Pojęcia dotyczące zabezpieczeń w usłudze AKS włączone przez usługę Azure Arc
Dotyczy: usługa AKS w usłudze Azure Stack HCI 22H2, AKS w systemie Windows Server
Zabezpieczenia w usłudze AKS włączone przez usługę Azure Arc obejmują zabezpieczenie infrastruktury i aplikacji uruchomionych w klastrze Kubernetes. Usługa AKS włączona przez usługę Arc obsługuje opcje wdrażania hybrydowego dla Azure Kubernetes Service (AKS). W tym artykule opisano środki wzmacniania zabezpieczeń oraz wbudowane funkcje zabezpieczeń używane do zabezpieczania infrastruktury i aplikacji w klastrach Kubernetes.
Zabezpieczenia infrastruktury
Usługa AKS włączona przez usługę Arc stosuje różne środki zabezpieczeń w celu zabezpieczenia infrastruktury. Na poniższym diagramie przedstawiono następujące miary:
W poniższej tabeli opisano aspekty wzmacniania zabezpieczeń usługi AKS w usłudze Azure Stack HCI, które przedstawiono na poprzednim diagramie. Aby uzyskać podstawowe informacje na temat infrastruktury wdrożenia usługi AKS, zobacz Klastry i obciążenia.
| Aspekt zabezpieczeń | Opis |
|---|---|
| 1 | Ponieważ host usługi AKS ma dostęp do wszystkich klastrów obciążenia (docelowego), ten klaster może być pojedynczym punktem naruszenia zabezpieczeń. Jednak dostęp do hosta usługi AKS jest dokładnie kontrolowany, ponieważ cel klastra zarządzania jest ograniczony do aprowizowania klastrów obciążeń i zbierania zagregowanych metryk klastra. |
| 2 | Aby zmniejszyć koszt wdrożenia i złożoność, klastry obciążeń współużytkują bazowy system Windows Server. Jednak w zależności od potrzeb związanych z zabezpieczeniami administratorzy mogą zdecydować się na wdrożenie klastra obciążenia w dedykowanym systemie Windows Server. Gdy klastry obciążeń współużytką bazowy system Windows Server, każdy klaster jest wdrażany jako maszyna wirtualna, co gwarantuje silną izolację między klastrami obciążeń. |
| 3 | Obciążenia klientów są wdrażane jako kontenery i współużytkują tę samą maszynę wirtualną. Kontenery są odizolowane od siebie izolowane od siebie, co jest słabszą formą izolacji w porównaniu z silnymi gwarancjami izolacji oferowanymi przez maszyny wirtualne. |
| 4 | Kontenery komunikują się ze sobą za pośrednictwem sieci nakładki. Administratorzy mogą skonfigurować zasady calico w celu zdefiniowania reguł izolacji sieci między kontenerami. Calico obsługuje zarówno kontenery systemu Windows, jak i Linux, i jest produktem typu open source, który jest obsługiwany w takim stanie, w jakim jest. |
| 5 | Komunikacja między wbudowanymi składnikami usługi Kubernetes usługi AKS w usłudze Azure Stack HCI, w tym komunikacją między serwerem interfejsu API a hostem kontenera, jest szyfrowana za pośrednictwem certyfikatów. Usługa AKS oferuje wbudowaną aprowizację, odnawianie i odwoływanie certyfikatów wbudowanych. |
| 6 | Komunikacja z serwerem interfejsu API z komputerów klienckich z systemem Windows jest zabezpieczona przy użyciu poświadczeń Microsoft Entra dla użytkowników. |
| 7 | W każdej wersji firma Microsoft udostępnia wirtualne dyski twarde dla maszyn wirtualnych usługi AKS w usłudze Azure Stack HCI i stosuje odpowiednie poprawki zabezpieczeń w razie potrzeby. |
Zabezpieczenia aplikacji
W poniższej tabeli opisano różne opcje zabezpieczeń aplikacji dostępne w usłudze AKS włączone przez usługę Arc:
Uwaga
Możesz użyć opcji open source z zakresu wzmacniania zabezpieczeń aplikacji dostępnych w wybranym ekosystemie open source.
| Opcja | Opis |
|---|---|
| Tworzenie zabezpieczeń | Celem zabezpieczania kompilacji jest zapobieganie wprowadzeniu luk w zabezpieczeniach w kodzie aplikacji lub obrazach kontenerów podczas generowania obrazów. Integracja z usługą Azure GitOps platformy Kubernetes, która jest włączona w usłudze Azure Arc, pomaga w analizie i obserwacji, co daje deweloperom możliwość rozwiązania problemów z zabezpieczeniami. Aby uzyskać więcej informacji, zobacz Deploy configurations using GitOps on an Azure Arc enabled Kubernetes cluster (Wdrażanie konfiguracji przy użyciu metodyki GitOps w klastrze Kubernetes z włączoną usługą Azure Arc). |
| Zabezpieczenia rejestru kontenerów | Celem zabezpieczeń rejestru kontenerów jest zapewnienie, że luki w zabezpieczeniach nie zostaną wprowadzone podczas przekazywania obrazów kontenerów do rejestru, podczas gdy obraz jest przechowywany w rejestrze i podczas pobierania obrazów z rejestru. Usługa AKS zaleca korzystanie z Azure Container Registry. Azure Container Registry obejmuje skanowanie luk w zabezpieczeniach i inne funkcje zabezpieczeń. Aby uzyskać więcej informacji, zobacz dokumentację Azure Container Registry. |
| Microsoft Entra tożsamości dla obciążeń systemu Windows przy użyciu konta zarządzanego przez usługę gMSA dla kontenerów | Obciążenia kontenerów systemu Windows mogą dziedziczyć tożsamość hosta kontenera i używać ich do uwierzytelniania. Dzięki nowym ulepszeniom host kontenera nie musi być przyłączony do domeny. Aby uzyskać więcej informacji, zobacz integracja gMSA dla obciążeń systemu Windows. |
Wbudowane funkcje zabezpieczeń
W tej sekcji opisano wbudowane funkcje zabezpieczeń, które są obecnie dostępne w usłudze AKS włączone przez usługę Azure Arc:
| Cel zabezpieczeń | Cecha |
|---|---|
| Ochrona dostępu do serwera interfejsu API. | Obsługa logowania jednokrotnego usługi Active Directory dla klientów programu PowerShell i Windows Admin Center. Ta funkcja jest obecnie włączona tylko dla klastrów obciążeń. |
| Upewnij się, że cała komunikacja między wbudowanymi składnikami platformy Kubernetes płaszczyzny sterowania jest bezpieczna. Obejmuje to zapewnienie bezpieczeństwa komunikacji między serwerem interfejsu API a klastrem obciążenia. | Bezobsługowe wbudowane rozwiązanie certyfikatu do aprowizowania, odnawiania i odwoływanie certyfikatów. Aby uzyskać więcej informacji, zobacz Zabezpieczanie komunikacji z certyfikatami. |
| Obracanie kluczy szyfrowania magazynu wpisów tajnych Kubernetes (itp.) przy użyciu wtyczki serwera zarządzania kluczami (KMS). | Wtyczka do integrowania i organizowania rotacji kluczy z określonym dostawcą usługi KMS. Aby dowiedzieć się więcej, zobacz Szyfrowanie i szyfrowanie wpisów tajnych. |
| Monitorowanie zagrożeń w czasie rzeczywistym dla kontenerów obsługujących obciążenia zarówno dla kontenerów systemu Windows, jak i Linux. | Integracja z usługą Azure Defender dla platformy Kubernetes połączoną z usługą Azure Arc, która jest oferowana jako publiczna funkcja w wersji zapoznawczej do momentu udostępnienia ogólnie dostępnej funkcji wykrywania zagrożeń kubernetes dla platformy Kubernetes połączonej z usługą Azure Arc. Aby uzyskać więcej informacji, zobacz Obrona klastrów Kubernetes z włączoną usługą Azure Arc. |
| Microsoft Entra tożsamość dla obciążeń systemu Windows. | Użyj integracji gMSA dla obciążeń systemu Windows, aby skonfigurować tożsamość Microsoft Entra. |
| Obsługa zasad calico w celu zabezpieczenia ruchu między zasobnikami | Aby użyć zasad calico, zobacz Zabezpieczanie ruchu między zasobnikami przy użyciu zasad sieciowych. |
Następne kroki
W tym temacie przedstawiono pojęcia dotyczące zabezpieczania usługi AKS włączonej przez usługę Azure Arc oraz zabezpieczania aplikacji w klastrach Kubernetes.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla