Najlepsze rozwiązania dotyczące zarządzania obrazami kontenerów i zabezpieczeń w usłudze Azure Kubernetes Service (AKS)

  • Artykuł

Zabezpieczenia obrazów kontenerów i kontenerów są głównym priorytetem podczas tworzenia i uruchamiania aplikacji w usłudze Azure Kubernetes Service (AKS). Kontenery z nieaktualnymi obrazami podstawowymi lub niesprawnionymi środowiskami uruchomieniowymi aplikacji wprowadzają zagrożenia bezpieczeństwa i możliwe wektory ataków. Te zagrożenia można zminimalizować, integrując i uruchamiając narzędzia do skanowania i korygowania w kontenerach w środowisku kompilacji i środowiska uruchomieniowego. Wcześniejsza luka w zabezpieczeniach lub nieaktualny obraz podstawowy, tym bezpieczniejsza jest aplikacja.

W tym artykule "kontenery" dotyczą zarówno obrazów kontenerów przechowywanych w rejestrze kontenerów, jak i uruchomionych kontenerów.

Ten artykuł koncentruje się na sposobie zabezpieczania kontenerów w usłudze AKS. Omawiane kwestie:

  • Skanuj pod kątem luk w zabezpieczeniach obrazów i koryguj je.
  • Automatycznie wyzwalaj i ponownie wdrażaj obrazy kontenerów po zaktualizowaniu obrazu podstawowego.

Zabezpieczanie obrazów i środowiska uruchomieniowego

Wskazówki dotyczące najlepszych rozwiązań

  • Skanuj obrazy kontenerów pod kątem luk w zabezpieczeniach.
  • Wdrażane są tylko zweryfikowane obrazy.
  • Regularnie aktualizuj obrazy podstawowe i środowisko uruchomieniowe aplikacji.
  • Ponowne wdrażanie obciążeń w klastrze usługi AKS.

Podczas wdrażania obciążeń opartych na kontenerach chcesz zweryfikować zabezpieczenia obrazów i środowiska uruchomieniowego używanego do tworzenia własnych aplikacji. Aby uniknąć wprowadzania luk w zabezpieczeniach we wdrożeniach, możesz użyć następujących najlepszych rozwiązań:

  • Uwzględnij w przepływie pracy wdrażania proces skanowania obrazów kontenerów przy użyciu narzędzi, takich jak Twistlock lub Aqua.
  • Zezwalaj na wdrażanie tylko zweryfikowanych obrazów.

Skanowanie i korygowanie obrazów kontenerów, weryfikowanie i wdrażanie

Na przykład możesz użyć potoku ciągłej integracji i ciągłego wdrażania (CI/CD), aby zautomatyzować skanowania obrazów, weryfikację i wdrożenia. Azure Container Registry obejmuje te możliwości skanowania luk w zabezpieczeniach.

Automatyczne kompilowanie nowych obrazów przy aktualizacji obrazu podstawowego

Wskazówki dotyczące najlepszych rozwiązań

W miarę używania obrazów podstawowych dla obrazów aplikacji użyj automatyzacji do kompilowania nowych obrazów po zaktualizowaniu obrazu podstawowego. Ponieważ zaktualizowane obrazy podstawowe zwykle obejmują poprawki zabezpieczeń, zaktualizuj wszystkie obrazy kontenerów aplikacji podrzędnych.

Za każdym razem, gdy obraz podstawowy jest aktualizowany, należy również zaktualizować wszystkie podrzędne obrazy kontenerów. Zintegruj ten proces kompilacji z potokami weryfikacji i wdrażania, takimi jak Azure Pipelines lub Jenkins. Te potoki zapewniają, że aplikacje będą nadal działać na zaktualizowanych obrazach opartych na. Po zweryfikowaniu obrazów kontenera aplikacji możesz zaktualizować wdrożenia usługi AKS, aby uruchamiać najnowsze bezpieczne obrazy.

Azure Container Registry Zadania mogą również automatycznie aktualizować obrazy kontenerów po zaktualizowaniu obrazu podstawowego. Dzięki tej funkcji utworzysz kilka obrazów podstawowych i będziesz je aktualizować przy użyciu poprawek usterek i zabezpieczeń.

Aby uzyskać więcej informacji na temat aktualizacji obrazu podstawowego, zobacz Automatyzowanie kompilacji obrazów na podstawie aktualizacji obrazu podstawowego przy użyciu zadań Azure Container Registry.

Następne kroki

W tym artykule opisano sposób zabezpieczania kontenerów. Aby zaimplementować niektóre z tych obszarów, zobacz następujący artykuł: