Segurança de clusters e aplicaçõesCluster and application security

Familiarize-se com o essencial de segurança da Kubernetes e reveja a configuração segura para clusters e orientação de segurança de aplicações.Familiarize yourself with Kubernetes security essentials and review the secure setup for clusters and application security guidance.

Plano, comboio e provaPlan, train, and proof

À medida que começa, a lista de verificação e os recursos abaixo irão ajudá-lo a planear operações de cluster e segurança.As you get started, the checklist and resources below will help you plan for cluster operations and security. Deverá poder responder a estas perguntas:You should be able answer these questions:

  • Já reviu o modelo de segurança e ameaça dos aglomerados de Kubernetes?Have you reviewed the security and threat model of Kubernetes clusters?
  • O seu cluster está habilitado para o controlo de acesso baseado em funções?Is your cluster enabled for role-based access control?
Lista de VerificaçãoChecklist RecursosResources
Familiarize-se com o papel branco essencial da segurança.Familiarize yourself with the security essentials white paper. Os principais objetivos de um ambiente seguro de Kubernetes são garantir que as aplicações que executa são protegidas, que as questões de segurança podem ser identificadas e abordadas rapidamente, e que futuras questões semelhantes serão evitadas.The primary goals of a secure Kubernetes environment are ensuring that the applications it runs are protected, that security issues can be identified and addressed quickly, and that future similar issues will be prevented. O guia definitivo para assegurar Kubernetes (livro branco)The definitive guide to securing Kubernetes (white paper)
Reveja a configuração de endurecimento de segurança para os nós de cluster.Review the security hardening setup for the cluster nodes. Um hospedeiro de segurança endurecido o SISTEMA reduz a área de superfície do ataque e permite a colocação de recipientes em segurança.A security hardened host OS reduces the surface area of attack and allows deploying containers securely. Endurecimento de segurança em anfitriões de máquinas virtuais AKSSecurity hardening in AKS virtual machine hosts
Configurar o controlo de acesso baseado em funções de cluster (RBAC).Setup cluster role-based access control (RBAC). Este mecanismo de controlo permite atribuir aos utilizadores, ou grupos de utilizadores, permissão para fazer coisas como criar ou modificar recursos, ou ver registos de cargas de trabalho de aplicações.This control mechanism lets you assign users, or groups of users, permission to do things like create or modify resources, or view logs from running application workloads. Compreender o controlo de acesso baseado em funções (RBAC) em Kubernetes (vídeo)Understand role-based access control (RBAC) in Kubernetes (video)
Integre a AD AZure com o Serviço Azure KubernetesIntegrate Azure AD with Azure Kubernetes Service
Limitar o acesso ao ficheiro de configuração do clusterLimit access to cluster configuration file

Implementar para a produção e aplicar as melhores práticasDeploy to production and apply best practices

Ao preparar a candidatura para a produção, deve implementar um conjunto mínimo de boas práticas.As you prepare the application for production, you should implement a minimum set of best practices. Utilize a lista de verificação abaixo nesta fase.Use the checklist below at this stage. Deverá ser capaz de responder a estas perguntas:You should be able to answer these questions:

  • Configuraste as regras de segurança da rede para a entrada, saída e comunicação intra-pod?Have you configured network security rules for ingress, egress, and intra-pod communication?
  • O seu cluster está configurado para aplicar automaticamente atualizações de segurança de nó?Is your cluster configured to automatically apply node security updates?
  • Está a executar uma solução de verificação de segurança para o seu cluster e cargas de trabalho de contentores?Are you running a security scanning solution for your cluster and container workloads?
Lista de VerificaçãoChecklist RecursosResources
Controle o acesso a clusters usando a filiação do grupo.Control access to clusters using group membership. Configure o controlo de acesso baseado em funções (RBAC) para limitar o acesso aos recursos de cluster com base na identidade do utilizador ou na adesão ao grupo.Configure Kubernetes role-based access control (RBAC) to limit access to cluster resources based on user identity or group membership. Controlar o acesso a clusters utilizando grupos RBAC e Azure ADControl access to clusters using RBAC and Azure AD groups
Criar uma política de gestão de segredos.Create a secrets management policy. Implementar e gerir de forma segura informações sensíveis, tais como palavras-passe e certificados, utilizando a gestão de segredos em Kubernetes.Securely deploy and manage sensitive information, such as passwords and certificates, using secrets management in Kubernetes. Compreender a gestão de segredos em Kubernetes (vídeo)Understand secrets management in Kubernetes (video)
Proteger o tráfego da rede intra-pod com políticas de rede.Secure intra-pod network traffic with network policies. Aplicar o princípio do menor privilégio para controlar o fluxo de tráfego de rede entre as cápsulas do cluster.Apply the principle of least privilege to control network traffic flow between pods in the cluster. Tráfego intra-pod seguro com políticas de redeSecure intra-pod traffic with network policies
Restringir o acesso ao servidor API utilizando IPs autorizados.Restrict access to the API server using authorized IPs. Melhorar a segurança do cluster e minimizar a superfície de ataque limitando o acesso ao servidor API a um conjunto limitado de intervalos de endereços IP.Improve cluster security and minimize attack surface by limiting access to the API server to a limited set of IP address ranges. Acesso seguro ao servidor APISecure access to the API server
Restringir o tráfego de esrupção de aglomerados.Restrict cluster egress traffic. Saiba quais portas e endereços para permitir se restringir o tráfego de saída para o cluster.Learn what ports and addresses to allow if you restrict egress traffic for the cluster. Pode utilizar o Azure Firewall ou um aparelho de firewall de terceiros para proteger o tráfego da sua saída e definir as portas e endereços necessários.You can use Azure Firewall or a third-party firewall appliance to secure your egress traffic and define these required ports and addresses. Controlo de tráfego de aglomerados em AKSControl egress traffic for cluster nodes in AKS
Tráfego seguro com firewall de aplicação web (WAF).Secure traffic with Web Application Firewall (WAF). Utilize o Gateway de Aplicação Azure como controlador de entrada para clusters Kubernetes.Use Azure Application Gateway as an ingress controller for Kubernetes clusters. Configure Azure Application Gateway como controlador de entradaConfigure Azure Application Gateway as an ingress controller
Aplicar atualizações de segurança e kernel nos nós dos trabalhadores.Apply security and kernel updates to worker nodes. Compreenda a experiência de atualização do nó AKS.Understand the AKS node update experience. Para proteger os seus clusters, as atualizações de segurança são automaticamente aplicadas aos nós Linux em AKS.To protect your clusters, security updates are automatically applied to Linux nodes in AKS. Estas atualizações incluem correções de segurança de SO ou atualizações de kernel.These updates include OS security fixes or kernel updates. Algumas destas atualizações requerem um reboot de nó para completar o processo.Some of these updates require a node reboot to complete the process. Use kured para reiniciar automaticamente os nosdes para aplicar atualizaçõesUse kured to automatically reboot nodes to apply updates
Configure uma solução de digitalização de recipientes e agrupamentos.Configure a container and cluster scanning solution. Os recipientes de digitalização empurrados para o Registo do Contentor de Azure e ganham uma visibilidade mais profunda aos seus nós de cluster, tráfego de nuvens e controlos de segurança.Scan containers pushed into Azure Container Registry and gain deeper visibility to your cluster nodes, cloud traffic, and security controls. Integração do Registo de Contentores Azure com o Centro de SegurançaAzure Container Registry integration with Security Center
Integração do Serviço Azure Kubernetes com o Security CenterAzure Kubernetes Service integration with Security Center

Otimizar e escalarOptimize and scale

Agora que a aplicação está em produção, como pode otimizar o seu fluxo de trabalho e preparar a sua aplicação e equipa em escala?Now that the application is in production, how can you optimize your workflow and prepare your application and team to scale? Utilize a lista de verificação de otimização e escala para preparar.Use the optimization and scaling checklist to prepare. Deve ser capaz de responder:You should be able to answer:

  • Pode impor políticas de governação e de clusters em escala?Can you enforce governance and cluster policies at scale?
Lista de VerificaçãoChecklist RecursosResources
Impor políticas de governação de clusters.Enforce cluster governance policies. Aplique aplicações e salvaguardas em escala nos seus aglomerados de forma centralizada e consistente.Apply at-scale enforcements and safeguards on your clusters in a centralized, consistent manner. Implementações de controlo com a Política AzureControl deployments with Azure Policy
Rode periodicamente os certificados de agrupamento.Rotate cluster certificates periodically. A Kubernetes utiliza certificados para autenticação com muitos dos seus componentes.Kubernetes uses certificates for authentication with many of its components. Pode querer rodar periodicamente esses certificados por razões de segurança ou política.You may want to periodically rotate those certificates for security or policy reasons. Rotate certificados no Serviço Azure Kubernetes (AKS)Rotate certificates in Azure Kubernetes Service (AKS)