Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Säkerhet för container- och containeravbildningar är en viktig prioritet när du utvecklar och kör program i Azure Kubernetes Service (AKS). Containrar med inaktuella basavbildningar eller okopplade programkörningar medför säkerhetsrisker och möjliga attackvektorer. Du kan minimera dessa risker genom att integrera och köra genomsöknings- och reparationsverktyg i dina containrar vid kompilering och körning. Ju tidigare du fångar sårbarheten eller den inaktuella basavbildningen, desto säkrare är ditt program.
I den här artikeln refererar "containrar" till både containeravbildningarna som lagras i ett containerregister och containrar som körs.
Den här artikeln fokuserar på hur du skyddar dina containrar i AKS. Du lär dig att:
- Sök efter och åtgärda sårbarheter i avbildningen.
- Utlös och distribuera om containeravbildningar automatiskt när en basavbildning uppdateras.
- Du kan läsa metodtipsen för klustersäkerhet och poddsäkerhet.
- Du kan använda containersäkerhet i Defender för molnet för att söka igenom dina containrar efter säkerhetsrisker. Azure Container Registry-integrering med Defender för molnet skyddar dina avbildningar och register från sårbarheter.
Skydda avbildningarna och körningen
Vägledning för bästa praxis
- Sök igenom containeravbildningarna efter säkerhetsrisker.
- Distribuera endast verifierade avbildningar.
- Uppdatera regelbundet basavbildningarna och programkörningen.
- Distribuera arbetsbelastningar om i AKS-klustret.
När du antar containerbaserade arbetsbelastningar, vill du verifiera säkerheten för containeravbildningar och byggmiljö som används för att skapa dina egna applikationer. För att undvika att införa säkerhetsrisker i dina distributioner kan du använda följande metodtips:
- Inkludera i ditt distributionsarbetsflöde en process för att skanna containeravbildningar med hjälp av verktyg, till exempel Twistlock eller Aqua.
- Tillåt endast att verifierade avbildningar distribueras.
Du kan till exempel använda en CI/CD-pipeline (kontinuerlig integrering och kontinuerlig distribution) för att automatisera avbildningsgenomsökningar, verifiering och distributioner. Azure Container Registry innehåller dessa sårbarhetsgenomsökningsfunktioner.
Skapa nya avbildningar automatiskt vid basavbildningsuppdatering
Vägledning för bästa praxis
När du använder basavbildningar för programavbildningar använder du automation för att skapa nya avbildningar när basavbildningen uppdateras. Eftersom uppdaterade basavbildningar vanligtvis innehåller säkerhetskorrigeringar uppdaterar du eventuella underordnade programcontaineravbildningar.
Varje gång en basavbildning uppdateras bör du även uppdatera eventuella underordnade containeravbildningar. Integrera den här byggprocessen i validerings- och distributionspipelines som Azure Pipelines eller Jenkins. Dessa pipelines ser till att dina program fortsätter att köras på de uppdaterade grundavbildningarna. När dina programcontaineravbildningar har verifierats kan du uppdatera AKS-distributioner för att köra de senaste säkra avbildningarna.
Azure Container Registry Tasks kan också automatiskt uppdatera containeravbildningar när basavbildningen uppdateras. Med den här funktionen skapar du några basavbildningar och håller dem uppdaterade med fel- och säkerhetskorrigeringar.
Mer information om uppdateringar av basavbilder finns i Automatisera bildskapningar när basavbilder uppdateras med Azure Container Registry Tasks.
Nästa steg
Den här artikeln fokuserar på hur du skyddar dina containrar. Om du vill implementera några av dessa områden kan du läsa följande artikel:
Samarbeta med oss på GitHub
Källan för det här innehållet finns på GitHub, där du även kan skapa och granska ärenden och pull-begäranden. Se vår deltagarguide för mer information.
Azure Kubernetes Service