Основные понятия безопасности в AKS, включенные Azure Arc
Область применения: AKS в Azure Stack HCI 22H2, AKS в Windows Server
Безопасность в AKS, включенная Azure Arc, включает в себя защиту инфраструктуры и приложений, работающих в кластере Kubernetes. AKS, включенный Arc, поддерживает варианты гибридного развертывания для Служба Azure Kubernetes (AKS). В этой статье описываются меры защиты и встроенные функции безопасности, используемые для защиты инфраструктуры и приложений в кластерах Kubernetes.
Безопасность инфраструктуры
AKS, включаемый Arc, применяет различные меры безопасности для защиты своей инфраструктуры. Эти меры выделены на следующей схеме:
В следующей таблице описаны аспекты защиты AKS в Azure Stack HCI, показанные на предыдущей схеме. Общие сведения об инфраструктуре развертывания AKS см. в разделе Кластеры и рабочие нагрузки.
| Аспект безопасности | Описание |
|---|---|
| 1 | Так как узел AKS имеет доступ ко всем кластерам рабочей нагрузки (целевым), этот кластер может быть единой точкой компрометации. Однако доступ к узлу AKS тщательно контролируется, так как назначение кластера управления ограничивается подготовкой кластеров рабочих нагрузок и сбором агрегированных метрик кластера. |
| 2 | Чтобы снизить затраты и сложность развертывания, кластеры рабочей нагрузки совместно используют базовый сервер Windows Server. Однако в зависимости от требований безопасности администраторы могут развернуть кластер рабочей нагрузки на выделенном сервере Windows Server. Когда кластеры рабочей нагрузки совместно используют базовый сервер Windows Server, каждый кластер развертывается как виртуальная машина, что обеспечивает надежную изоляцию между кластерами рабочей нагрузки. |
| 3 | Рабочие нагрузки клиентов развертываются как контейнеры и совместно используют одну и ту же виртуальную машину. Контейнеры изолированы друг от друга, что является более слабой формой изоляции по сравнению с надежными гарантиями изоляции, предоставляемыми виртуальными машинами. |
| 4 | Контейнеры взаимодействуют друг с другом по сети наложения. Администраторы могут настроить политики Calico для определения правил сетевой изоляции между контейнерами. Calico поддерживает контейнеры Windows и Linux и является продуктом с открытым кодом, который поддерживается как есть. |
| 5 | Обмен данными между встроенными компонентами Kubernetes AKS в Azure Stack HCI, включая обмен данными между сервером API и узлом контейнера, шифруется с помощью сертификатов. AKS предлагает готовую подготовку, продление и отзыв сертификатов для встроенных сертификатов. |
| 6 | Обмен данными с сервером API с клиентских компьютеров Windows защищен с помощью учетных данных Microsoft Entra для пользователей. |
| 7 | Для каждого выпуска корпорация Майкрософт предоставляет виртуальные жесткие диски для виртуальных машин AKS в Azure Stack HCI и при необходимости применяет соответствующие исправления для системы безопасности. |
Безопасность приложений
В следующей таблице описаны различные параметры безопасности приложений, доступные в AKS, включенном Arc.
Примечание
Вы можете использовать открытый код параметры защиты приложений, доступные в выбранной экосистеме открытый код.
| Параметр | Описание |
|---|---|
| Безопасность | Цель защиты сборок — предотвратить появление уязвимостей в коде приложения или в образах контейнеров при создании образов. Интеграция с Azure GitOps kubernetes с поддержкой Azure Arc помогает выполнять анализ и наблюдение, что дает разработчикам возможность устранять проблемы безопасности. Дополнительные сведения см. в статье Развертывание конфигураций с помощью GitOps в кластере Kubernetes с поддержкой Azure Arc. |
| Безопасность реестра контейнеров | Целью безопасности реестра контейнеров является обеспечение того, чтобы не были обнаружены уязвимости при отправке образов контейнеров в реестр, в то время как образ хранится в реестре, а также во время загрузки образов из реестра. AKS рекомендует использовать Реестр контейнеров Azure. Реестр контейнеров Azure поставляется с проверкой уязвимостей и другими функциями безопасности. Дополнительные сведения см. в документации по Реестр контейнеров Azure. |
| Microsoft Entra удостоверений для рабочих нагрузок Windows с помощью gMSA для контейнеров | Рабочие нагрузки контейнера Windows могут наследовать удостоверение узла контейнера и использовать его для проверки подлинности. Благодаря новым улучшениям узел контейнера не нужно присоединять к домену. Дополнительные сведения см. в статье Интеграция gMSA для рабочих нагрузок Windows. |
Встроенные функции безопасности
В этом разделе описываются встроенные функции безопасности, которые в настоящее время доступны в AKS с поддержкой Azure Arc.
| Цель обеспечения безопасности | Компонент |
|---|---|
| Защита доступа к серверу API. | Поддержка единого входа Active Directory для клиентов PowerShell и Windows Admin Center. В настоящее время эта функция включена только для кластеров рабочей нагрузки. |
| Обеспечьте безопасность обмена данными между встроенными компонентами Kubernetes уровня управления. Сюда входит обеспечение безопасности обмена данными между сервером API и кластером рабочей нагрузки. | Встроенное решение для сертификатов с нуля для подготовки, продления и отзыва сертификатов. Дополнительные сведения см. в разделе Безопасный обмен данными с сертификатами. |
| Смена ключей шифрования хранилища секретов Kubernetes (etcd) с помощью подключаемого модуля сервера управления ключами (KMS). | Подключаемый модуль для интеграции и оркестрации смены ключей с указанным поставщиком KMS. Дополнительные сведения см. в разделе Шифрование секретов etcd. |
| Мониторинг угроз в режиме реального времени для контейнеров, поддерживающих рабочие нагрузки для контейнеров Windows и Linux. | Интеграция с Azure Defender для Kubernetes, подключенной к Azure Arc, которая предлагается в качестве функции общедоступной предварительной версии до выпуска общедоступной версии обнаружения угроз Kubernetes для Kubernetes, подключенной к Azure Arc. Дополнительные сведения см. в статье Защита кластеров Kubernetes с поддержкой Azure Arc. |
| Microsoft Entra удостоверение для рабочих нагрузок Windows. | Используйте интеграцию gMSA для рабочих нагрузок Windows, чтобы настроить удостоверение Microsoft Entra. |
| Поддержка политик Calico для защиты трафика между модулями pod | Сведения об использовании политик Calico см. в статье Защита трафика между модулями pod с помощью политик сети. |
Дальнейшие действия
В этом разделе вы узнали о концепциях защиты AKS, включенных Azure Arc, и о защите приложений в кластерах Kubernetes.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по