Praktik terbaik untuk konektivitas jaringan dan keamanan di Azure Kubernetes Service (AKS)
Keamanan gambar kontainer dan kontainer adalah prioritas utama saat mengembangkan dan menjalankan aplikasi di Azure Kubernetes Service (AKS). Kontainer dengan citra dasar yang sudah ketinggalan jaman atau runtime aplikasi yang tidak dipaketkan menimbulkan risiko keamanan dan kemungkinan vektor serangan. Anda dapat meminimalkan risiko ini dengan mengintegrasikan dan menjalankan alat pemindaian dan remediasi dalam kontainer Anda pada build dan runtime. Semakin awal Anda menangkap kerentanan atau citra dasar yang sudah ketinggalan zaman, semakin aman aplikasi Anda.
Dalam artikel ini, "kontainer" mengacu pada gambar kontainer yang disimpan dalam registri kontainer dan kontainer yang sedang berjalan.
Artikel ini berfokus pada cara mengamankan kontainer Anda di AKS. Anda mempelajari cara:
- Memindai dan meremediasi kerentanan citra.
- Memicu dan menyebarkan citra kontainer kembali secara otomatis saat citra dasar diperbarui.
- Anda dapat membaca praktik terbaik untuk keamanan kluster dan keamanan pod.
- Anda dapat menggunakan keamanan Kontainer di Defender for Cloud untuk membantu memindai kerentanan kontainer Anda. Integrasi Azure Container Registry dengan Pertahanan Microsoft untuk Cloud membantu melindungi citra dan registri Anda dari kerentanan.
Mengamankan gambar dan runtime
Panduan praktik terbaik
- Pindai citra kontainer Anda untuk kerentanan.
- Hanya sebarkan citra yang telah divalidasi.
- Perbarui citra dasar dan runtime aplikasi secara teratur.
- Sebarkan kembali beban kerja di kluster AKS.
Saat mengadopsi beban kerja berbasis kontainer, Anda ingin memverifikasi keamanan gambar dan runtime yang digunakan untuk membangun aplikasi Anda sendiri. Untuk membantu menghindari memperkenalkan kerentanan keamanan ke dalam penyebaran, Anda dapat menggunakan praktik terbaik berikut:
- Sertakan dalam alur kerja penyebaran Anda proses untuk memindai gambar kontainer menggunakan alat, seperti Twistlock atau Aqua.
- Hanya izinkan citra yang sudah terverifikasi untuk disebarkan.
Misalnya, Anda dapat menggunakan alur integrasi berkelanjutan dan penyebaran berkelanjutan (CI/CD) untuk mengotomatiskan pemindaian, verifikasi, dan penyebaran citra. Azure Container Registry menyertakan kemampuan pemindaian kerentanan ini.
Membuat citra baru secara otomatis pada pembaruan citra dasar
Panduan praktik terbaik
Saat Anda menggunakan citra dasar untuk gambar aplikasi, gunakan otomatisasi untuk membangun citra baru saat citra dasar diperbarui. Karena citra dasar yang diperbarui biasanya mencakup perbaikan keamanan, perbarui citra kontainer aplikasi downstream apa pun.
Setiap kali citra dasar diperbarui, Anda juga harus memperbarui citra kontainer downstream. Integrasikan proses build ini ke dalam alur validasi dan penyebaran seperti Azure Pipelines atau Jenkins. Alur ini memastikan aplikasi Anda terus berjalan pada gambar berbasis yang diperbarui. Setelah gambar kontainer aplikasi Anda divalidasi, Anda kemudian dapat memperbarui penyebaran AKS untuk menjalankan gambar aman terbaru.
Azure Container Registry Tasks juga dapat memperbarui citra kontainer secara otomatis saat citra dasar diperbarui. Dengan fitur ini, Anda membangun beberapa citra dasar dan terus memperbaruinya dengan perbaikan bug dan keamanan.
Untuk informasi selengkapnya tentang pembaruan citra dasar, lihat Mengotomatiskan build citra pada pembaruan citra dasar dengan Azure Container Registry Tasks.
Langkah berikutnya
Artikel ini berfokus pada cara mengamankan kontainer Anda di AKS. Untuk menerapkan beberapa area ini, lihat artikel berikut ini: