Cluster- en toepassingsbeveiliging

Raak vertrouwd met de essentiële gegevens van Kubernetes-beveiliging en bekijk de veilige installatie voor clusters en richtlijnen voor toepassingsbeveiliging. Kubernetes-beveiliging is belangrijk gedurende de levenscyclus van de container vanwege de gedistribueerde, dynamische aard van een Kubernetes-cluster. Toepassingen zijn slechts zo veilig als de zwakste koppeling in de keten van services die de beveiliging van de toepassing vormen.

Plannen, trainen en testen

Wanneer u aan de slag gaat, helpen de controlelijst voor beveiligingsgegevens en Kubernetes-beveiligingsresources hieronder u bij het plannen van clusterbewerkingen en toepassingsbeveiliging. Aan het einde van deze sectie kunt u deze vragen beantwoorden:

• Hebt u het beveiligings- en bedreigingsmodel van Kubernetes-clusters bekeken?
• Is uw cluster ingeschakeld voor op rollen gebaseerd toegangsbeheer van Kubernetes?

Controlelijst voor beveiliging:

• Maak kennis met het technische document over beveiligingsgegevens. De belangrijkste doelen van een beveiligde Kubernetes-omgeving zijn ervoor te zorgen dat de toepassingen die worden uitgevoerd, worden beveiligd, dat beveiligingsproblemen snel kunnen worden geïdentificeerd en opgelost, en dat toekomstige vergelijkbare problemen worden voorkomen. Zie The Definitive Guide to Securing Kubernetes (technisch document) voor meer informatie.

• Controleer de beveiligingsbeveiligingsinstellingen voor de clusterknooppunten. Een beveiligd host-besturingssysteem vermindert het oppervlak van aanvallen en maakt het veilig implementeren van containers mogelijk. Zie Beveiligingbeveiliging in AKS-hosts voor virtuele machines voor meer informatie.

• Kubernetes-toegangsbeheer op basis van rollen (Kubernetes RBAC) instellen. Met dit controlemechanisme kunt u gebruikers of groepen gebruikers toewijzen, machtigingen voor zaken zoals het maken of wijzigen van resources of het weergeven van logboeken van het uitvoeren van toepassingsworkloads.

  Voor meer informatie raadpleegt u

  • Inzicht in op rollen gebaseerd toegangsbeheer van Kubernetes (Kubernetes RBAC) (video)
    
  • Microsoft Entra-id integreren met Azure Kubernetes Service
    
  • Toegang tot clusterconfiguratiebestand beperken

Implementeren in productie en aanbevolen procedures voor Kubernetes-beveiliging toepassen

Wanneer u de toepassing voorbereidt voor productie, implementeert u een minimale set aanbevolen procedures. Gebruik deze controlelijst in deze fase. Aan het einde van deze sectie kunt u deze vragen beantwoorden:

• Hebt u netwerkbeveiligingsregels ingesteld voor inkomend, uitgaand verkeer en communicatie tussen pods?
• Is uw cluster ingesteld om automatisch beveiligingsupdates voor knooppunten toe te passen?
• Voert u een beveiligingsscanoplossing uit voor uw cluster- en containerservices?

Controlelijst voor beveiliging:

• Toegang tot clusters beheren met behulp van groepslidmaatschap. Configureer op rollen gebaseerd toegangsbeheer van Kubernetes (Kubernetes RBAC) om de toegang tot clusterbronnen te beperken op basis van gebruikersidentiteit of groepslidmaatschap. Zie Toegang tot clusterresources beheren met kubernetes RBAC en Microsoft Entra-identiteiten voor meer informatie.

• Maak een beleid voor geheimenbeheer. Implementeer en beheer gevoelige informatie, zoals wachtwoorden en certificaten, veilig met behulp van geheimenbeheer in Kubernetes. Zie Geheimenbeheer in Kubernetes (video) voor meer informatie.

• Beveilig netwerkverkeer tussen pods met netwerkbeleid. Pas het principe van minimale bevoegdheden toe om de netwerkverkeersstroom tussen pods in het cluster te beheren. Zie Verkeer tussen pods beveiligen met netwerkbeleid voor meer informatie.

• Beperk de toegang tot de API-server met behulp van geautoriseerde IP-adressen. Verbeter de clusterbeveiliging en minimaliseer de kwetsbaarheid voor aanvallen door de toegang tot de API-server te beperken tot een beperkte set IP-adresbereiken. Zie Beveiligde toegang tot de API-server voor meer informatie.

• Uitgaand clusterverkeer beperken. Meer informatie over welke poorten en adressen moeten worden toegestaan als u uitgaand verkeer voor het cluster beperkt. U kunt Azure Firewall of een firewallapparaat van derden gebruiken om uw uitgaand verkeer te beveiligen en deze vereiste poorten en adressen te definiëren. Zie Uitgaand verkeer beheren voor clusterknooppunten in AKS voor meer informatie.

• Verkeer beveiligen met Web Application Firewall (WAF). Gebruik Azure-toepassing Gateway als een ingangscontroller voor Kubernetes-clusters. Zie Azure-toepassing Gateway configureren als een ingangscontroller voor meer informatie.

• Beveiligingsupdates en kernelupdates toepassen op werkknooppunten. Meer informatie over de ervaring voor het bijwerken van AKS-knooppunten. Beveiligingsupdates worden automatisch toegepast op Linux-knooppunten in AKS om uw clusters te beveiligen. Deze updates omvatten besturingssysteembeveiligingsoplossingen of kernelupdates. Voor sommige van deze updates moet een knooppunt opnieuw worden opgestart om het proces te voltooien. Zie Kured gebruiken om knooppunten automatisch opnieuw op te starten om updates toe te passen voor meer informatie.

• Configureer een container- en clusterscanoplossing. Scan containers die naar Azure Container Registry zijn gepusht en krijg meer inzicht in uw clusterknooppunten, cloudverkeer en beveiligingscontroles.

  Zie voor meer informatie:

  • Azure Container Registry-integratie met Defender voor Cloud
    
  • Integratie van Azure Kubernetes Service met Defender voor Cloud

Optimaliseren en schalen

Nu de toepassing in productie is, hoe kunt u uw werkstroom optimaliseren en uw toepassing en team voorbereiden op schaal? Gebruik de controlelijst voor optimalisatie en schaalaanpassing om u voor te bereiden. Aan het einde van deze sectie kunt u deze vraag beantwoorden:

• Kunt u governance- en clusterbeleid op schaal afdwingen?

Controlelijst voor beveiliging:

• Beleidsregels voor clusterbeheer afdwingen. Afdwinging en beveiliging op schaal toepassen op uw clusters op een gecentraliseerde, consistente manier. Zie Implementaties beheren met Azure Policy voor meer informatie.

• Clustercertificaten periodiek draaien. Kubernetes maakt gebruik van certificaten voor verificatie met veel van de onderdelen. Mogelijk wilt u deze certificaten regelmatig roteren om beveiligings- of beleidsredenen. Zie Certificaten roteren in Azure Kubernetes Service (AKS) voor meer informatie.