Рекомендации по управлению и защите образов контейнеров в Службе Azure Kubernetes (AKS)

Безопасность контейнеров и образов контейнеров является одним из основных приоритетов при разработке и запуске приложений в Служба Azure Kubernetes (AKS). Контейнеры с устаревшими базовыми образами или неотправленными средами выполнения приложений представляют угрозу безопасности и возможные векторы атак. Эти риски можно свести к минимуму, интегрируя и запуская средства сканирования и исправления в контейнерах во время сборки и выполнения. Чем раньше вы перехватите уязвимость или устаревший базовый образ, тем безопаснее приложение.

В этой статье "контейнеры" относятся как к образам контейнеров, хранящимся в реестре контейнеров, так и к запущенным контейнерам.

Эта статья посвящается вопросам, связанным с безопасностью контейнеров в AKS. Вы узнаете, как выполнять следующие задачи:

• Сканирование и устранение уязвимости образов.
• Автоматическое активирование и повторное развертывание образов контейнеров при обновлении базового образа.

• Вы можете ознакомиться с рекомендациями по обеспечению безопасности кластера и pod.
• Безопасность контейнеров в Defender для облака позволяет проверять контейнеры на наличие уязвимостей. Интеграция реестра контейнеров Azure с Центром безопасности защищает образы и реестр от уязвимостей.

Защита образов и среды выполнения

Общие рекомендации

• Сканируйте образы контейнеров на наличие уязвимостей.
• Развертывайте только проверенные образы.
• Регулярно обновляйте базовые образы и среду выполнения приложения.
• Повторно развертывайте рабочие нагрузки в кластере AKS.

При внедрении рабочих нагрузок на основе контейнеров необходимо проверить безопасность образов и среды выполнения, используемых для создания собственных приложений. Чтобы избежать уязвимостей системы безопасности в развертываниях, воспользуйтесь следующими рекомендациями:

• Включите в рабочий процесс развертывания процесс сканирования образов контейнеров с помощью таких средств, как Twistlock или Aqua.
• Разрешите развертывание только проверенных образов.

Например, вы можете использовать конвейер непрерывной интеграции и непрерывного развертывания (CI/CD) для автоматизации сканирования, проверки и развертывания образов. Реестр контейнеров Azure включает в себя эти возможные сканирования уязвимости.

Автоматическое создание новых образов на основе обновления базового образа

Общие рекомендации

Поскольку вы используете базовые образы для образов приложений, используйте автоматизацию для создания новых образов при обновлении базового образа. Поскольку обновленные базовые образы обычно включают исправления безопасности, обновите все образы контейнеров подчиненных приложений.

При каждом обновлении базового образа все нижестоящие образы контейнеров следует также обновить. Этот процесс сборки следует интегрировать в конвейеры проверки и развертывания, например в Конвейеры Azure или Jenkins. Эти конвейеры гарантируют, что приложения продолжают работать на обновленных образах. После проверки образов контейнеров приложений можно обновить развертывания AKS для запуска последних защищенных образов.

Задачи Реестра контейнеров Azure также могут автоматически обновлять образы контейнеров после обновления базового образа. С помощью этой функции вы создаете несколько базовых образов и обновляете их, добавляя исправления ошибок и безопасности.

Дополнительные сведения см. в статьи Руководство. автоматизации сборок образов контейнера при обновлении базового образа в службе "Реестр контейнеров Azure".

Дальнейшие действия

Эта статья посвящена вопросам безопасности контейнеров. Чтобы реализовать некоторые из этих областей, см. следующую статью:

• Руководство. автоматизации сборок образов контейнера при обновлении базового образа в службе "Реестр контейнеров Azure"