Meilleures pratiques relatives à la gestion et à la sécurisation des images de conteneur dans Azure Kubernetes Services (AKS)Best practices for container image management and security in Azure Kubernetes Service (AKS)

Lorsque vous développez et exécutez des applications dans Azure Kubernetes Service (ACS), la sécurité de vos conteneurs et de vos images de conteneur est primordiale.As you develop and run applications in Azure Kubernetes Service (AKS), the security of your containers and container images is a key consideration. Les conteneurs qui incluent des images de base obsolètes ou des runtimes d’application non corrigés constituent un risque de sécurité et un possible vecteur d’attaque.Containers that include out of date base images or unpatched application runtimes introduce a security risk and possible attack vector. Pour réduire ces risques, vous devez intégrer des outils capables de rechercher et de résoudre les problèmes dans vos conteneurs au moment de la génération aussi bien que de l’exécution.To minimize these risks, you should integrate tools that scan for and remediate issues in your containers at build time as well as runtime. Plus la vulnérabilité ou l’image de base obsolète est identifiée tôt dans le processus, plus le cluster est sécurisé.The earlier in the process the vulnerability or out of date base image is caught, the more secure the cluster. Dans cet article, le terme conteneurs se réfère à la fois aux images de conteneur stockées dans un Registre de conteneurs, et aux conteneurs en cours d’exécution.In this article, containers means both the container images stored in a container registry, and the running containers.

Cet article est dédié à la sécurisation de votre conteneur dans AKS.This article focuses on how to secure your containers in AKS. Vous allez apprendre à effectuer les actions suivantes :You learn how to:

  • Rechercher et corriger les vulnérabilités de l’imageScan for and remediate image vulnerabilities
  • Déclencher et redéployer automatiquement les images de conteneur lors de la mise à jour d’une image de baseAutomatically trigger and redeploy container images when a base image is updated

Vous pouvez également consulter les bonnes pratiques relatives à la sécurité des clusters et à la sécurité du pod.You can also read the best practices for cluster security and for pod security.

Vous pouvez également utiliser la sécurité du conteneur dans Security Center pour vous aider à analyser les vulnérabilités de vos conteneurs.You can also use Container security in Security Center to help scan your containers for vulnerabilities. Il existe également l’intégration du registre de conteneurs Azure avec Security Center pour vous aider à protéger vos images et votre registre contre les vulnérabilités.There is also Azure Container Registry integration with Security Center to help protect your images and registry from vulnerabilities.

Sécuriser les images et le runtimeSecure the images and run time

Meilleures pratiques : analysez vos images de conteneur à la recherche de vulnérabilités et déployez uniquement les images ayant réussi la validation.Best practice guidance - Scan your container images for vulnerabilities, and only deploy images that have passed validation. Mettez régulièrement à jour les images de base et le runtime de l’application, puis redéployez les charges de travail dans le cluster AKS.Regularly update the base images and application runtime, then redeploy workloads in the AKS cluster.

Un problème avec l’adoption de charges de travail basées sur les conteneurs concerne la vérification de la sécurité des images et du runtime utilisés pour générer vos propres applications.One concern with the adoption of container-based workloads is verifying the security of images and runtime used to build your own applications. Comment vous assurer que vous n’introduisez pas de failles de sécurité dans vos déploiements ?How do you make sure that you don't introduce security vulnerabilities into your deployments? Votre flux de travail de déploiement doit inclure un processus d’analyse des images conteneur s’appuyant sur des outils tels que Twistlock ou Aqua, puis autoriser uniquement les images vérifiées à être déployées.Your deployment workflow should include a process to scan container images using tools such as Twistlock or Aqua, and then only allow verified images to be deployed.

Analyser et corriger les images de conteneur, les valider et les déployer

Dans un exemple concret, vous pouvez utiliser un pipeline d’intégration continue et de déploiement continu (CI/CD) pour automatiser les analyses, la vérification et les déploiements d’image.In a real-world example, you can use a continuous integration and continuous deployment (CI/CD) pipeline to automate the image scans, verification, and deployments. Azure Container Registry inclut ces fonctions d’analyse de vulnérabilités.Azure Container Registry includes these vulnerabilities scanning capabilities.

Générer automatiquement les nouvelles images sur la mise à jour de l’image de baseAutomatically build new images on base image update

Meilleures pratiques : comme vous utilisez des images de base pour les images de l’application, utilisez l’automatisation pour générer de nouvelles images lorsque l’image de base est mise à jour.Best practice guidance - As you use base images for application images, use automation to build new images when the base image is updated. Comme ces images de base incluent généralement des correctifs de sécurité, mettez à jour les images de conteneur d’application en aval.As those base images typically include security fixes, update any downstream application container images.

Chaque fois qu’une image de base est mis à jour, les images de conteneur en aval doivent également être mises à jour.Each time a base image is updated, any downstream container images should also be updated. Ce processus de génération doit être intégré aux pipelines de validation et de déploiement comme Azure Pipelines ou Jenkins.This build process should be integrated into validation and deployment pipelines such as Azure Pipelines or Jenkins. Ces pipelines permettent de s’assurer que vos applications continuent à s’exécuter sur les images de base mises à jour.These pipelines makes sure that your applications continue to run on the updated based images. Une fois que vos images de conteneur d’application sont validées, les déploiements AKS peuvent ensuite être mis à jour pour exécuter les images les plus récentes et les plus sécurisées.Once your application container images are validated, the AKS deployments can then be updated to run the latest, secure images.

Azure Container Registry Tasks peut également mettre à jour automatiquement les images de conteneur lorsque l’image de base est mise à jour.Azure Container Registry Tasks can also automatically update container images when the base image is updated. Cette fonctionnalité vous permet de générer un petit nombre d’images de base et de les mettre régulièrement à jour avec les correctifs de bogues et de sécurité.This feature allows you to build a small number of base images, and regularly keep them updated with bug and security fixes.

Pour plus d’informations sur la mise à jour des images de base, consultez Automatiser la génération des images en fonction de la mise à jour d’une image de base avec Azure Container Registry Tasks.For more information about base image updates, see Automate image builds on base image update with Azure Container Registry Tasks.

Étapes suivantesNext steps

Cet article était dédié à la sécurisation de vos conteneurs.This article focused on how to secure your containers. Pour implémenter quelques-unes de ces pratiques, consultez les articles suivants :To implement some of these areas, see the following articles: