Cluster- und AnwendungssicherheitCluster and application security
Machen Sie sich mit den Grundlagen der Kubernetes-Sicherheit vertraut, und sehen Sie sich die Anleitung zur sicheren Einrichtung der Cluster- und Anwendungssicherheit an.Familiarize yourself with Kubernetes security essentials and review the secure setup for clusters and application security guidance. Die Kubernetes-Sicherheit ist aufgrund der verteilten, dynamischen Natur eines Kubernetes-Clusters während des gesamten Lebenszyklus von Containern wichtig.Kubernetes security is important throughout the container lifecycle because of the distributed, dynamic nature of a Kubernetes cluster. Anwendungen sind nur so sicher wie das schwächste Glied in der Kette der Dienste, aus denen die Sicherheit der Anwendung besteht.Applications are only as secure as the weakest link in the chain of services that comprise the application's security.
Planen, Trainieren und PrüfenPlan, train, and proof
Die Prüfliste der Sicherheitsgrundlagen und die unten aufgeführten Kubernetes-Sicherheitsressourcen helfen Ihnen bei der Planung der Clustervorgänge und der Sicherheit von Anwendungen.As you get started, the security essentials checklist and Kubernetes security resources below will help you plan for cluster operations and application security. Am Ende dieses Abschnitts werden Sie in der Lage sein, die folgenden Fragen zu beantworten:By the end of this section, you'll be able to answer these questions:
- Haben Sie das Sicherheits- und Bedrohungsmodell von Kubernetes-Clustern überprüft?Have you reviewed the security and threat model of Kubernetes clusters?
- Ist für Ihren Cluster die rollenbasierte Zugriffssteuerung für Kubernetes aktiviert?Is your cluster enabled for Kubernetes role-based access control?
Prüfliste für die Sicherheit:Security checklist:
Vertrautmachen mit dem Whitepaper zu den Sicherheitsgrundlagen.Familiarize yourself with the security essentials white paper. Bei den Hauptzielen einer sicheren Kubernetes-Umgebung geht es um die Sicherstellung, dass die ausgeführten Anwendungen geschützt sind, dass die Sicherheitsprobleme schnell ermittelt und behoben werden können und dass ähnliche Probleme in Zukunft verhindert werden.The primary goals of a secure Kubernetes environment are ensuring that the applications it runs are protected, that security issues can be identified and addressed quickly, and that future similar issues will be prevented. Weitere Informationen finden Sie im Leitfaden für den Schutz von Kubernetes (Whitepaper).For more information, see The definitive guide to securing Kubernetes (white paper).
Informieren über die Einrichtung von gehärteten Clusterknoten aus Sicherheitsgründen:Review the security hardening setup for the cluster nodes. Mit einem aus Sicherheitsgründen gehärteten Hostbetriebssystem wird die Angriffsfläche reduziert und die sichere Bereitstellung von Containern ermöglicht.A security hardened host OS reduces the surface area of attack and allows deploying containers securely. Weitere Informationen finden Sie unter Sicherheitshärtung bei AKS-Hosts für virtuelle Computer.To learn more, see Security hardening in AKS virtual machine hosts.
Richten Sie die rollenbasierten Zugriffssteuerung für Kubernetes (Kubernetes Role-Based Access Control, Kubernetes RBAC) für den Cluster ein.Setup cluster Kubernetes role-based access control (Kubernetes RBAC). Mit diesem Steuerungsmechanismus können Sie Benutzern oder Benutzergruppen die Berechtigung für bestimmte Aktionen (z. B. Ressourcen erstellen bzw. ändern oder Protokolle zur Workload ausgeführter Anwendungen anzeigen) zuweisen.This control mechanism lets you assign users, or groups of users, permission to do things like create or modify resources, or view logs from running application workloads.
Weitere Informationen finden Sie unterFor more information, see
- Einführung in die rollenbasierte Zugriffssteuerung für Kubernetes (Kubernetes Role-Based Access Control, Kubernetes RBAC) (Video)Understand Kubernetes role-based access control (Kubernetes RBAC) (video)
- Integrieren von Azure Active Directory in Azure Kubernetes ServiceIntegrate Azure AD with Azure Kubernetes Service
- Definieren des Zugriffs auf die Kubernetes-Konfigurationsdatei in Azure Kubernetes Service (AKS) mithilfe der rollenbasierten Zugriffssteuerung von AzureLimit access to cluster configuration file
- Einführung in die rollenbasierte Zugriffssteuerung für Kubernetes (Kubernetes Role-Based Access Control, Kubernetes RBAC) (Video)Understand Kubernetes role-based access control (Kubernetes RBAC) (video)
Bereitstellen für die Produktionsumgebung und Anwenden bewährter Methoden für die Kubernetes-SicherheitDeploy to production and apply Kubernetes security best practices
Implementieren Sie beim Vorbereiten der Anwendung für die Produktionsumgebung einen Mindestsatz an bewährten Methoden.As you prepare the application for production, implement a minimum set of best practices. Verwenden Sie diese Prüfliste in dieser Phase.Use this checklist at this stage. Am Ende dieses Abschnitts werden Sie in der Lage sein, die folgenden Fragen zu beantworten:By the end of this section, you'll be able to answer these questions:
- Haben Sie Netzwerksicherheitsregeln für die eingehende, ausgehende und Pod-interne Kommunikation eingerichtet?Have you set up network security rules for ingress, egress, and intra-pod communication?
- Ist Ihr Cluster für die automatische Anwendung von Sicherheitsupdates für Knoten eingerichtet?Is your cluster set up to automatically apply node security updates?
- Führen Sie für Ihre Cluster- und Containerdienste eine Lösung für Sicherheitsüberprüfungen aus?Are you running a security scanning solution for your cluster and container services?
Prüfliste für die Sicherheit:Security checklist:
Steuern des Zugriffs auf Cluster per Gruppenmitgliedschaft:Control access to clusters using group membership. Konfigurieren Sie die rollenbasierte Zugriffssteuerung für Kubernetes (Kubernetes Role-Based Access Control, Kubernetes RBAC), um den Zugriff auf Clusterressourcen anhand der Benutzeridentität oder Gruppenmitgliedschaft zu beschränken.Configure Kubernetes role-based access control (Kubernetes RBAC) to limit access to cluster resources based on user identity or group membership. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Clusterressourcen mithilfe von Kubernetes RBAC und Azure AD-Identitäten.For more information, see Control access to cluster resources using Kubernetes RBAC and Azure AD identities.
Erstellen einer Richtlinie für die Geheimnisverwaltung:Create a secrets management policy. Verwenden Sie die Geheimnisverwaltung von Kubernetes, um sensible Informationen, z. B. Kennwörter und Zertifikate, sicher bereitzustellen und zu verwalten.Securely deploy and manage sensitive information, such as passwords and certificates, using secrets management in Kubernetes. Weitere Informationen finden Sie unter Grundlagen der Verwaltung von Geheimnissen in Kubernetes (Video).For more information, see Understand secrets management in Kubernetes (video).
Schützen des Netzwerkdatenverkehrs zwischen Pods mit Netzwerkrichtlinien:Secure intra-pod network traffic with network policies. Wenden Sie das Prinzip der geringsten Rechte an, um den Netzwerkdatenverkehr zwischen den Pods im Cluster zu steuern.Apply the principle of least privilege to control network traffic flow between pods in the cluster. Weitere Informationen finden Sie unter Sicherer Datenverkehr zwischen Pods durch Netzwerkrichtlinien in Azure Kubernetes Service (AKS).For more information, see Secure intra-pod traffic with network policies.
Einschränken des Zugriffs auf den API-Server mit autorisierten IP-Adressen:Restrict access to the API server using authorized IPs. Erhöhen Sie die Clustersicherheit, und reduzieren Sie die Angriffsfläche, indem Sie den Zugriff auf den API-Server auf eine begrenzte Zahl von IP-Adressbereichen beschränken.Improve cluster security and minimize attack surface by limiting access to the API server to a limited set of IP address ranges. Weitere Informationen finden Sie unter Sicherer Zugriff auf den API-Server mit autorisierten IP-Adressbereichen in Azure Kubernetes Service (AKS).For more information, see Secure access to the API server.
Beschränken des ausgehenden Datenverkehrs eines Clusters:Restrict cluster egress traffic. Hier wird beschrieben, welche Ports und Adressen zugelassen werden müssen, wenn Sie den ausgehenden Datenverkehr für den Cluster einschränken.Learn what ports and addresses to allow if you restrict egress traffic for the cluster. Sie können Azure Firewall oder eine Firewallappliance eines Drittanbieters verwenden, um den ausgehenden Datenverkehr zu schützen und diese erforderlichen Ports und Adressen zu definieren.You can use Azure Firewall or a third-party firewall appliance to secure your egress traffic and define these required ports and addresses. Weitere Informationen finden Sie unter Steuern des ausgehenden Datenverkehrs für Clusterknoten in Azure Kubernetes Service (AKS).To learn more, see Control egress traffic for cluster nodes in AKS.
Schützen des Datenverkehrs mit einer Web Application Firewall (WAF):Secure traffic with Web Application Firewall (WAF). Verwenden Sie Azure Application Gateway als Controller für den eingehenden Datenverkehr von Kubernetes-Clustern.Use Azure Application Gateway as an ingress controller for Kubernetes clusters. Weitere Informationen finden Sie unter Was ist der Application Gateway-Eingangscontroller?.For more information, see Configure Azure Application Gateway as an ingress controller.
Anwenden von Sicherheits- und Kernelupdates auf Workerknoten:Apply security and kernel updates to worker nodes. Grundlegendes zur Umgebung für AKS-KnotenupdatesUnderstand the AKS node update experience. Sicherheitsupdates werden automatisch auf Linux-Knoten in AKS angewendet, um Ihre Cluster zu schützen.To protect your clusters, security updates are automatically applied to Linux nodes in AKS. Diese Updates enthalten Sicherheitsfixes für das Betriebssystem oder Kernelupdates.These updates include OS security fixes or kernel updates. Einige dieser Updates erfordern den Neustart eines Knotens, um den Vorgang abzuschließen.Some of these updates require a node reboot to complete the process. Weitere Informationen finden Sie unter Anwenden von Sicherheits- und Kernelupdates auf Linux-Knoten in Azure Kubernetes Service (AKS).To learn more, see Use kured to automatically reboot nodes to apply updates.
Konfigurieren einer Lösung für die Container- und Clusterüberprüfung:Configure a container and cluster scanning solution. Überprüfen Sie die in Azure Container Registry angeordneten Container, und verschaffen Sie sich tieferen Einblick in Ihre Clusterknoten, den Clouddatenverkehr und Sicherheitskontrollen.Scan containers pushed into Azure Container Registry and gain deeper visibility to your cluster nodes, cloud traffic, and security controls.
Weitere Informationen finden Sie unterFor more information, see:
Optimieren und SkalierenOptimize and scale
Nachdem sich die Anwendung nun in der Produktion befindet, stellt sich die folgende Frage: Wie können Sie Ihren Workflow optimieren und Ihre Anwendung und das Team auf die Skalierung vorbereiten?Now that the application is in production, how can you optimize your workflow and prepare your application and team to scale? Nutzen Sie für die Vorbereitung die Checkliste für die Optimierung und Skalierung.Use the optimization and scaling checklist to prepare. Am Ende dieses Abschnitts werden Sie in der Lage sein, die folgende Frage zu beantworten:By the end of this section, you'll be able to answer this question:
- Können Sie Governance- und Clusterrichtlinien bedarfsgesteuert erzwingen?Can you enforce governance and cluster policies at scale?
Prüfliste für die Sicherheit:Security checklist:
Erzwingen von Governancerichtlinien für Cluster:Enforce cluster governance policies. Wenden Sie zentral und einheitlich bedarfsgesteuerte Erzwingungs- und Schutzmaßnahmen auf Ihre Cluster an.Apply at-scale enforcements and safeguards on your clusters in a centralized, consistent manner. Weitere Informationen finden Sie unter Grundlegendes zu Azure Policy für Azure Kubernetes Service.To learn more, see Control deployments with Azure Policy.
Regelmäßiges Rotieren von Clusterzertifikaten:Rotate cluster certificates periodically. In Kubernetes werden für viele Komponenten Zertifikate für die Authentifizierung genutzt.Kubernetes uses certificates for authentication with many of its components. Es empfiehlt sich, diese Zertifikate aus Sicherheits- bzw. Richtliniengründen in regelmäßigen Abständen zu rotieren.You might want to periodically rotate those certificates for security or policy reasons. Weitere Informationen finden Sie unter Rotieren von Zertifikaten in Azure Kubernetes Service (AKS).To learn more, see Rotate certificates in Azure Kubernetes Service (AKS).