Seguridad de clústeres y aplicacionesCluster and application security
Familiarícese con los elementos esenciales de seguridad de Kubernetes y revise la configuración de seguridad de clústeres y aplicaciones.Familiarize yourself with Kubernetes security essentials and review the secure setup for clusters and application security guidance.
Planeamiento, entrenamiento y pruebaPlan, train, and proof
Al principio, la lista de comprobación y los recursos siguientes le ayudarán a planear las operaciones y la seguridad de los clústeres.As you get started, the checklist and resources below will help you plan for cluster operations and security. Debe ser capaz de responder a estas preguntas:You should be able answer these questions:
- ¿Ha revisado el modelo de seguridad y amenazas de los clústeres de Kubernetes?Have you reviewed the security and threat model of Kubernetes clusters?
- ¿Está el clúster habilitado para el control de acceso basado en roles de Kubernetes?Is your cluster enabled for Kubernetes role-based access control?
Lista de comprobación:Checklist:
Familiarícese con las notas del producto sobre los aspectos esenciales de la seguridad.Familiarize yourself with the security essentials white paper. Los objetivos principales de un entorno de Kubernetes seguro son garantizar que las aplicaciones que ejecuta están protegidas, que los problemas de seguridad se pueden identificar y resolver rápidamente, y que se impedirán problemas similares en el futuro.The primary goals of a secure Kubernetes environment are ensuring that the applications it runs are protected, that security issues can be identified and addressed quickly, and that future similar issues will be prevented. Para obtener más información, consulte La guía definitiva para proteger Kubernetes (notas del producto).For more information, see The definitive guide to securing Kubernetes (white paper).
Revisión de la configuración de mejora de la seguridad en los nodos de clúster.Review the security hardening setup for the cluster nodes. Un sistema operativo host con seguridad mejorada reduce el área expuesta a los ataques y permite implementar contenedores de forma segura.A security hardened host OS reduces the surface area of attack and allows deploying containers securely. Para obtener más información, consulte Mejora de la seguridad de los hosts de máquinas virtuales de AKS.To learn more, see Security hardening in AKS virtual machine hosts.
Configure el control de acceso basado en rol de Kubernetes del clúster (RBAC de Kubernetes).Setup cluster Kubernetes role-based access control (Kubernetes RBAC). Este mecanismo de control le permite asignar a usuarios o grupos de usuarios, permiso para realizar acciones como crear o modificar recursos, o ver registros de cargas de trabajo de aplicaciones en ejecución.This control mechanism lets you assign users, or groups of users, permission to do things like create or modify resources, or view logs from running application workloads.
Para obtener más información, veaFor more information, see
- Descripción del control de acceso basado en roles de Kubernetes (RBAC de Kubernetes) (vídeo)Understand Kubernetes role-based access control (Kubernetes RBAC) (video)
- Integración de Azure AD con Azure Kubernetes ServiceIntegrate Azure AD with Azure Kubernetes Service
- Limitación del acceso al archivo de configuración de clústerLimit access to cluster configuration file
- Descripción del control de acceso basado en roles de Kubernetes (RBAC de Kubernetes) (vídeo)Understand Kubernetes role-based access control (Kubernetes RBAC) (video)
Implementación en producción y aplicación de procedimientos recomendadosDeploy to production and apply best practices
Cuando prepare la aplicación para producción, debe implementar un conjunto mínimo de procedimientos recomendados.As you prepare the application for production, you should implement a minimum set of best practices. En esta fase, use la siguiente lista de comprobación.Use the following checklist at this stage. Debe ser capaz de responder a estas preguntas:You should be able to answer these questions:
- ¿Ha configurado las reglas de seguridad de red para la comunicación de entrada, salida y entre pods?Have you configured network security rules for ingress, egress, and intra-pod communication?
- ¿Está el clúster configurado para aplicar automáticamente las actualizaciones de seguridad del nodo?Is your cluster configured to automatically apply node security updates?
- ¿Va a ejecutar una solución de examen de seguridad para las cargas de trabajo del clúster y del contenedor?Are you running a security scanning solution for your cluster and container workloads?
Lista de comprobación:Checklist:
Control del acceso a clústeres mediante la pertenencia a grupos.Control access to clusters using group membership. Configure el control de acceso basado en rol de Kubernetes (RBAC de Kubernetes) para limitar el acceso a los recursos de clúster en función de la identidad de los usuarios o su pertenencia a un grupo.Configure Kubernetes role-based access control (Kubernetes RBAC) to limit access to cluster resources based on user identity or group membership. Para obtener más información, consulte Administración del acceso a recursos de clúster mediante el control de acceso basado en roles de Kubernetes y las identidades de Azure Active Directory en Azure Kubernetes Service.For more information, see Control access to cluster resources using Kubernetes RBAC and Azure AD identities.
