网络安全为 Kubernetes 群集提供额外的防御层。 本文介绍如何使用网络策略、基础结构配置和特定于 Azure 的功能来控制流量流、分段工作负荷并帮助保护通信。 实施这些措施有助于减少攻击面,并限制对资源的未经授权的访问。
配置 Kubernetes 网络策略以控制对/从工作负载的访问
除了 帮助通过 TLS 保护群集的工作负荷数据流量外,还可以通过创建 网络策略来帮助进一步保护它。 这些策略控制了可以从哪些 Pod、命名空间和 IP 地址接收入站请求,以及可以向哪些目标发送出站请求。 需要部署网络策略引擎来强制实施这些策略。 评估是否可以在群集中使用 Calico 或 Cillium 引擎。
参考文献
- CIS Kubernetes 基准 - 第 1、2 和 4 部分
- NIST 应用程序容器安全指南 - 第 4.5.1-3 节
- NSA Kubernetes 强化指南 - “网络策略”
- Kubernetes 安全性 - OWASP 备忘单系列 - “使用 Kubernetes 网络策略控制流量”
使用 Azure 专用链接(预览版)访问 Azure 资源
除了使用 TLS 和工作负载联合身份验证保护发向 Azure 的流量外,还需要考虑使用适用于已启用 Arc 的群集的 Azure 专用链接(预览版)。 此功能为 Azure Arc 和其他服务(例如 Azure Key Vault)在云虚拟网络中设置专用终结点。 然后,可以使用 站点到站点 VPN 或 ExpressRoute 线路将此网络本身连接到本地。 评估 优点 和 当前限制 ,以确定此解决方案是否适合你。
后续步骤
- 返回到此安全手册的顶部