Azure Arc 所啟用 AKS 中的安全性概念
適用於:Azure Stack HCI 22H2 上的 AKS、Windows Server 上的 AKS
Azure Arc 所啟用的 AKS 安全性涉及保護 Kubernetes 叢集上執行的基礎結構和應用程式。 Arc 所啟用的 AKS 支援 Azure Kubernetes Service (AKS) 的混合式部署選項。 本文說明安全性強化量值,以及用來保護 Kubernetes 叢集上基礎結構和應用程式的內建安全性功能。
基礎結構安全性
Arc 所啟用的 AKS 會套用各種安全性措施來保護其基礎結構。 下列圖表醒目提示這些措施:
下表說明上圖所示的 Azure Stack HCI 上 AKS 的安全性強化層面。 如需 AKS 部署基礎結構的概念背景資訊,請參閱 叢集和工作負載。
| 安全性層面 | 描述 |
|---|---|
| 1 | 因為 AKS 主機可以存取所有工作負載 (目標) 叢集,所以此叢集可以是單一入侵點。 然而,AKS 主機的存取權會受到嚴格控管,因為管理叢集的目的僅限於佈建工作負載叢集和收集加總的叢集計量。 |
| 2 | 為降低部署成本和複雜性,工作負載叢集會共用基礎的 Windows 伺服器。 不過,根據安全性需求,管理員可以選擇將工作負載叢集部署在專用的 Windows 伺服器上。 當工作負載叢集共用基礎的 Windows 伺服器時,會將每個叢集部署為虛擬機器,以確保工作負載叢集之間有強式隔離保證。 |
| 3 | 客戶工作負載會部署為容器,並共用相同的虛擬機器。 相較於虛擬機器所提供的強勢隔離保證,容器間使用的是流程隔離形式,為較弱的隔離形式。 |
| 4 | 容器會透過重疊網路與彼此進行通訊。 管理員可以設定 Calico 原則,以定義容器間的網路隔離規則。 Calico 同時支援 Windows 和 Linux 容器,且為現況支援的開放原始碼產品。 |
| 5 | 在 Azure Stack HCI 上的 AKS 內建 Kubernetes 元件之間的通訊(包括 API 伺服器與容器主機之間的通訊),會透過憑證進行加密。 AKS 提供內建憑證的現成憑證布建、更新和撤銷。 |
| 6 | 使用使用者的 Microsoft Entra 認證來保護與 Windows 用戶端電腦的 API 伺服器通訊。 |
| 7 | 針對每個版本,Microsoft 會針對 Azure Stack HCI 上的 AKS VM 提供 VHD,並視需要套用適當的安全性修補程式。 |
應用程式安全性
下表描述 Arc 所啟用 AKS 中可用的不同應用程式安全性選項:
注意
您可以選擇在您選擇的 開放原始碼 生態系統中使用 開放原始碼 應用程式強化選項。
| 選項 | Description |
|---|---|
| 建置安全性 | 保護組建的目標在於產生映像時,避免將漏洞引入應用程式程式碼中或容器映像中。 與已啟用 Azure Arc 的 Azure GitOps 整合,有助於分析和觀察,讓開發人員有機會修正安全性問題。 如需詳細資訊,請參閱使用 GitOps 在已啟用 Arc Kubernetes 叢集上的 Azure Arc 部署設定。 |
| 容器登錄安全性 | 容器登錄安全性是要確保在將容器的映像上傳至登錄、將映射儲存在登錄中,以及從登錄下載映像時,不會引入漏洞。 AKS 建議使用 Azure Container Registry。 Azure Container Registry 隨附弱點掃描和其他安全性功能。 如需詳細資訊,請參閱 Azure Container Registry 文件。 |
| 使用 gMSA 作為容器的 Windows 工作負載 Microsoft Entra 身分識別 | Windows 容器工作負載可以繼承容器主機的身分識別,並將其用於驗證。 透過新的增強功能,容器主機不需要加入網域。 如需詳細資訊,請參閱 Windows 工作負載的 gMSA 整合。 |
內建安全性功能
本節說明 Azure Arc 啟用的 AKS 中目前可用的內建安全性功能:
| 安全性目標 | 功能 |
|---|---|
| 保護 API 伺服器的存取權。 | 針對 PowerShell 和 Windows Admin Center 用戶端支援的 Active Directory 單一登入。 這項功能目前僅針對工作負載叢集啟用。 |
| 確保控制平面內建的 Kubernetes 元件間的所有通訊均受到保護。 這包含確保 API 伺服器和工作負載叢集間的通訊安全無虞。 | 全自動內建憑證解決方案可用於佈建、更新和撤銷憑證。 如需詳細資訊,請參閱 保護與憑證的通訊。 |
| 使用金鑰管理伺服器 (KMS) 外掛程式,將 Kubernetes 密碼存放區 (etcd) 的加密金鑰進行輪替。 | 使用指定的 KMS 提供者來整合和協調金鑰輪替的外掛程式。 若要深入了解,請參閱加密 etcd 秘密。 |
| 針對支援 Windows 和 Linux 容器工作負載的容器進行即時威脅監視。 | 與連線至 Azure Arc 的 Azure Defender 整合,這是公開預覽功能,直到 Kubernetes 連線至 Azure Arc 的 Kubernetes 威脅偵測正式發行為止。如需詳細資訊,請參閱 保護已啟用 Azure Arc 的 Kubernetes 叢集。 |
| Microsoft Entra Windows 工作負載的身分識別。 | 使用適用於 Windows 工作負載的 gMSA 整合來設定 Microsoft Entra 身分識別。 |
| 支援 Calico 原則來保護 pod 之間的流量 | 若要使用 Calico 原則,請參閱使用網路原則來保護 pod 之間的流量。 |
後續步驟
在本主題中,您已了解保護 Azure Arc 所啟用 AKS 的概念,以及保護 Kubernetes 叢集上的應用程式。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應