Az Azure Arc által engedélyezett biztonsági fogalmak az AKS-ben
A következőkre vonatkozik: AKS az Azure Stack HCI 22H2-ben, AKS Windows Serveren
Az Azure Arc által engedélyezett AKS-biztonság magában foglalja az infrastruktúra és a Kubernetes-fürtön futó alkalmazások védelmét. Az Arc által engedélyezett AKS támogatja a hibrid üzembe helyezési lehetőségeket a Azure Kubernetes Service (AKS) esetében. Ez a cikk a kubernetes-fürtök infrastruktúrájának és alkalmazásainak védelméhez használt biztonsági intézkedéseket és beépített biztonsági funkciókat ismerteti.
Infrastruktúra biztonsága
Az Arc által engedélyezett AKS különböző biztonsági intézkedéseket alkalmaz az infrastruktúra védelmére. Az alábbi diagram az alábbi mértékeket emeli ki:
Az alábbi táblázat az Azure Stack HCI-n futó AKS biztonságmegerősítési szempontjait ismerteti, amelyek az előző ábrán láthatók. Az AKS-üzemelő példány infrastruktúrájára vonatkozó elméleti háttérinformációkért lásd: Fürtök és számítási feladatok.
| Biztonsági szempont | Leírás |
|---|---|
| 1 | Mivel az AKS-gazdagép az összes számítási feladatfürthöz (célfürthöz) hozzáfér, ez a fürt egyetlen biztonsági pont lehet. Az AKS-gazdagéphez való hozzáférés azonban gondosan szabályozott, mivel a felügyeleti fürt célja a számítási feladatok fürtjeinek kiépítésére és az összesített fürtmetrikák gyűjtésére korlátozódik. |
| 2 | Az üzembe helyezés költségeinek és összetettségének csökkentése érdekében a számítási feladatfürtök megosztják a mögöttes Windows Servert. A biztonsági igényektől függően azonban a rendszergazdák dönthetnek úgy, hogy egy számításifeladat-fürtöt egy dedikált Windows Serveren helyeznek üzembe. Amikor a számítási feladatfürtök megosztják a mögöttes Windows Servert, minden fürt virtuális gépként lesz üzembe helyezve, ami erős elkülönítési garanciákat biztosít a számítási feladatok fürtjei között. |
| 3 | Az ügyfél számítási feladatai tárolókként vannak üzembe helyezve, és ugyanazt a virtuális gépet használják. A tárolók folyamatelkülönítve vannak egymástól, ami a virtuális gépek által kínált erős elkülönítési garanciákhoz képest gyengébb elkülönítési forma. |
| 4 | A tárolók egymást átfedő hálózaton keresztül kommunikálnak egymással. A rendszergazdák calico-szabályzatokat konfigurálhatnak a tárolók közötti hálózatelkülönítési szabályok meghatározásához. A Calico windowsos és Linux-tárolókat is támogat, és egy nyílt forráskódú termék, amely jelenleg is támogatott. |
| 5 | Az Azure Stack HCI-n futó AKS beépített Kubernetes-összetevői közötti kommunikáció, beleértve az API-kiszolgáló és a tárológazda közötti kommunikációt, tanúsítványokkal van titkosítva. Az AKS beépített tanúsítványkiosztást, -megújítást és -visszavonást kínál a beépített tanúsítványokhoz. |
| 6 | A Windows-ügyfélszámítógépek API-kiszolgálóval való kommunikációja Microsoft Entra hitelesítő adatokkal történik a felhasználók számára. |
| 7 | A Microsoft minden kiadáshoz biztosítja az AKS-beli virtuális gépek virtuális merevlemezeit az Azure Stack HCI-n, és szükség esetén alkalmazza a megfelelő biztonsági javításokat. |
Alkalmazások biztonsága
Az alábbi táblázat az Arc által engedélyezett AKS-ben elérhető különböző alkalmazásbiztonsági beállításokat ismerteti:
Megjegyzés
A kiválasztott nyílt forráskód ökoszisztémában elérhető nyílt forráskód alkalmazásmegerősítési lehetőségeket használhatja.
