Osvědčené postupy pro správu a zabezpečení imagí kontejnerů ve službě Azure Kubernetes Service (AKS)

  • Článek

Zabezpečení imagí kontejnerů a kontejnerů je hlavní prioritou při vývoji a spouštění aplikací ve službě Azure Kubernetes Service (AKS). Kontejnery se zastaralými základními imagemi nebo nepatchovanými moduly runtime aplikací představují bezpečnostní rizika a možné vektory útoku. Tato rizika můžete minimalizovat integrací a spuštěním nástrojů pro kontrolu a nápravu v kontejnerech za běhu. Čím dříve zachytíte ohrožení zabezpečení nebo zastaralou základní image, tím bezpečnější je vaše aplikace.

V tomto článku "kontejnery" odkazuje jak na image kontejneru uložené v registru kontejneru, tak na spuštěné kontejnery.

Tento článek se zaměřuje na zabezpečení kontejnerů v AKS. Získáte informace pro:

  • Vyhledejte a opravte ohrožení zabezpečení imagí.
  • Automaticky aktivují a nasadí image kontejneru při aktualizaci základní image.
  • Můžete si přečíst osvědčené postupy pro zabezpečení clusteru a zabezpečení podů.
  • Zabezpečení kontejneru v defenderu pro cloud můžete použít ke kontrole ohrožení zabezpečení kontejnerů. Integrace služby Azure Container Registry s programem Defender for Cloud pomáhá chránit image a registr před ohroženími zabezpečení.

Zabezpečení imagí a modulu runtime

Pokyny k osvědčeným postupům

  • Zkontrolujte ohrožení zabezpečení imagí kontejneru.
  • Nasaďte jenom ověřené image.
  • Pravidelně aktualizujte základní image a modul runtime aplikace.
  • Opětovné nasazení úloh v clusteru AKS

Při přijímání úloh založených na kontejnerech chcete ověřit zabezpečení imagí a modulu runtime, které se používají k vytváření vlastních aplikací. Pokud chcete zabránit zavedení ohrožení zabezpečení do vašich nasazení, můžete použít následující osvědčené postupy:

  • Zahrnout do pracovního postupu nasazení proces skenování imagí kontejneru pomocí nástrojů, jako je Twistlock nebo Aqua.
  • Povolte nasazení jenom ověřených imagí.

Prohledávání a oprava imagí kontejneru, ověření a nasazení

Můžete například použít kanál kontinuální integrace a průběžného nasazování (CI/CD) k automatizaci kontrol obrázků, ověření a nasazení. Azure Container Registry zahrnuje tyto možnosti kontroly ohrožení zabezpečení.

Automatické sestavování nových imagí při aktualizaci základní image

Pokyny k osvědčeným postupům

Při použití základních imagí pro image aplikací použijte automatizaci k sestavení nových imagí při aktualizaci základní image. Vzhledem k tomu, že aktualizované základní image obvykle zahrnují opravy zabezpečení, aktualizujte všechny image kontejneru podřízených aplikací.

Při každé aktualizaci základní image byste měli aktualizovat také všechny image podřízeného kontejneru. Integrujte tento proces sestavení do kanálů ověřování a nasazení, jako jsou Azure Pipelines nebo Jenkins. Tyto kanály zajišťují, aby vaše aplikace dál běžely na aktualizovaných imagích. Po ověření imagí kontejneru aplikací pak můžete aktualizovat nasazení AKS tak, aby spouštěla nejnovější zabezpečené image.

Úlohy služby Azure Container Registry také můžou automaticky aktualizovat image kontejneru při aktualizaci základní image. Pomocí této funkce vytvoříte několik základních imagí a budete je aktualizovat o chyby a opravy zabezpečení.

Další informace o aktualizacích základních imagí najdete v tématu Automatizace sestavení imagí na základní aktualizaci imagí pomocí úloh služby Azure Container Registry.

Další kroky

Tento článek se zaměřuje na to, jak zabezpečit kontejnery. Pokud chcete implementovat některé z těchto oblastí, přečtěte si následující článek: