Megosztás a következőn keresztül:

Az Azure Kubernetes Service- (AKS-) fürtök védelme az Azure Policy használatával

  • Cikk

Az Azure Policy használatával beépített biztonsági szabályzatokat alkalmazhat és kényszeríthet az Azure Kubernetes Service-fürtökre. Az Azure Policy segít kikényszeríteni a szervezeti szabványokat, és felmérni a megfelelőséget. Az AKS Azure Policy bővítményének telepítése után egyéni szabályzatdefiníciókat vagy kezdeményezésnek (más néven szabályzathalmazoknak) nevezett szabályzatdefiníciókat alkalmazhat a fürtre. Az AKS-szabályzatok és kezdeményezési definíciók teljes listájáért tekintse meg az Azure Policy beépített definícióit az AKS-hez .

Ez a cikk bemutatja, hogyan alkalmazhat szabályzatdefiníciókat a fürtre, és ellenőrizheti, hogy a hozzárendelések érvénybe lépnek-e.

Előfeltételek

  • Ez a cikk feltételezi, hogy van egy meglévő AKS-fürtje. Ha AKS-fürtre van szüksége, létrehozhat egyet az Azure CLI, az Azure PowerShell vagy az Azure Portal használatával.
  • Az AKS-fürtön telepítve kell lennie az AKS-hez készült Azure Policy-bővítménynek.

Beépített szabályzatdefiníció vagy -kezdeményezés hozzárendelése

A szabályzatdefiníciót vagy kezdeményezést az Azure Portalon az alábbi lépések végrehajtásával alkalmazhatja:

  1. Lépjen az Azure Policy szolgáltatáshoz az Azure Portalon, amelyet Szabályzatnak hívunk.
  2. Az Azure Policy lap bal oldali ablaktábláján válassza a Definíciók lehetőséget.
  3. A Kategóriák csoportban válassza a lehetőségetKubernetes.
  4. Válassza ki az alkalmazni kívánt szabályzatdefiníciót vagy kezdeményezést. Ebben a példában válassza ki a Kubernetes-fürt podjának biztonsági alapkonfigurációs szabványait a Linux-alapú számítási feladatok kezdeményezéséhez .
  5. Válassza a Hozzárendelés lehetőséget.
  6. Állítsa a hatókört az AKS-fürt erőforráscsoportjára az Azure Policy bővítmény engedélyezésével.
  7. Válassza a Paraméterek lapot, és frissítse az effektust audit deny az alaptervet megsértő új üzemelő példányok letiltásához. További névtereket is hozzáadhat a kiértékelésből való kizáráshoz. Ebben a példában tartsa meg az alapértelmezett értékeket.
  8. Válassza a Véleményezés + Létrehozás lehetőséget> a szabályzat-hozzárendelés elküldéséhez.

Egyéni szabályzatdefiníció létrehozása és hozzárendelése

Az egyéni szabályzatok lehetővé teszik az Azure használatára vonatkozó szabályok meghatározását. Például a következő típusú szabályokat kényszerítheti ki:

  • Biztonsági eljárások
  • Költségkezelés
  • Szervezetspecifikus szabályok (például elnevezés vagy helyek)

Egyéni szabályzat létrehozása előtt ellenőrizze a gyakori minták és minták listáját, és ellenőrizze, hogy az eset már szerepel-e a listán.

Az egyéni szabályzatdefiníciók JSON-ban vannak megírva. Az egyéni szabályzatok létrehozásával kapcsolatos további információkért tekintse meg az Azure Policy definíciós struktúráját és az egyéni szabályzatdefiníciók létrehozását ismertető témakört.

Feljegyzés

Az Azure Policy mostantól egy új, templateInfo nevű tulajdonságot használ, amely lehetővé teszi a kényszersablon forrástípusának meghatározását. Amikor a templateInfo-t szabályzatdefiníciókban definiálja, nem kell definiálnia a constraintTemplate vagy a kényszertulajdonságokat. Továbbra is meg kell határoznia az apiGroup-okat és -típusokat. Erről további információt az Azure Policy hatásainak ismertetése című témakörben talál.

Miután létrehozta az egyéni szabályzatdefiníciót, tekintse meg a Szabályzatdefiníció hozzárendelése című témakört a szabályzat Kubernetes-fürthöz való hozzárendelésének részletes útmutatójához.

Az Azure Policy futásának ellenőrzése

  • Győződjön meg arról, hogy a szabályzat-hozzárendelések az alábbi kubectl get paranccsal lettek alkalmazva a fürtre.

    kubectl get constrainttemplates

    Feljegyzés

    A szabályzat-hozzárendelések akár 20 percet is igénybe vehetnek az egyes fürtökbe való szinkronizáláshoz .

