Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: AKS no Windows Server
A segurança no AKS no Windows Server envolve proteger a infraestrutura e os aplicativos em execução no cluster do Kubernetes. O AKS no Windows Server dá suporte a opções de implantação híbrida para o AKS (Serviço de Kubernetes do Azure). Este artigo descreve as medidas de proteção de segurança e os recursos de segurança integrados usados para proteger a infraestrutura e os aplicativos em clusters do Kubernetes.
Segurança da infraestrutura
O AKS no Windows Server aplica várias medidas de segurança para proteger sua infraestrutura. O diagrama a seguir realça estas medidas:
A tabela a seguir descreve os aspectos de reforço de segurança do AKS no Windows Server, conforme mostrado no diagrama anterior. Para obter informações conceituais sobre a infraestrutura de uma implantação do AKS, consulte Clusters e cargas de trabalho.
| Aspecto de segurança | Descrição |
|---|---|
| 1 | Como o host do AKS tem acesso a todos os clusters de carga de trabalho (destino), esse cluster pode ser um único ponto de comprometimento. No entanto, o acesso ao host do AKS é cuidadosamente controlado, pois a finalidade do cluster de gerenciamento é limitada ao provisionamento de clusters de carga de trabalho e à coleta de métricas de cluster agregadas. |
| 2 | Para reduzir o custo e a complexidade da implantação, os clusters de carga de trabalho compartilham o Windows Server subjacente. No entanto, dependendo das necessidades de segurança, os administradores podem optar por implantar um cluster de carga de trabalho em um Windows Server dedicado. Quando os clusters de carga de trabalho compartilham o Windows Server subjacente, cada cluster é implantado como uma máquina virtual, o que garante fortes garantias de isolamento entre os clusters de carga de trabalho. |
| 3 | As cargas de trabalho do cliente são implantadas como contêineres e compartilham a mesma máquina virtual. Os contêineres são isolados do processo uns dos outros, o que é uma forma mais fraca de isolamento em comparação com as garantias de isolamento fortes oferecidas pelas máquinas virtuais. |
| 4 | Os contêineres se comunicam entre si por meio de uma rede de sobreposição. Os administradores podem configurar políticas do Calico para definir regras de isolamento de rede entre contêineres. O suporte à política do Calico no AKS Arc é apenas para contêineres Linux e é suportado como está. |
| 5 | A comunicação entre componentes internos do Kubernetes do AKS no Windows Server, incluindo a comunicação entre o servidor de API e o host de contêiner, é criptografada por meio de certificados. AKS oferece provisionamento, renovação e revogação de certificados prontos para uso para certificados integrados. |
| 6 | A comunicação com o servidor de API de computadores cliente Windows é protegida usando credenciais do Microsoft Entra para usuários. |
| 7 | Para cada versão, a Microsoft fornece os VHDs para VMs do AKS no Windows Server e aplica os patches de segurança apropriados quando necessário. |
Segurança de aplicativo
A tabela a seguir descreve as diferentes opções de segurança do aplicativo disponíveis no AKS no Windows Server:
Observação
Você tem a opção de usar as opções de proteção de aplicativos de software livre disponíveis no ecossistema de software livre que você escolher.
| Opção | Descrição |
|---|---|
| Promover a segurança | A meta de proteger compilações é impedir que vulnerabilidades sejam introduzidas no código do aplicativo ou nas imagens de contêiner quando as imagens são geradas. A integração com o Azure GitOps do Kubernetes, que é habilitado para Azure Arc, ajuda na análise e na observação, o que dá aos desenvolvedores a oportunidade de corrigir problemas de segurança. Para obter mais informações, consulte Implantar configurações usando o GitOps em um cluster do Kubernetes habilitado para Azure Arc. |
| Segurança do registro de contêiner | A meta da segurança do registro de contêiner é garantir que vulnerabilidades não sejam introduzidas ao carregar imagens de contêiner no registro, enquanto a imagem é armazenada no registro e durante downloads de imagens do registro. O AKS recomenda usar o Registro de Contêiner do Azure. O Registro de Contêiner do Azure vem com verificação de vulnerabilidades e outros recursos de segurança. Para saber mais, confira a Documentação do Registro de Contêiner do Azure. |
| Identidades do Microsoft Entra para cargas de trabalho do Windows usando gMSA para contêineres | As cargas de trabalho de contêiner do Windows podem herdar a identidade do host do contêiner e usá-la para autenticação. Com os novos aprimoramentos, o host do contêiner não precisa ser ingressado no domínio. Para obter mais informações, consulte Integração do gMSA para cargas de trabalho do Windows. |
Recursos de segurança internos
Esta seção descreve os recursos de segurança internos que estão disponíveis atualmente no AKS no Windows Server:
| Objetivo de segurança | Recurso |
|---|---|
| Proteja o acesso ao servidor de API. | Suporte de logon único do Active Directory para clientes do PowerShell e do Windows Admin Center. No momento, esse recurso está habilitado apenas para clusters de carga de trabalho. |
| Certifique-se de que toda a comunicação entre os componentes internos do Kubernetes do plano de controle seja segura. Isso inclui garantir que a comunicação entre o servidor de API e o cluster de carga de trabalho também seja segura. | Solução de certificado integrada sem toque para provisionar, renovar e revogar certificados. Para obter mais informações, consulte Comunicação segura com certificados. |
| Gire as chaves de criptografia do armazenamento secreto do Kubernetes (etcd) usando o plug-in KMS (Servidor de Gerenciamento de Chaves). | Plug-in para integrar e orquestrar a rotação de chaves com o provedor KMS especificado. Para saber mais, consulte Criptografar segredos etcd. |
| Monitoramento de ameaças em tempo real para contêineres que dá suporte a cargas de trabalho para contêineres Windows e Linux. | Integração com o Azure Defender para Kubernetes conectado ao Azure Arc, que é oferecido como versão prévia do recurso pública até o lançamento GA da detecção de ameaças para o Kubernetes conectado ao Azure Arc. Para obter mais informações, consulte Defender os clusters Kubernetes habilitados para o Azure Arc. |
| Identidade do Microsoft Entra para cargas de trabalho do Windows. | Use a integração gMSA para cargas de trabalho do Windows para configurar a identidade do Microsoft Entra. |
| Suporte a políticas do Calico para proteger o tráfego entre pods | Os contêineres se comunicam entre si por meio de uma rede de sobreposição. Os administradores podem configurar políticas do Calico para definir regras de isolamento de rede entre contêineres. O suporte à política do Calico no AKS Arc é apenas para contêineres Linux e é suportado como está. |
Próximas etapas
Neste artigo, você aprendeu sobre os conceitos para proteger o AKS no Windows Server e sobre como proteger aplicativos em clusters do Kubernetes.