отраслевых рекомендациях, таких как следующие:

Он также соответствует следующим параметрам:

Если вы специалист по безопасности, эта книга проверяет все эти факторы и делает несколько рекомендаций. Если вы являетесь лидером или инженером с прямой ответственностью за разработку, развертывание или операции Kubernetes, он также указывает вам на подробные практические советы по действиям, которые вы можете предпринять.

Диаграмма, показывающая пять категорий проблем безопасности для периферийного Kubernetes.

Проблемы безопасности делятся на пять категорий:

  1. Обезопасьте платформу. Эта категория включает настройку кластера Kubernetes для более безопасной работы, а также выполнение того же действия для базовой операционной системы и аппаратной инфраструктуры по мере необходимости, используя все встроенные возможности.
  2. Защита рабочих нагрузок. Эта категория включает в себя создание контейнеров с большей безопасностью, в соответствии со стандартами безопасности Kubernetes и Linux. Здесь также описывается, как установить более безопасную проверку подлинности и авторизацию для запросов к другим службам внутри и за пределами кластеров.
  3. Обеспечьте безопасность операций. Эта категория включает управление тем, кто может развертывать эти кластеры. В этой статье описывается, как объединить систему Kubernetes кластера для проверки подлинности и авторизации с помощью Microsoft Entra и управления доступом на основе ролей Azure (Azure RBAC) в облаке. Он также описывает, как лучше защитить цепочку поставок программного обеспечения и применить стандарты для развертываний с помощью политик.
  4. Защита данных. Эта категория включает более высокую защиту доступа как к данным приложения рабочей нагрузки, так и к данным, которые Kubernetes хранит от вашего имени, особенно секреты, такие как пароли.
  5. Защита сети. Эта категория включает настройку дополнительной защиты в глубине, исходя из управления управлением и трафиком данных на уровне сети. В ней описывается, как ограничить источники, от которых могут получать кластеры и рабочие нагрузки, и к каким пунктам назначения они могут отправлять данные.

В этой книге приведены рекомендации по этим проблемам для кластеров Kubernetes с поддержкой Arc в целом и для AKS, включенных кластерами Azure Arc, в частности. Существует множество вариантов развертывания для AKS, которые предоставляются Azure Arc. В этой книге рассматривается вариант развертывания Azure Local 23H2 с опорой на функции безопасности Azure Local и книгу по безопасности. (Другие варианты развертывания предлагают некоторые, но не все те же преимущества.)

Дальнейшие шаги

  • Last updated on