Kubernetes ابزاری قدرتمند برای مدیریت برنامه ها است ، اما به اقدامات امنیتی مناسب نیاز دارد. به خوشه Kubernetes خود به عنوان یک قلعه فکر کنید. این راهنما به شما کمک می کند تا دیوارهای آن را تقویت کرده و از داده های ارزشمند خود در داخل محافظت کنید.
چرا امنیت اهمیت دارد
ترک خوشه Kubernetes خود ناامن شبیه به ترک دروازه های قلعه شما است. مهاجمان می توانند وارد شوند ، داده های شما را سرقت کنند ، یا حتی کنترل برنامه های شما را به دست بگیرند. سخت شدن امنیت مانند تقویت دفاع شما است و باعث می شود مهاجمان نقض قلعه شما را بسیار سخت تر کنند.
مناطق کلیدی برای تأمین امنیت
1. مرکز فرمان (هواپیمای کنترل)
این مغز قلعه شماست. محافظت از آن بسیار مهم است.
-
دسترسی محدود (RBAC): همه نیاز به دسترسی به همه چیز ندارند. RBAC (کنترل دسترسی مبتنی بر نقش) مانند ارائه کلیدهای خاص به افراد مختلف است. فقط حداقل دسترسی لازم را اعطا کنید. از دادن “کلید اصلی” به هر کسی خودداری کنید (
cluster-admin) مگر اینکه کاملاً ضروری باشد. - اسرار محافظت شده (ETCD): etcd طاق است که حساس ترین اطلاعات قلعه شما در آن نگهداری می شود. آن را هم در حالت استراحت و هم در حمل و نقل رمزگذاری کنید. در مورد امنیت ETCD بیشتر بدانید.
- سیاهههای مربوط به فعالیت (ورود به سیستم حسابرسی): سابقه مفصلی از هر آنچه در قلعه خود اتفاق می افتد ، نگه دارید. این به شما کمک می کند تا فعالیت های مشکوک و مشکلات عیب یابی را مشاهده کنید. بهترین روشهای ورود به سیستم را بررسی کنید.
2. دیوارها (گره های کارگر)
این پایه های قلعه شما است که در آن برنامه های شما اجرا می شود.
- نگهداری منظم (به روزرسانی): درست مانند دیوارهای واقعی نیاز به تعمیرات ، گره های کارگر شما برای به روزرسانی منظم برای سوراخ های امنیتی پچ نیاز دارند. در مورد استراتژی های به روزرسانی بخوانید.
- فایروال های داخلی (سیاست های شبکه): جریان ترافیک را در قلعه خود کنترل کنید. از برقراری ارتباط غیرمجاز بین قسمتهای مختلف برنامه های خود جلوگیری کنید. سیاست های شبکه را کاوش کنید.
- درهای تقویت شده (زمینه های امنیتی): با محدود کردن دسترسی آنها به منابع ، لایه های اضافی امنیت را به برنامه های انفرادی (POD) اضافه کنید. اطلاعات بیشتر در مورد زمینه های امنیتی.
3. لوازم (تصاویر کانتینر)
این منابعی است که برنامه های شما برای عملکرد آنها نیاز دارند.
- تأمین کنندگان قابل اعتماد (تصاویر قابل اعتماد): فقط منابع را از منابع قابل اعتماد بپذیرید. برای یک محیط قابل اعتماد Kubernetes ، از منابع تصویر قابل اعتماد استفاده کنید.
- بازرسی عرضه (اسکن تصویر): منابع خود را برای خطرات پنهان بازرسی کنید. تصاویر کانتینر را برای آسیب پذیری ها با استفاده از ابزارهای اسکن تصویر اسکن کنید.
- ذخیره سازی ایمن (پذیرش امنیت POD): قوانینی را تعریف کنید تا اطمینان حاصل شود که فقط منابع ایمن در قلعه شما مجاز هستند. در مورد امنیت POD بیاموزید.
4. گنج (مدیریت اسرار)
از دارایی های ارزشمند خود محافظت کنید.
5. محیط (امنیت شبکه)
دسترسی به قلعه خود را کنترل کنید.
شروع کار – اولین مراحل
پایان
تضمین قلعه Kubernetes یک تلاش مداوم است. با دنبال کردن این مراحل و آگاه ماندن در مورد آخرین شیوه های امنیتی ، می توانید دفاع خود را به میزان قابل توجهی تقویت کرده و از برنامه ها و داده های ارزشمند خود محافظت کنید.
