Beveiligen van applicaties in AKS

Azure Compute-oplossingen

Florin Angelescu

Azure Cloud Architect

Waarom security telt

 

Kubernetes

 

 

  • Cruciaal in elke productie-omgeving.
  • Containers en Kubernetes voegen complexiteit toe.
  • Workloads kunnen risico lopen.
Azure Compute-oplossingen

Waarom security telt

 

Kubernetes

 

  • AKS integreert met Azure’s security-ecosysteem om te beschermen:

    • Applicaties
    • Data
    • Gebruikers

  • Sterke security-praktijken:

    • Bouwen vertrouwen bij klanten en stakeholders
    • Bewijzen dat workloads robuust en goed beheerd zijn
Azure Compute-oplossingen

Role-Based Access Control (RBAC)

Kubernetes

  • Bepaal wie acties mag uitvoeren in de cluster.
Azure Compute-oplossingen

Role-Based Access Control (RBAC)

Kubernetes

  • Bepaal wie acties mag uitvoeren in de cluster.

  • Integreert met Entra ID:

    • Rollen toewijzen aan users of groepen

  • Alleen geautoriseerde personen mogen workloads deployen, schalen of wijzigen.

Azure Compute-oplossingen

Role-Based Access Control (RBAC)

Kubernetes

  • Developers hebben rechten om apps te deployen.
  • Operators beheren schalen en monitoring.
  • Fijne roltoewijzing verkleint risico op foutieve of kwaadaardige wijzigingen.
Azure Compute-oplossingen

Secrets-beheer

 

Secrets

 

  • Apps hebben gevoelige info nodig:

    • Wachtwoorden
    • API-keys
    • Certificaten

  • Kubernetes slaat dit op als secrets.

  • Kan veilig in pods gemount worden.
Azure Compute-oplossingen

Secrets-beheer

 

Key Vault

 

  • Secrets kunnen integreren met Azure Key Vault:
    • Gecentraliseerd beheer en encryptie
  • Gevoelige data staat nooit hardcoded in images of manifests.
  • Verkleint kans op lekken.
  • Roteer secrets regelmatig.
Azure Compute-oplossingen

Netwerkbeveiliging

 

Networking

 

  • AKS-clusters draaien in Azure Virtual Networks:
    • Network Security Groups
    • Firewalls
Azure Compute-oplossingen

Netwerkbeveiliging

 

Networking

 

  • AKS-clusters draaien in Azure Virtual Networks:

    • Network Security Groups
    • Firewalls

  • Beperk verkeer tussen pods.

  • Handhaaf policies.
  • Isoleer workloads.
Azure Compute-oplossingen

Netwerkbeveiliging

 

Networking

 

  • Ingress-controllers:
    • Geconfigureerd met TLS-certificaten
    • Beveiligen extern verkeer
Azure Compute-oplossingen

Netwerkbeveiliging

 

Networking

 

  • Ingress-controllers:

    • Geconfigureerd met TLS-certificaten
    • Beveiligen extern verkeer

  • Netwerkpolicies:

    • Bepalen welke pods mogen communiceren
    • Verkleinen het aanvalsoppervlak
Azure Compute-oplossingen

Image-beveiliging

 

Image

 

  • Containerimages:

    • Basis van workloads
    • Moeten vertrouwd zijn

  • Azure Container Registry:

    • Ondersteunt image-scanning
    • Kwetsbaarheden detecteren vóór deployment
Azure Compute-oplossingen

Image-beveiliging

 

Image

 

 

Policies

  • Alleen gesigneerde of goedgekeurde images zijn toegestaan in de cluster.
Azure Compute-oplossingen

Image-beveiliging

 

Image

  • Update base images en patch ze:

    • Houd workloads veilig

  • Images valideren:

    • Voorkom dat gecompromitteerde software in productie komt
Azure Compute-oplossingen

Monitoring en compliance

 

Image

  • Continue monitoring is cruciaal om bedreigingen te detecteren.

Azure Defender for Kubernetes

  • Runtime-bescherming.

  • Detecteert verdacht gedrag:

    • Privilege-escalatie
    • Abnormaal netwerkverkeer

  • Compliance-tools:

    • Clusters voldoen aan organisatorische of wettelijke eisen
Azure Compute-oplossingen

Samenvatting

 

Kubernetes

 

Beveiliging van apps in AKS:

  • Role-Based Access Control
  • Secrets-beheer
  • Netwerkcontroles
  • Image-validatie
  • Continue monitoring
Azure Compute-oplossingen

Laten we oefenen!

Azure Compute-oplossingen

Preparing Video For Download...