Creación de una directiva de administración de secretos.Create a secrets management policy. Implemente y administre información confidencial como, por ejemplo, contraseñas y certificados, mediante la administración de secretos en Kubernetes.Securely deploy and manage sensitive information, such as passwords and certificates, using secrets management in Kubernetes. Para obtener más información, consulte Descripción de la administración de secretos en Kubernetes (vídeo).For more information, see Understand secrets management in Kubernetes (video).
Protección del tráfico de red entre pods con directivas de red.Secure intra-pod network traffic with network policies. Aplique el principio del privilegio mínimo para controlar el flujo del tráfico de red entre los pods del clúster.Apply the principle of least privilege to control network traffic flow between pods in the cluster. Para obtener más información, consulte Protección del tráfico entre pods con directivas de red.For more information, see Secure intra-pod traffic with network policies.
Restricción del acceso al servidor de API mediante direcciones IP autorizadas.Restrict access to the API server using authorized IPs. Para mejorar la seguridad del clúster y reducir el área expuesta a ataques restrinja el acceso al servidor de API a un conjunto limitado de intervalos de direcciones IP.Improve cluster security and minimize attack surface by limiting access to the API server to a limited set of IP address ranges. Para obtener más información, consulte Protección del acceso al servidor de API.For more information, see Secure access to the API server.
Restricción del tráfico de salida del clúster.Restrict cluster egress traffic. Averigüe qué puertos y direcciones debe permitir si restringe el tráfico de salida para el clúster.Learn what ports and addresses to allow if you restrict egress traffic for the cluster. Puede usar Azure Firewall o un dispositivo de firewall de terceros para proteger el tráfico de salida y definir estos puertos y direcciones obligatorios.You can use Azure Firewall or a third-party firewall appliance to secure your egress traffic and define these required ports and addresses. Para obtener más información, consulte Control del tráfico de salida de los nodos de clúster en AKS.To learn more, see Control egress traffic for cluster nodes in AKS.
Protección del tráfico con un firewall de aplicaciones web (WAF) .Secure traffic with Web Application Firewall (WAF). Utilice Azure Application Gateway como controlador de entrada para los clústeres de Kubernetes.Use Azure Application Gateway as an ingress controller for Kubernetes clusters. Para obtener más información, consulte Configuración de Azure Application Gateway como controlador de entrada.For more information, see Configure Azure Application Gateway as an ingress controller.
Aplicación de actualizaciones de seguridad y de kernel en nodos de trabajo.Apply security and kernel updates to worker nodes. Conozca la experiencia de actualización de nodos de AKS.Understand the AKS node update experience. Para proteger los clústeres, las actualizaciones de seguridad se aplican automáticamente a los nodos de Linux en AKS.To protect your clusters, security updates are automatically applied to Linux nodes in AKS. Estas actualizaciones incluyen las revisiones de seguridad del sistema operativo o las actualizaciones del kernel.These updates include OS security fixes or kernel updates. Algunas de estas actualizaciones requieren un reinicio del nodo para completar el proceso.Some of these updates require a node reboot to complete the process. Para obtener más información, consulte Uso de Kured para reiniciar automáticamente los nodos para aplicar actualizaciones.To learn more, see Use kured to automatically reboot nodes to apply updates.
Configuración de un contenedor y una solución de examen del clúster.Configure a container and cluster scanning solution. Examine los contenedores insertados en Azure Container Registry y obtenga una mayor visibilidad sobre los nodos de clúster, el tráfico en la nube y los controles de seguridad.Scan containers pushed into Azure Container Registry and gain deeper visibility to your cluster nodes, cloud traffic, and security controls.
Para más información, consulte:For more information, see:
Optimización y escaladoOptimize and scale
Ahora que la aplicación está en producción, ¿cómo puede optimizar el flujo de trabajo y preparar la aplicación y el equipo para el escalado?Now that the application is in production, how can you optimize your workflow and prepare your application and team to scale? Use la lista de comprobación de optimización y escalado para la preparación.Use the optimization and scaling checklist to prepare. Debe ser capaz de responder a esta pregunta:You should be able to answer:
- ¿Puedo aplicar directivas de gobernanza y clúster a escala?Can you enforce governance and cluster policies at scale?
Lista de comprobación:Checklist:
Aplicación de directivas de gobernanza del clúster.Enforce cluster governance policies. Aplique medidas de seguridad y cumplimiento a escala en los clústeres de una manera centralizada y coherente.Apply at-scale enforcements and safeguards on your clusters in a centralized, consistent manner. Para obtener más información, consulte Control de implementaciones con Azure Policy.To learn more, see Control deployments with Azure Policy.
Rotación periódica de los certificados del clúster.Rotate cluster certificates periodically. Kubernetes usa certificados para la autenticación con muchos de sus componentes.Kubernetes uses certificates for authentication with many of its components. Puede que quiera rotar periódicamente esos certificados por motivos de seguridad o de directivas.You might want to periodically rotate those certificates for security or policy reasons. Para obtener más información, consulte Rotación de certificados en Azure Kubernetes Service (AKS).To learn more, see Rotate certificates in Azure Kubernetes Service (AKS).