Proteggere le applicazioni in AKS

Soluzioni di calcolo in Azure

Florin Angelescu

Azure Cloud Architect

Perché la sicurezza conta

Kubernetes

Critica in ogni ambiente di produzione.
Container e Kubernetes aggiungono complessità.
I carichi possono essere esposti a rischi.

Perché la sicurezza conta

Kubernetes

AKS si integra con l’ecosistema di sicurezza Azure per proteggere:
- Applicazioni
- Dati
- Utenti
Buone pratiche di sicurezza:
- Creano fiducia con clienti e stakeholder
- Dimostrano carichi resilienti e ben gestiti

Controllo degli accessi basato sui ruoli (RBAC)

Kubernetes

Controlla chi può agire nel cluster.

Controllo degli accessi basato sui ruoli (RBAC)

Kubernetes

Controlla chi può agire nel cluster.
Si integra con Entra ID:
- Assegna ruoli a utenti o gruppi
Solo i soggetti autorizzati possono distribuire, scalare o modificare i carichi.

Controllo degli accessi basato sui ruoli (RBAC)

Kubernetes

Gli sviluppatori possono distribuire app.
Gli operatori gestiscono scaling e monitoraggio.
Ruoli granulari riducono il rischio di modifiche accidentali o malevole.

Gestione dei secret

Secrets

Le app richiedono dati sensibili:
- Password
- API key
- Certificati
Kubernetes li archivia come secret.
Possono essere montati nei pod in modo sicuro.

Gestione dei secret

Key Vault

I secret possono integrarsi con Azure Key Vault:
- Gestione centralizzata e cifratura
I dati sensibili non sono mai hardcoded in immagini o manifest.
Riduce il rischio di leak.
Ruota i secret regolarmente.

Sicurezza di rete

Networking

I cluster AKS girano in Azure Virtual Network:
- Network Security Group
- Firewall

Sicurezza di rete

Networking

I cluster AKS girano in Azure Virtual Network:
- Network Security Group
- Firewall
Limita il traffico tra pod.
Applica policy.
Isola i carichi.

Sicurezza di rete

Networking

Ingress controller:
- Configurati con certificati TLS
- Mettono in sicurezza il traffico esterno

Sicurezza di rete

Networking

Ingress controller:
- Configurati con certificati TLS
- Mettono in sicurezza il traffico esterno
Network policy:
- Definiscono quali pod possono comunicare
- Riducono la superficie d’attacco

Sicurezza delle immagini

Immagini container:
- Base dei carichi
- Devono essere affidabili
Azure Container Registry:
- Supporta la scansione delle immagini
- Rileva vulnerabilità prima del deploy

Sicurezza delle immagini

Policy

Nel cluster sono permesse solo immagini firmate o approvate.

Sicurezza delle immagini

Aggiorna le immagini base e applica patch:
- Mantiene sicuri i carichi
Validazione delle immagini:
- Impedisce a software compromesso di arrivare in produzione

Monitoraggio e conformità

Il monitoraggio continuo è essenziale per rilevare minacce.

Azure Defender for Kubernetes

Protezione in runtime.
Rileva attività sospette:
- Escalation di privilegi
- Traffico di rete anomalo
Strumenti di conformità:
- I cluster rispettano standard aziendali o normativi

Riepilogo

Kubernetes

Proteggere le app in AKS:

Controllo accessi basato sui ruoli
Gestione dei secret
Controlli di rete
Validazione immagini
Monitoraggio continuo

Passons à la pratique !

Soluzioni di calcolo in Azure

Preparing Video For Download...