| Beállítás | Leírás |
|---|---|
| Biztonság kiépítése | A buildek biztonságossá tételének célja, hogy megakadályozza a biztonsági rések bevezetését az alkalmazáskódban vagy a tárolórendszerképekben a rendszerképek létrehozásakor. Az Azure Arc-kompatibilis Kubernetes-beli Azure GitOps-integráció segít az elemzésben és a megfigyelésben, ami lehetővé teszi a fejlesztők számára a biztonsági problémák megoldását. További információ: Konfigurációk üzembe helyezése GitOps használatával azure Arc-kompatibilis Kubernetes-fürtön. |
| Tárolóregisztrációs adatbázis biztonsága | A tárolóregisztrációs adatbázis biztonságának célja annak biztosítása, hogy a tárolórendszerképek a beállításjegyzékbe való feltöltésekor ne legyenek biztonsági rések, miközben a rendszerkép a beállításjegyzékben, illetve a beállításjegyzékből való képletöltések során van tárolva. Az AKS a Azure Container Registry használatát javasolja. Azure Container Registry biztonsági rések vizsgálatával és egyéb biztonsági funkciókkal rendelkezik. További információt a Azure Container Registry dokumentációjában talál. |
| Microsoft Entra identitások windowsos számítási feladatokhoz a gMSA tárolókhoz való használatával | A Windows-tároló számítási feladatai örökölhetik a tároló gazdagép identitását, és ezt használhatják hitelesítéshez. Az új fejlesztésekkel a tároló gazdagépnek nem kell tartományhoz csatlakoznia. További információ: gMSA-integráció Windows-számítási feladatokhoz. |
Beépített biztonsági funkciók
Ez a szakasz az Azure Arc által engedélyezett AKS-ben jelenleg elérhető beépített biztonsági funkciókat ismerteti:
| Biztonsági cél | Szolgáltatás |
|---|---|
| Az API-kiszolgálóhoz való hozzáférés védelme. | Az Active Directory egyszeri bejelentkezés támogatása PowerShell- és Windows Admin Center-ügyfelekhez. Ez a funkció jelenleg csak számításifeladat-fürtök esetében engedélyezett. |
| Győződjön meg arról, hogy a vezérlősík beépített Kubernetes-összetevői közötti kommunikáció biztonságos. Ez magában foglalja annak biztosítását is, hogy az API-kiszolgáló és a számításifeladat-fürt közötti kommunikáció is biztonságos legyen. | Nulla érintéses beépített tanúsítványmegoldás tanúsítványok kiépítéséhez, megújításához és visszavonásához. További információ: Biztonságos kommunikáció a tanúsítványokkal. |
| Forgassa el a Kubernetes titkos kulcstárolójának (stb.) titkosítási kulcsait a Key Management Server (KMS) beépülő modullal. | Beépülő modul a kulcsrotálás adott KMS-szolgáltatóval való integrálásához és vezénylésével. További információ: Titkos kulcsok titkosítása. |
| Valós idejű veszélyforrások monitorozása olyan tárolókhoz, amelyek windowsos és Linux-tárolók számítási feladatait is támogatják. | Integráció az Azure Archoz csatlakoztatott Azure Defender for Kubernetesszel, amely nyilvános előzetes verziós funkcióként érhető el az Azure Archoz csatlakoztatott Kubernetes-fenyegetések észlelésének ga-kiadásáig. További információ: Az Azure Arc-kompatibilis Kubernetes-fürtök védelme. |
| Microsoft Entra windowsos számítási feladatok identitását. | A windowsos számítási feladatok gMSA-integrációjával konfigurálhatja a Microsoft Entra identitást. |
| Calico-szabályzatok támogatása a podok közötti forgalom védelméhez | A Calico-szabályzatok használatához lásd: Biztonságos forgalom a podok között hálózati házirendek használatával. |
Következő lépések
Ebben a témakörben megismerkedett az Azure Arc által engedélyezett AKS biztonságossá tételével és a Kubernetes-fürtökön futó alkalmazások biztonságossá tételével kapcsolatos fogalmakkal.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: