Osvědčené postupy pro správu a zabezpečení imagí kontejnerů v Azure Kubernetes Service (AKS)

Zabezpečení imagí kontejnerů a imagí kontejnerů je při vývoji a spouštění aplikací v Azure Kubernetes Service (AKS) hlavní prioritou. Kontejnery se zastaralými základními imagemi nebo neopravenými moduly runtime aplikací představují bezpečnostní rizika a možné vektory útoku. Tato rizika můžete minimalizovat integrací a spuštěním nástrojů pro kontrolu a nápravu v kontejnerech při sestavování a za běhu. Čím dříve chybu zabezpečení nebo zastaralou základní image zachytíte, tím bezpečnější je vaše aplikace.

V tomto článku se "kontejnery" označují jak image kontejneru uložené v registru kontejneru, tak i spuštěné kontejnery.

Tento článek se zaměřuje na zabezpečení kontejnerů v AKS. Získáte informace o těchto tématech:

• Zkontrolujte a opravte ohrožení zabezpečení imagí.
• Automaticky aktivovat a znovu nasadit image kontejneru při aktualizaci základní image.

• Můžete si přečíst osvědčené postupy pro zabezpečení clusterů a podů.
• Zabezpečení kontejnerů v Defenderu pro cloud můžete použít ke kontrole ohrožení zabezpečení kontejnerů. Azure Container Registry integrace s Defenderem pro cloud pomáhá chránit image a registr před ohroženími zabezpečení.

Zabezpečení imagí a modulu runtime

Pokyny k osvědčeným postupům

• Zkontrolujte ohrožení zabezpečení v imagích kontejnerů.
• Nasazujte pouze ověřené image.
• Pravidelně aktualizujte základní image a modul runtime aplikací.
• Opětovné nasazení úloh v clusteru AKS

Při osvojování úloh založených na kontejnerech chcete ověřit zabezpečení imagí a modulu runtime, které se používají k vytváření vlastních aplikací. Pokud chcete zabránit tomu, aby vaše nasazení zaváděla ohrožení zabezpečení, můžete použít následující osvědčené postupy:

• Do pracovního postupu nasazení zahrňte proces kontroly imagí kontejnerů pomocí nástrojů, jako je Twistlock nebo Aqua.
• Povolte nasazení jenom ověřených imagí.

Můžete například použít kanál kontinuální integrace a průběžného nasazování (CI/CD) k automatizaci kontrol, ověřování a nasazení imagí. Azure Container Registry zahrnuje tyto možnosti kontroly ohrožení zabezpečení.

Automatické sestavování nových imagí při aktualizaci základní image

Pokyny k osvědčeným postupům

Při používání základních imagí pro image aplikací používejte automatizaci k vytváření nových imagí při aktualizaci základní image. Vzhledem k tomu, že aktualizované základní image obvykle obsahují opravy zabezpečení, aktualizujte všechny image kontejneru podřízených aplikací.

Při každé aktualizaci základní image byste také měli aktualizovat všechny podřízené image kontejneru. Integrujte tento proces sestavení do ověřovacích kanálů a kanálů nasazení, jako jsou Azure Pipelines nebo Jenkins. Tyto kanály zajišťují, že vaše aplikace budou dál běžet na aktualizovaných imagích. Po ověření imagí kontejnerů aplikací pak můžete aktualizovat nasazení AKS tak, aby spouštěla nejnovější zabezpečené image.

Azure Container Registry Úkoly také můžou automaticky aktualizovat image kontejneru při aktualizaci základní image. Pomocí této funkce vytvoříte několik základních imagí a aktualizujete je o opravy chyb a zabezpečení.

Další informace o aktualizacích základních imagí najdete v tématu Automatizace sestavení imagí při aktualizaci základní image pomocí úloh Azure Container Registry.

Další kroky

Tento článek se zaměřil na to, jak zabezpečit kontejnery. Pokud chcete některé z těchto oblastí implementovat, přečtěte si následující článek:

• Automatizace sestavení imagí na základě aktualizace základní image pomocí Azure Container Registry Tasks