Säkerhetsbegrepp i AKS som aktiveras av Azure Arc
Gäller för: AKS på Azure Stack HCI 22H2, AKS på Windows Server
Säkerhet i AKS som aktiveras av Azure Arc innebär att skydda infrastrukturen och de program som körs i Kubernetes-klustret. AKS som aktiveras av Arc stöder hybriddistributionsalternativ för Azure Kubernetes Service (AKS). Den här artikeln beskriver säkerhetshärdningsåtgärder och inbyggda säkerhetsfunktioner som används för att skydda infrastrukturen och programmen i Kubernetes-kluster.
Säkerhet för infrastruktur
AKS som aktiveras av Arc tillämpar olika säkerhetsåtgärder för att skydda infrastrukturen. Följande diagram visar dessa mått:
I följande tabell beskrivs säkerhetshärdningsaspekterna av AKS på Azure Stack HCI som visas i föregående diagram. Konceptuell bakgrundsinformation om infrastrukturen för en AKS-distribution finns i Kluster och arbetsbelastningar.
| Säkerhetsaspekt | Beskrivning |
|---|---|
| 1 | Eftersom AKS-värden har åtkomst till alla arbetsbelastningskluster (mål) kan det här klustret vara en enda kompromisspunkt. Åtkomsten till AKS-värden kontrolleras dock noggrant eftersom hanteringsklustrets syfte är begränsat till att etablera arbetsbelastningskluster och samla in aggregerade klustermått. |
| 2 | För att minska distributionskostnaden och komplexiteten delar arbetsbelastningskluster den underliggande Windows Server. Beroende på säkerhetsbehoven kan administratörer dock välja att distribuera ett arbetsbelastningskluster på en dedikerad Windows Server. När arbetsbelastningskluster delar den underliggande Windows Server distribueras varje kluster som en virtuell dator, vilket garanterar starka isoleringsgarantier mellan arbetsbelastningskluster. |
| 3 | Kundarbetsbelastningar distribueras som containrar och delar samma virtuella dator. Containrarna är processisolerade från varandra, vilket är en svagare form av isolering jämfört med starka isoleringsgarantier som erbjuds av virtuella datorer. |
| 4 | Containrar kommunicerar med varandra över ett överläggsnätverk. Administratörer kan konfigurera Calico-principer för att definiera regler för nätverksisolering mellan containrar. Calico stöder både Windows- och Linux-containrar och är en produkt med öppen källkod som stöds som den är. |
| 5 | Kommunikationen mellan inbyggda Kubernetes-komponenter i AKS på Azure Stack HCI, inklusive kommunikation mellan API-servern och containervärden, krypteras via certifikat. AKS erbjuder en inaktuell certifikatetablering, förnyelse och återkallning för inbyggda certifikat. |
| 6 | Kommunikation med API-servern från Windows-klientdatorer skyddas med Microsoft Entra autentiseringsuppgifter för användare. |
| 7 | För varje version tillhandahåller Microsoft virtuella hårddiskar för virtuella AKS-datorer på Azure Stack HCI och tillämpar lämpliga säkerhetskorrigeringar vid behov. |
Programsäkerhet
I följande tabell beskrivs de olika programsäkerhetsalternativ som är tillgängliga i AKS som aktiveras av Arc:
Anteckning
Du har möjlighet att använda öppen källkod programhärdningsalternativ som är tillgängliga i det öppen källkod ekosystem du väljer.
| Alternativ | Beskrivning |
|---|---|
| Skapa säkerhet | Målet för att skydda byggen är att förhindra att sårbarheter introduceras i programkoden eller i containeravbildningarna när avbildningarna genereras. Integrering med Azure GitOps of Kubernetes, som är Azure Arc-aktiverat, hjälper till med analys och observation, vilket ger utvecklare möjlighet att åtgärda säkerhetsproblem. Mer information finns i Distribuera konfigurationer med GitOps i ett Azure Arc-aktiverat Kubernetes-kluster. |
| Säkerhet för containerregister | Målet med containerregistrets säkerhet är att säkerställa att säkerhetsrisker inte införs när containeravbildningar laddas upp till registret, medan avbildningen lagras i registret och under nedladdningar av avbildningar från registret. AKS rekommenderar att du använder Azure Container Registry. Azure Container Registry levereras med sårbarhetsgenomsökning och andra säkerhetsfunktioner. Mer information finns i dokumentationen om Azure Container Registry. |
| Microsoft Entra identiteter för Windows-arbetsbelastningar med gMSA för containrar | Arbetsbelastningar för Windows-container kan ärva containervärdens identitet och använda den för autentisering. Med de nya förbättringarna behöver containervärden inte vara domänansluten. Mer information finns i gMSA-integrering för Windows-arbetsbelastningar. |
Inbyggda säkerhetsfunktioner
I det här avsnittet beskrivs de inbyggda säkerhetsfunktionerna som för närvarande är tillgängliga i AKS som aktiveras av Azure Arc:
| Säkerhetsmål | Funktion |
|---|---|
| Skydda åtkomsten till API-servern. | Stöd för enkel inloggning i Active Directory för PowerShell- och Windows Admin Center-klienter. Den här funktionen är för närvarande endast aktiverad för arbetsbelastningskluster. |
| Se till att all kommunikation mellan inbyggda Kubernetes-komponenter i kontrollplanet är säker. Detta inkluderar att se till att kommunikationen mellan API-servern och arbetsbelastningsklustret också är säker. | Zero touch inbyggd certifikatlösning för att etablera, förnya och återkalla certifikat. Mer information finns i Säker kommunikation med certifikat. |
| Rotera krypteringsnycklar för Kubernetes-hemlighetsarkivet (etcd) med hjälp av plugin-programmet Key Management Server (KMS). | Plugin-program för integrering och orkestrering av nyckelrotation med angiven KMS-provider. Mer information finns i Kryptera etcd-hemligheter. |
| Hotövervakning i realtid för containrar som stöder arbetsbelastningar för både Windows- och Linux-containrar. | Integrering med Azure Defender för Kubernetes som är ansluten till Azure Arc, som erbjuds som en offentlig förhandsversion tills GA-versionen av Kubernetes hotidentifiering för Kubernetes som är ansluten till Azure Arc. Mer information finns i Försvara Azure Arc-aktiverade Kubernetes-kluster. |
| Microsoft Entra identitet för Windows-arbetsbelastningar. | Använd gMSA-integrering för Windows-arbetsbelastningar för att konfigurera Microsoft Entra identitet. |
| Stöd för Calico-principer för att skydda trafik mellan poddar | Information om hur du använder Calico-principer finns i Skydda trafik mellan poddar med hjälp av nätverksprinciper. |
Nästa steg
I det här avsnittet har du lärt dig om begreppen för att skydda AKS som aktiveras av Azure Arc och om att skydda program i Kubernetes-kluster.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för