Cluster- en toepassingsbeveiligingCluster and application security

Lees alles over de essentiële beveiligings instellingen van Kubernetes en Bekijk de veilige installatie voor clusters en richt lijnen voor de beveiliging van toepassingen.Familiarize yourself with Kubernetes security essentials and review the secure setup for clusters and application security guidance.

Plannen, trainen en testenPlan, train, and proof

Wanneer u aan de slag gaat, kunnen de controle lijst en de onderstaande bronnen u helpen bij het plannen van cluster bewerkingen en beveiliging.As you get started, the checklist and resources below will help you plan for cluster operations and security. U moet de volgende vragen kunnen beantwoorden:You should be able answer these questions:

  • Hebt u het beveiligings-en bedreigings model van Kubernetes-clusters gecontroleerd?Have you reviewed the security and threat model of Kubernetes clusters?
  • Is uw cluster ingeschakeld voor toegangs beheer op basis van rollen?Is your cluster enabled for role-based access control?
ControlelijstChecklist ResourcesResources
Lees alles over het technische document over essentiële beveiligings onderdelen.Familiarize yourself with the security essentials white paper. De primaire doel stellingen van een beveiligde Kubernetes-omgeving zorgen ervoor dat de toepassingen die worden uitgevoerd, worden beschermd, dat beveiligings problemen snel kunnen worden geïdentificeerd en opgelost, en dat toekomstige vergelijk bare problemen worden voor komen.The primary goals of a secure Kubernetes environment are ensuring that the applications it runs are protected, that security issues can be identified and addressed quickly, and that future similar issues will be prevented. De definitieve hand leiding voor het beveiligen van Kubernetes (technisch document)The definitive guide to securing Kubernetes (white paper)
Controleer de instelling voor beveiligings beveiliging voor de cluster knooppunten.Review the security hardening setup for the cluster nodes. Een beveiligde host OS vermindert het surface area van een aanval en maakt het mogelijk om containers veilig te implementeren.A security hardened host OS reduces the surface area of attack and allows deploying containers securely. Beveiligings beveiliging in hosts van virtuele AKS-machinesSecurity hardening in AKS virtual machine hosts
Op rollen gebaseerd toegangs beheer (RBAC) van cluster functie instellen.Setup cluster role-based access control (RBAC). Met dit besturings systeem kunt u gebruikers of groepen gebruikers toewijzen, machtigingen geven om resources te maken of te wijzigen, of logboeken van actieve werk belastingen van toepassingen bekijken.This control mechanism lets you assign users, or groups of users, permission to do things like create or modify resources, or view logs from running application workloads. Meer informatie over op rollen gebaseerd toegangs beheer (RBAC) in Kubernetes (video)Understand role-based access control (RBAC) in Kubernetes (video)
Azure AD integreren met de Azure Kubernetes-serviceIntegrate Azure AD with Azure Kubernetes Service
Toegang tot clusterconfiguratiebestand beperkenLimit access to cluster configuration file

Implementeren voor productie en best practices Toep assenDeploy to production and apply best practices

Wanneer u de toepassing voorbereidt voor productie, moet u een minimum aantal aanbevolen procedures implementeren.As you prepare the application for production, you should implement a minimum set of best practices. Gebruik de onderstaande controle lijst in deze fase.Use the checklist below at this stage. U moet de volgende vragen kunnen beantwoorden:You should be able to answer these questions:

