Dans quelle mesure vos conteneurs sont-ils sécurisés dans Azure ?

La sécurité des conteneurs avec AKS dans Microsoft Azure

Grâce aux conteneurs la livraison de logiciels est plus efficace, évolutive et portative. En revanche, leur sécurité doit être abordée d'un angle différent et requiert certaines pratiques exemplaires. Si votre application est bâtie dans Microsoft Azure et utilise AKS (Azure Kubernetes Service), elle tire déjà profit d'un ensemble de fonctionnalités qui augmentera naturellement la sécurité de vos conteneurs. Par contre, Azure offre de nombreuses fonctionnalités Kubernetes avancées qui protègeront vos mots de passe et votre information confidentielle seulement si elles sont activées. Il est vrai que les configurations par défaut aident, mais pour réellement sécuriser les conteneurs, il faut des pratiques beaucoup plus avancées. Répondez à ce questionnaire pour savoir où vous vous situez.

Question Title

* 1. Est-ce que je planifie de connecter à Azure mon environnement sur place afin de l'utiliser avec AKS ?

Oui

Non

Vous pouvez tout de même utiliser le réseautage de base si vous n'avez pas à vous connecter soit à un réseau virtuel sur place, soit à un réseau Azure existant. Cependant, le réseautage et les pare-feux avancés offrent une couche de sécurité supplémentaire pour les applications conteneurisées. Cela est particulièrement vrai lorsqu'il faut se connecter soit à un réseau virtuel sur place, soit à un réseau Azure existant. Le réseautage avancé de Azure place automatiquement des grappes AKS dans des VNETs préconfigurés transmettant le trafic aux NSGs qui sont créés par défaut. Cliquez ici pour en apprendre davantage sur les façons de configurer le réseautage avancé dans votre grappe AKS.

Question Title

* 2. Comment authentifier mes utilisateurs et mes systèmes de déploiement vers mes grappes Kubernetes ?

Se connecter à la grappe Azure avec les identifiants az aks get-credentials, puis partager ces identifiants avec tous les membres de l'équipe.

Utiliser l'Active Directory (AD) de Azure pour le contrôle d'accès basé sur les rôles (CABR)

Les identifiants obtenus par « az aks get-credients » sont des utilisateurs de niveau admin qui ont un accès complet à votre système. Ces identifiants peuvent détruire un déploiement ou causer des ravages s'ils se retrouvent entre les mauvaises mains. À l'opposé, le CABR restreint l'accès qu'aux utilisateurs autorisés. Cela signifie que les permissions individuelles n'ont pas à être assignées à chaque utilisateur. L'Active Directory (AD) de Azure est un fournisseur d'identité qui sécurisera votre serveur Kubernetes API d'une extrémité à l'autre lorsque vos créerez des grappes AKS. Il est déjà intégré dans Azure et est essentiel afin de réellement sécuriser vos conteneurs dans Azure.

Question Title

* 3. Comment authentifier ma grappe Kubernetes afin de tirer des images du registre de conteneurs d'Azure ?

Secrets Kubernetes

Principaux de service

Les principaux de service dans Azure fonctionnent comme des comptes de service plutôt que des utilisateurs interactifs. Octroyer l'accès à ACR (Azure Container Registry) aux principaux de service durant la configuration éliminera le besoin de tirer de secrets vers Kubernetes. La grappe AKS aura déjà les permissions adéquates pour tirer de ce registre. Maintenez les droits d'accès des profils admin des principaux de services au minimum requis et créez différents profils pour différentes grappes.

Si vous authentifiez vos grappes Kubernetes avec les secrets Kubernetes, vous facilitez les mots de passe de niveau admin sur votre registre Docker utilisé pour Kubernetes. Ainsi, personne ne peut compromettre vos images stockées dans un ACR. Avec le principal de service d'Azure, vous n'aurez pas à vous préoccuper de changer vos mots de passe manuellement (rotation de mot de passe), ce qui doit être fait habituellement tous les 60 à 90 jours.

