Azure Kubernetes Service'te (AKS) kapsayıcı görüntüsü yönetimi ve güvenliği için en iyi yöntemler
Azure Kubernetes Service'te (AKS) uygulama geliştirme ve çalıştırma sırasında kapsayıcı ve kapsayıcı görüntüsü güvenliği önemli bir önceliktir. Eski temel görüntüleri veya eşleşmeyen uygulama çalışma zamanları olan kapsayıcılar, güvenlik risklerine ve olası saldırı vektörlerine neden olur. Derleme ve çalışma zamanında kapsayıcılarınızda tarama ve düzeltme araçlarını tümleştirip çalıştırarak bu riskleri en aza indirebilirsiniz. Güvenlik açığını veya güncel olmayan temel görüntüyü ne kadar erken yakalarsanız, uygulamanız o kadar güvenli olur.
Bu makalede "kapsayıcılar", hem kapsayıcı kayıt defterinde depolanan hem de kapsayıcıları çalıştıran kapsayıcı görüntülerini ifade eder.
Bu makalede AKS'de kapsayıcılarınızın güvenliğini sağlama konusuna odaklanmaktadır. Şunları yapmayı öğreneceksiniz:
- Görüntü güvenlik açıklarını tarayın ve düzeltin.
- Temel görüntü güncelleştirildiğinde kapsayıcı görüntülerini otomatik olarak tetikleyin ve yeniden dağıtın.
- Küme güvenliği ve pod güvenliği için en iyi yöntemleri okuyabilirsiniz.
- Kapsayıcılarınızın güvenlik açıklarını taramasına yardımcı olmak için Bulut için Defender'de Kapsayıcı güvenliği'ni kullanabilirsiniz. Bulut için Defender ile Azure Container Registry tümleştirmesi, görüntülerinizin ve kayıt defterinizin güvenlik açıklarına karşı korunmasına yardımcı olur.
Görüntülerin ve çalışma zamanının güvenliğini sağlama
En iyi yöntem kılavuzu
- Kapsayıcı görüntülerinizi güvenlik açıklarına karşı tarayın.
- Yalnızca doğrulanmış görüntüleri dağıtın.
- Temel görüntüleri ve uygulama çalışma zamanını düzenli olarak güncelleştirin.
- AKS kümesindeki iş yüklerini yeniden dağıtın.
Kapsayıcı tabanlı iş yüklerini benimserken, kendi uygulamalarınızı oluşturmak için kullanılan görüntülerin ve çalışma zamanının güvenliğini doğrulamak istiyorsunuz. Dağıtımlarınıza güvenlik açıklarının getirilmesini önlemeye yardımcı olmak için aşağıdaki en iyi yöntemleri kullanabilirsiniz:
- Dağıtım iş akışınıza Twistlock veya Aqua gibi araçları kullanarak kapsayıcı görüntülerini tarama işlemi ekleyin.
- Yalnızca doğrulanmış görüntülerin dağıtılmasına izin verin.
Örneğin, görüntü taramalarını, doğrulamayı ve dağıtımları otomatikleştirmek için sürekli tümleştirme ve sürekli dağıtım (CI/CD) işlem hattı kullanabilirsiniz. Azure Container Registry bu güvenlik açıklarını tarama özelliklerini içerir.
Temel görüntü güncelleştirmesinde otomatik olarak yeni görüntüler oluşturma
En iyi yöntem kılavuzu
Uygulama görüntüleri için temel görüntüleri kullanırken, temel görüntü güncelleştirildiğinde yeni görüntüler oluşturmak için otomasyon kullanın. Güncelleştirilmiş temel görüntüler genellikle güvenlik düzeltmeleri içerdiğinden, aşağı akış uygulama kapsayıcı görüntülerini güncelleştirin.
Temel görüntü her güncelleştirildiğinde, aşağı akış kapsayıcı görüntülerini de güncelleştirmeniz gerekir. Bu derleme işlemini Azure Pipelines veya Jenkins gibi doğrulama ve dağıtım işlem hatlarıyla tümleştirin. Bu işlem hatları, uygulamalarınızın güncelleştirilmiş tabanlı görüntülerde çalışmaya devam etmesini sağlar. Uygulama kapsayıcı görüntüleriniz doğrulandıktan sonra AKS dağıtımlarını en son güvenli görüntüleri çalıştıracak şekilde güncelleştirebilirsiniz.
Azure Container Registry Görevleri, temel görüntü güncelleştirildiğinde kapsayıcı görüntülerini de otomatik olarak güncelleştirebilir. Bu özellik sayesinde birkaç temel görüntü oluşturur ve hata ve güvenlik düzeltmeleriyle bunları güncel tutarsınız.
Temel görüntü güncelleştirmeleri hakkında daha fazla bilgi için bkz . Azure Container Registry Görevleri ile temel görüntü güncelleştirmesinde görüntü derlemelerini otomatikleştirme.
Sonraki adımlar
Bu makale kapsayıcılarınızın güvenliğini sağlama konusuna odaklanmıştır. Bu alanlardan bazılarını uygulamak için aşağıdaki makaleye bakın:
Azure Kubernetes Service