你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
保护平台是改善 Kubernetes 环境的整体安全性的基础。 本文重点介绍如何配置 Kubernetes 群集、其基础作系统和硬件基础结构,以更安全地运行。 利用内置功能和遵循最佳做法,可以帮助确保平台能够更灵活地应对威胁,并为工作负载和作提供更强大的基础。
随时了解最新的安全修补程序
建议在发布最新安全补丁时,升级您的群集和节点的操作系统。 因此,保持群集与受支持的 Kubernetes 版本同步更新非常重要,因为这些版本会有修补程序发布。 同样,使用受支持的 OS 版本使节点保持最新状态也很重要。
如果你在 Azure Local 上使用 Azure Arc 启用的 AKS,则可以轻松应用此类升级。 还可以轻松 升级 Azure 本地本身。
如果通过已启用 Arc 的 Kubernetes 连接自己的群集,请遵循供应商的指导使其保持最新状态,并为已启用 Arc 的 Kubernetes 代理 配置自动升级 ,以维护群集与 Azure 的连接。
还可以将 扩展 部署到群集:此安全手册的其他部分建议其中许多扩展,以便获得它们可带来的安全优势。 如果是这样,请为这些扩展配置自动升级。
参考文献
在控制平面和工作器节点上配置安全保护
由 Azure Arc 在 Azure Local 上启用的 AKS 会自动配置其控制平面和工作器节点,并具有更安全的默认值。 它激活基础硬件、Windows 主机 OS 和 Linux VM 节点和文件系统中的相应安全功能。 阅读 Azure 本地安全手册 ,详细了解如何保护此平台。 还可以查看 Azure Linux OS 的优势,Azure Arc 启用的 AKS 将其用作容器主机。
如果通过已启用 Arc 的 Kubernetes 连接自己的群集,请确认供应商同样有助于在其硬件、OS 和 Kubernetes 堆栈中自动配置安全默认值。 评估它们是否具有适当的功能,例如硬件信任根、安全启动和驱动器加密。 另请考虑 Microsoft Defender for Endpoint 是否有助于进一步保护群集节点。
此外,无论你的群集是完全由 Microsoft 管理还是你连接自己的群集,你都可以使用 Microsoft Defender for Containers。 它有助于 评估 Kubernetes 节点的运行状况 ,并通知你任何问题。 请参阅 支持矩阵 ,了解哪些功能在哪个级别支持哪些群集类型(预览版或正式版)。
参考文献
保护 Kubernetes 控制平面组件之间的通信
如果在 Azure 本地 Azure Arc 上运行 AKS,则传输层安全性(TLS)用于帮助保护控制平面组件(例如 API 服务器和 etcd)之间的所有跨节点通信。 TLS 证书会定期轮换。
如果通过已启用 Arc 的 Kubernetes 连接自己的群集,则确定节点之间的流量是否受到类似的保护。 按照供应商的指导,评估是否需要执行任何步骤来启用此保护(例如创建和更新证书)。
参考文献
- NIST 应用程序容器安全指南 - 第 4.3.5 节
- NSA Kubernetes 强化指南 - “加密”
- Kubernetes 安全性 - OWASP 备忘单系列 - “限制对 etcd 的访问”
保护对节点的直接访问
通常,我们不建议直接访问群集的节点。 最好通过 API 服务器管理群集,Role-Based 访问控制(RBAC)可帮助控制哪些用户可以执行哪些作。 请参阅我们关于本主题 的进一步指南 。
因此,应默认禁用对工作节点的 SSH 访问。 但是,如果此访问权限确实是必需的,并且你在本地 Azure Arc 上运行 AKS,那么请务必仔细管理它。 创建群集时安全地存储 SSH 密钥 ,并将 SSH 访问限制为仅预期网络地址。 除了这种有限的例外之外,不应该有其他方法能够访问控制平面节点以及在其上运行的 Kubernetes 基础架构组件,例如 kube-scheduler、etcd、kubelet。
最后,由于边缘群集通常驻留在不安全的位置,因此请考虑适当的物理保护(锁定访问、防篡改措施等)。