Question Title

* 4. Ai-je automatisé la réinitialisation de nœuds ?

Oui

Non

Les systèmes d'exploitation désuets sont plus vulnérables à l'exploitation des failles de sécurité ; il est donc important de maintenir vos systèmes d'exploitation à jour en automatisant la réinitialisation de vos nœuds afin d'appliquer les correctifs. Cela empêchera les dérives de configuration qui pourraient rendre votre application vulnérable aux défauts connus. Les nœuds AKS téléchargent et installent automatiquement les mises à jour et les correctifs de sécurité du système d'exploitation, mais ils ne le réinitialisent pas automatiquement. Il faut maintenir un rythme régulier de réinitialisation de nœuds afin de garder votre système d'exploitation sécurisé.

Question Title

* 5. Est-ce que j'utilise les namespaces, les plages de limites et les quotas ?

Oui

Non

Les namespaces sont importants afin d'isoler les grappes. Lorsqu'ils sont liés aux plages de limites et aux quotas, ils peuvent grandement augmenter la sécurité. Comme les ressources non restreintes d'UCT et de mémoire sont sujettes à consommer beaucoup plus que nécessaire, les plages de limites et les quotas assurent que tous les namespaces ont accès au même niveau de sécurité. Afin de bien garder vos conteneurs sécurisés, commencez pas assigner des limites de requête de pods afin de réduire l'influence que les charges de travail ont l'une sur l'autre.

Question Title

* 6. Ai-je limité l'accès SSH aux hôtes ?

Oui

Non

C'est une pratique courante que de limiter l'accès SSH aux machines virtuelles dans des environnements traditionnels, et cela déborde dans les conteneurs. Limiter l'accès SSH aux hôtes de conteneurs localisera les failles au sein du noyau dans lequel elles ont eu lieu.

Question Title

* 7. Est-ce que j'utilise des outils de balayage de vulnérabilité d'images de conteneurs ?

Oui

Non

C'est une pratique courante que d'utiliser un outil antivirus ou un logiciel de détection d'intrusion qui balaye les applications et alerte les utilisateurs s'il détecte des vulnérabilités. Comme les conteneurs comportent eux-mêmes des risques liés à la sécurité, les environnements conteneurisés devraient utiliser des outils de balayage de vulnérabilités pour les images de conteneurs ; ces outils sont au courant des risques liés à la sécurité. Microscannerest un balayeur de vulnérabilité d'image gratuit et est très bien pour commencer.

Question Title

* 8. Comment est-ce que je présente le tableau de bord de Kubernetes aux utilisateurs ?

Je n'ai pas de tableau de bord Kubernetes ou je crée un tunnel vers mon tableau de bord avec « kubectl proxy » ou « kubectl port-forward » ou « az aks browse ».

J'expose le tableau de bord avec un équilibreur de charge ou un contrôleur d'entrées sans mécanismes d'authentification.

Si vous avez répondu oui, cela signifie que vous accédez au tableau de bord via un mécanisme de redirection de port TLS (Transport Layer Security) sécurisé qui rend vos conteneurs beaucoup plus sécurisés. Cela vous permet d'éviter d'exposer publiquement les extrémités de votre tableau de bord Kubernetes et rend l'accès à l'interface utilisateur Kubernetes beaucoup plus sécurisé.

Un tableau de bord qui est exposé via un contrôleur d'entrée d'équilibreur de charge sans mécanismes d'authentification, particulièrement celui qui vient avec AKS, est facile à escroquer. Le tableau de bord pourrait être utilisé pour créer des mineurs de cryptomonnaie ou pour supprimer en un seul clic, tous vos environnements de production.

Question Title

* 9. Nous avons quelques trucs et astuces pour augmenter la sécurité de vos conteneurs dans Azure. Où devrions-nous les envoyer ?

Nom

Compagnie

Courriel