注释
此内容是一系列安全书籍之一,提供建议和最佳做法来帮助保护Microsoft平台。 其他 安全书籍包括 Azure 本地安全书籍、 Windows Server 2025 安全手册和 Windows 客户端安全手册。
你的组织可能有 Kubernetes 部署,包括在边缘运行的群集,这些群集可以位于本地的数据中心、工厂、商店或多云环境中。 在这些异类环境中保持一致且可缩放的安全态势通常是一项挑战。 可以通过在边缘基础结构(例如 Azure 本地)上使用 Azure Arc 启用的 Azure Kubernetes 服务(AKS)运行 Azure 托管群集来帮助应对这一难题,并简化安全工作流。 或者,可以使用 已启用 Azure Arc 的 Kubernetes 连接现有的非Microsoft边缘群集。
本书介绍了这些产品如何帮助你保持一致且可缩放的安全态势,包括群集基础结构和应用程序工作负载。 它提供建议,教你如何防范供应链风险、恶意外部行为者或内部攻击等多种威胁路径。 它基于行业最佳做法,例如:
- 国家安全局/网络安全和基础设施安全局(国家安全局/CISA)
- Internet 安全中心(CIS)
- 开放的全球应用程序安全项目 (OWASP)
- 国家标准与技术研究所(NIST)
- Kubernetes 项目本身。
它还与以下内容保持一致:
- Kubernetes 的Microsoft威胁矩阵
- Microsoft AKS 云群集的安全建议,扩展此建议以包括边缘群集的额外注意事项
如果你是安全专业人员,这本书会调查所有这些因素,并提出多个建议。 如果你是直接负责 Kubernetes 开发、部署或操作的领导或工程师,它进一步为你提供了详细的实践建议,告诉你可以采取哪些步骤。
安全挑战分为五类:
确保平台安全。 此类别包括配置 Kubernetes 群集以确保其更安全地运行,并在需要时对其基础操作系统和硬件基础架构进行相同的安全操作,同时适当地使用它们所有的内置功能。
保护工作负荷。 此类别包括遵循 Kubernetes 和 Linux 安全标准更安全地构建容器。 它还介绍如何为群集内外的其他服务的请求建立更安全的身份验证和授权。
确保您的操作安全 此类别包括控制可部署到这些群集的人员。 本文介绍如何在云中使用 Microsoft Entra 和 Azure 基于角色的访问控制(Azure RBAC)统一群集本地 Kubernetes 系统进行身份验证和授权。 它还讨论了如何更好地保护软件供应链并通过策略对部署实施标准。
保护数据。 此类别包括更好地保护对工作负荷应用程序数据的访问,以及 Kubernetes 代表你存储的数据,尤其是密码等机密。
保护网络。 此类别包括通过在网络层面控制管理和数据流量来配置额外的纵深防御。 它讨论如何限制群集和工作负载可从中接收哪些源以及它们可发送到的目标。
本手册针对这些挑战提供了指导,一般来说适用于已启用 Arc 的 Kubernetes 群集,也特别适用于由 Azure Arc 启用的 AKS 群集。
后续步骤
- 了解如何 保护平台