  • Hebt u de netwerk beveiligings regels voor binnenkomend en uitgaand verkeer en intra-pod-communicatie geconfigureerd?Have you configured network security rules for ingress, egress, and intra-pod communication?
  • Is uw cluster geconfigureerd voor het automatisch Toep assen van beveiligings updates voor knoop punten?Is your cluster configured to automatically apply node security updates?
  • Voert u een oplossing voor beveiligings scans uit voor uw cluster-en container werk belasting?Are you running a security scanning solution for your cluster and container workloads?
ControlelijstChecklist ResourcesResources
Toegang tot clusters beheren met groepslid maatschap.Control access to clusters using group membership. Kubernetes op rollen gebaseerd toegangs beheer (RBAC) configureren om de toegang tot cluster bronnen te beperken op basis van de identiteit of het groepslid maatschap van de gebruiker.Configure Kubernetes role-based access control (RBAC) to limit access to cluster resources based on user identity or group membership. Toegang tot clusters beheren met RBAC-en Azure AD-groepenControl access to clusters using RBAC and Azure AD groups
Maak een beheer beleid voor geheimen.Create a secrets management policy. Implementeer en beheer gevoelige informatie veilig, zoals wacht woorden en certificaten, met behulp van geheimen beheer in Kubernetes.Securely deploy and manage sensitive information, such as passwords and certificates, using secrets management in Kubernetes. Informatie over geheimen beheer in Kubernetes (video)Understand secrets management in Kubernetes (video)
Beveilig intra-pod-netwerk verkeer met netwerk beleid.Secure intra-pod network traffic with network policies. Pas het principe van minimale bevoegdheden toe om de stroom van het netwerk verkeer tussen de peulen in het cluster te regelen.Apply the principle of least privilege to control network traffic flow between pods in the cluster. Intra-pod-verkeer beveiligen met netwerk beleidSecure intra-pod traffic with network policies
Beperk de toegang tot de API-server met behulp van geautoriseerde Ip's.Restrict access to the API server using authorized IPs. Verbeter de beveiliging van het cluster en Minimaliseer de kwets baarheid door de toegang tot de API-server te beperken tot een beperkt aantal IP-adresbereiken.Improve cluster security and minimize attack surface by limiting access to the API server to a limited set of IP address ranges. Veilige toegang tot de API-serverSecure access to the API server
Uitgaand verkeer van cluster beperken.Restrict cluster egress traffic. Meer informatie over welke poorten en adressen worden toegestaan als u uitgaand verkeer voor het cluster beperkt.Learn what ports and addresses to allow if you restrict egress traffic for the cluster. U kunt Azure Firewall of een firewall apparaat van derden gebruiken om uw uitgangs verkeer te beveiligen en deze vereiste poorten en adressen te definiëren.You can use Azure Firewall or a third-party firewall appliance to secure your egress traffic and define these required ports and addresses. Uitgaand verkeer voor cluster knooppunten in AKS beherenControl egress traffic for cluster nodes in AKS
Beveilig verkeer met Web Application firewall (WAF).Secure traffic with Web Application Firewall (WAF). Gebruik Azure-toepassing gateway als ingangs controller voor Kubernetes-clusters.Use Azure Application Gateway as an ingress controller for Kubernetes clusters. Azure-toepassing gateway configureren als ingangs controllerConfigure Azure Application Gateway as an ingress controller
Beveiligings-en kernel-updates Toep assen op worker-knoop punten.Apply security and kernel updates to worker nodes. Meer informatie over de update-ervaring van het AKS-knoop punt.Understand the AKS node update experience. Voor het beveiligen van uw clusters worden beveiligings updates automatisch toegepast op Linux-knoop punten in AKS.To protect your clusters, security updates are automatically applied to Linux nodes in AKS. Deze updates omvatten beveiligings correcties voor het besturings systeem of kernel-updates.These updates include OS security fixes or kernel updates. Voor sommige van deze updates moet het knoop punt opnieuw worden opgestart om het proces te volt ooien.Some of these updates require a node reboot to complete the process. Kured gebruiken om knoop punten automatisch opnieuw op te starten om updates toe te passenUse kured to automatically reboot nodes to apply updates
Configureer een oplossing voor het scannen van containers en clusters.Configure a container and cluster scanning solution. Scan containers die naar Azure Container Registry zijn gepusht en de zicht baarheid van uw cluster knooppunten, Cloud verkeer en beveiligings controles kunnen vergren delen.Scan containers pushed into Azure Container Registry and gain deeper visibility to your cluster nodes, cloud traffic, and security controls. Integratie met Security Center Azure Container RegistryAzure Container Registry integration with Security Center
Integratie van Azure Kubernetes-service met Security CenterAzure Kubernetes Service integration with Security Center

Optimaliseren en schalenOptimize and scale

Hoe kunt u nu de toepassing in productie nemen, hoe optimaliseert u uw werk stroom en bereidt u uw toepassing en team voor om te schalen?Now that the application is in production, how can you optimize your workflow and prepare your application and team to scale? Gebruik de controle lijst voor optimalisatie en schaal aanpassing om voor te bereiden.Use the optimization and scaling checklist to prepare. U moet het volgende kunnen beantwoorden:You should be able to answer:

  • Kunt u beleid voor beheer en cluster op schaal afdwingen?Can you enforce governance and cluster policies at scale?
ControlelijstChecklist ResourcesResources
Beheer beleid voor clusters afdwingen.Enforce cluster governance policies. Pas op schaal de afdwingingen en beveiligingen op de clusters op een gecentraliseerde, consistente manier toe.Apply at-scale enforcements and safeguards on your clusters in a centralized, consistent manner. Implementaties beheren met Azure PolicyControl deployments with Azure Policy
Cluster certificaten regel matig draaien.Rotate cluster certificates periodically. Kubernetes maakt gebruik van certificaten voor verificatie met veel van de onderdelen.Kubernetes uses certificates for authentication with many of its components. Mogelijk wilt u deze certificaten regel matig voor beveiligings-of beleids redenen draaien.You may want to periodically rotate those certificates for security or policy reasons. Certificaten in azure Kubernetes service (AKS) draaienRotate certificates in Azure Kubernetes Service (AKS)