Seguridad de clústeres y aplicaciones

Familiarícese con los elementos esenciales de seguridad de Kubernetes y revise la configuración de seguridad de clústeres y aplicaciones. La seguridad de Kubernetes es importante a lo largo del ciclo de vida del contenedor debido a la naturaleza dinámica y distribuida de un clúster de Kubernetes. Las aplicaciones son igual de seguras que el eslabón más débil de la cadena de servicios que conforma la seguridad de la aplicación.

Planeamiento, entrenamiento y prueba

Según empieza a trabajar, la lista de comprobación de los requisitos de seguridad básicos y los recursos de seguridad de Kubernetes siguientes le ayudarán a planear la seguridad de las operaciones del clúster y la aplicación. Al final de esta sección, podrá responder a estas preguntas:

• ¿Ha revisado el modelo de seguridad y amenazas de los clústeres de Kubernetes?
• ¿Está el clúster habilitado para el control de acceso basado en roles de Kubernetes?

Lista de comprobación de seguridad:

• Familiarícese con las notas del producto sobre los aspectos esenciales de la seguridad. Los objetivos principales de un entorno de Kubernetes seguro son garantizar que las aplicaciones que ejecuta están protegidas, que los problemas de seguridad se pueden identificar y resolver rápidamente, y que se impedirán problemas similares en el futuro. Para más información, consulte The Definitive Guide to Securing Kubernetes (notas del producto).

• Revisión de la configuración de mejora de la seguridad en los nodos de clúster. Un sistema operativo host con seguridad mejorada reduce el área expuesta a los ataques y permite implementar contenedores de forma segura. Para obtener más información, consulte Mejora de la seguridad de los hosts de máquinas virtuales de AKS.

• Configure el control de acceso basado en rol de Kubernetes del clúster (RBAC de Kubernetes). Este mecanismo de control le permite asignar a usuarios o grupos de usuarios, permiso para realizar acciones como crear o modificar recursos, o ver registros de cargas de trabajo de aplicaciones en ejecución.

  Para obtener más información, vea

  • Descripción del control de acceso basado en rol de Kubernetes (RBAC de Kubernetes) (vídeo)
    
  • Integración de Microsoft Entra ID con Azure Kubernetes Service
    
  • Limitación del acceso al archivo de configuración de clúster

Implementación en producción y aplicación de procedimientos recomendados de seguridad de Kubernetes

Cuando prepare la aplicación para producción, implemente un conjunto mínimo de procedimientos recomendados. En esta fase, use esta lista de comprobación. Al final de esta sección, podrá responder a estas preguntas:

• ¿Ha configurado las reglas de seguridad de red para la comunicación de entrada, salida y entre pods?
• ¿Está el clúster configurado para aplicar automáticamente las actualizaciones de seguridad del nodo?
• ¿Va a ejecutar una solución de examen de seguridad para los servicios del clúster y del contenedor?

Lista de comprobación de seguridad:

• Control del acceso a clústeres mediante la pertenencia a grupos. Configure el control de acceso basado en rol de Kubernetes (RBAC de Kubernetes) para limitar el acceso a los recursos de clúster en función de la identidad de los usuarios o su pertenencia a un grupo. Para más información, consulte Control de acceso a los recursos de clústeres mediante RBAC de Kubernetes e identidades de Microsoft Entra.

• Creación de una directiva de administración de secretos. Implemente y administre información confidencial como, por ejemplo, contraseñas y certificados, mediante la administración de secretos en Kubernetes. Para obtener más información, consulte Descripción de la administración de secretos en Kubernetes (vídeo).

• Protección del tráfico de red entre pods con directivas de red. Aplique el principio del privilegio mínimo para controlar el flujo del tráfico de red entre los pods del clúster. Para obtener más información, consulte Protección del tráfico entre pods con directivas de red.

• Restricción del acceso al servidor de API mediante direcciones IP autorizadas. Para mejorar la seguridad del clúster y reducir el área expuesta a ataques restrinja el acceso al servidor de API a un conjunto limitado de intervalos de direcciones IP. Para obtener más información, consulte Protección del acceso al servidor de API.

• Restricción del tráfico de salida del clúster. Averigüe qué puertos y direcciones debe permitir si restringe el tráfico de salida para el clúster. Puede usar Azure Firewall o un dispositivo de firewall de terceros para proteger el tráfico de salida y definir estos puertos y direcciones obligatorios. Para obtener más información, consulte Control del tráfico de salida de los nodos de clúster en AKS.

• Protección del tráfico con un firewall de aplicaciones web (WAF) . Utilice Azure Application Gateway como controlador de entrada para los clústeres de Kubernetes. Para obtener más información, consulte Configuración de Azure Application Gateway como controlador de entrada.

• Aplicación de actualizaciones de seguridad y de kernel en nodos de trabajo. Conozca la experiencia de actualización de nodos de AKS. Para proteger los clústeres, las actualizaciones de seguridad se aplican automáticamente a los nodos de Linux en AKS. Estas actualizaciones incluyen las revisiones de seguridad del sistema operativo o las actualizaciones del kernel. Algunas de estas actualizaciones requieren un reinicio del nodo para completar el proceso. Para obtener más información, consulte Uso de Kured para reiniciar automáticamente los nodos para aplicar actualizaciones.

• Configuración de un contenedor y una solución de examen del clúster. Examine los contenedores insertados en Azure Container Registry y obtenga una mayor visibilidad sobre los nodos de clúster, el tráfico en la nube y los controles de seguridad.

  Para más información, consulte:

  • Integración de Azure Container Registry con Defender for Cloud
    
  • Integración de Azure Container Registry con Defender for Cloud

Optimización y escalado

Ahora que la aplicación está en producción, ¿cómo puede optimizar el flujo de trabajo y preparar la aplicación y el equipo para el escalado? Use la lista de comprobación de optimización y escalado para la preparación. Al final de esta sección, podrá responder a esta pregunta:

• ¿Puedo aplicar directivas de gobernanza y clúster a escala?

Lista de comprobación de seguridad:

• Aplicación de directivas de gobernanza del clúster. Aplique medidas de seguridad y cumplimiento a escala en los clústeres de una manera centralizada y coherente. Para obtener más información, consulte Control de implementaciones con Azure Policy.

• Rotación periódica de los certificados del clúster. Kubernetes usa certificados para la autenticación con muchos de sus componentes. Puede que quiera rotar periódicamente esos certificados por motivos de seguridad o de directivas. Para obtener más información, consulte Rotación de certificados en Azure Kubernetes Service (AKS).