    A kimenetnek hasonlónak kell lennie a következő példakimenethez:

    NAME                                     AGE
k8sazureallowedcapabilities              23m
k8sazureallowedusersgroups               23m
k8sazureblockhostnamespace               23m
k8sazurecontainerallowedimages           23m
k8sazurecontainerallowedports            23m
k8sazurecontainerlimits                  23m
k8sazurecontainernoprivilege             23m
k8sazurecontainernoprivilegeescalation   23m
k8sazureenforceapparmor                  23m
k8sazurehostfilesystem                   23m
k8sazurehostnetworkingports              23m
k8sazurereadonlyrootfilesystem           23m
k8sazureserviceallowedports              23m

Emelt szintű pod elutasításának ellenőrzése

Először teszteljük, mi történik, ha a podot a biztonsági környezettel ütemezi privileged: true. Ez a biztonsági környezet eszkalálja a pod jogosultságait. A kezdeményezés letiltja a kiemelt podokat, ezért a kérés megtagadva, ami az üzembe helyezés elutasítását eredményezi.

  1. Hozzon létre egy fájlt, nginx-privileged.yaml és illessze be a következő YAML-jegyzékbe.

    apiVersion: v1
kind: Pod
metadata:
  name: nginx-privileged
spec:
  containers:
    - name: nginx-privileged
      image: mcr.microsoft.com/oss/nginx/nginx:1.15.5-alpine
      securityContext:
        privileged: true

  2. Hozza létre a podot a kubectl apply paranccsal, és adja meg a YAML-jegyzék nevét.

    kubectl apply -f nginx-privileged.yaml

    A vártnak megfelelően a pod nem lesz ütemezve, ahogy az a következő példakimenetben is látható:

    Error from server ([denied by azurepolicy-container-no-privilege-00edd87bf80f443fa51d10910255adbc4013d590bec3d290b4f48725d4dfbdf9] Privileged container is not allowed: nginx-privileged, securityContext: {"privileged": true}): error when creating "privileged.yaml": admission webhook "validation.gatekeeper.sh" denied the request: [denied by azurepolicy-container-no-privilege-00edd87bf80f443fa51d10910255adbc4013d590bec3d290b4f48725d4dfbdf9] Privileged container is not allowed: nginx-privileged, securityContext: {"privileged": true}

    A pod nem éri el az ütemezési szakaszt, ezért a továbblépés előtt nincs törölni kívánt erőforrás.

Nem emelt szintű pod létrehozásának tesztelése

Az előző példában a tárolórendszerkép automatikusan a gyökér használatával próbálta meg az NGINX-et a 80-s porthoz kötni. A házirend-kezdeményezés tagadja ezt a kérést, ezért a pod nem indul el. Most próbáljuk meg ugyanazt az NGINX-podot privilegizált hozzáférés nélkül futtatni.

  1. Hozzon létre egy fájlt, nginx-unprivileged.yaml és illessze be a következő YAML-jegyzékbe.

    apiVersion: v1
kind: Pod
metadata:
  name: nginx-unprivileged
spec:
  containers:
    - name: nginx-unprivileged
      image: mcr.microsoft.com/oss/nginx/nginx:1.15.5-alpine

  2. Hozza létre a podot a kubectl apply paranccsal, és adja meg a YAML-jegyzék nevét.

    kubectl apply -f nginx-unprivileged.yaml

  3. Ellenőrizze a pod állapotát a kubectl get pods paranccsal.

    kubectl get pods

    A kimenetnek hasonlónak kell lennie a következő példakimenethez, amely azt mutatja, hogy a pod sikeresen ütemezve van, és fut:

    NAME                 READY   STATUS    RESTARTS   AGE
nginx-unprivileged   1/1     Running   0          18s

    Ez a példa csak a gyűjtemény szabályzatait sértő központi telepítéseket érintő alapszintű kezdeményezést mutatja be. Az engedélyezett üzemelő példányok továbbra is működnek.

  4. Törölje az NGINX nem emelt szintű podot a kubectl delete parancs használatával, és adja meg a YAML-jegyzék nevét.

    kubectl delete -f nginx-unprivileged.yaml

Szabályzat vagy kezdeményezés letiltása

Az Alapterv kezdeményezést az Azure Portalon az alábbi lépésekkel távolíthatja el:

  1. Lépjen a Szabályzat panelre az Azure Portalon.
  2. Válassza ki a Hozzárendelések lehetőséget.
  3. Válassza a Kubernetes-fürt podjának biztonsági alapkonfigurációs szabványai melletti ... gombot a Linux-alapú számítási feladatok kezdeményezéséhez.
  4. Válassza a Hozzárendelés törlése lehetőséget.

Következő lépések

Az Azure Policy működésével kapcsolatos további információkért tekintse meg az alábbi cikkeket: