Blog

Cloud native beveiling: Verbeter nu de beveiliging van je Azure Kubernetes cluster! 5 Best practices!

Microsofts Azure Kubernetes Services heeft veel ingebouwde beveiligingsfuncties. Extra functies zijn beschikbaar als addons in het Azure controlepaneel. Maar welke configuraties moet je gebruiken?

We gaan dieper in op de must have lijst van configuraties (dus de absolute must haves) die je nodig hebt om je cluster te beveiligen. Kom mee en zorg ervoor dat je deze aanpak als uitgangspunt gebruikt om op verder te bouwen. Let’s go!

Must have 1: Entra ID Authentication

Het is cruciaal om je AKS-controlepaneel te beveiligen. Met Entra ID Authentication bescherm je tegen onbevoegde toegang. Waar traditionele Kubernetes-toegang vertrouwt op het kube-configuratiebestand, wat riskant is om te delen, biedt Entra ID een extra beveiligingslaag. Nu is Entra ID authenticatie altijd vereist, mogelijk met multi-factor authenticatie. Hierdoor versterk je de beveiliging van zowel individuele clusters als gecentraliseerd gebruikersbeheer

 

Must have 2: Entra ID Rolgebaseerde toegangscontrole (RBAC)

Overweeg 'Role Based Access Control' (RBAC) om je clusters verder te beveiligen. Hoewel Kubernetes zijn eigen RBAC-systeem heeft, vult Azure dit aan met Authentication. Met Entra ID RBAC wijs je rollen toe aan gebruikers en groepen, waarbij alleen geautoriseerd personeel toegang krijgt tot essentiële AKS-bronnen. Dit maakt het simpel om RBAC rechtstreeks binnen Azure te beheren.

 

Must have 3: Netwerk beveiliging

Zorg voor een goede netwerk beveiliging. Containeroplossingen hebben veel onderling afhankelijke componenten. We streven ernaar om ze de benodigde netwerktoegang te geven voor hun functies en tegelijkertijd andere toegangen te beperken. In AKS heb je tijdens het aanmaken van een cluster 2 belangrijke netwerkbeleidsopties:

  • Azure netwerkbeleid manager
  • Calico netwerkbeleiden

Afhankelijk van je 'Container Networking Interface' (CNI) keuze zijn er extra opties, zoals Cilium, met zijn uitgebreide netwerk- en beveiligingsfuncties. Onderzoek de beste netwerkoplossing voor jou en pas het netwerkbeleid direct toe. Sterke netwerkbeveiliging begint met een goed netwerkontwerp.

 

Must have 4: Managed Identity

De 'Managed Identity' functie vereenvoudigt het proces van veilige toegang tot Azure-bronnen. De functie 'Managed identity' vereenvoudigt het proces van veilige toegang tot Azure-resources.

Als je de Managed Identity in AKS integreert verbeter je de beveiliging direct doordat het de nood wegneemt om credentials, zoals Service Principals, op te slaan.

Met AKS kunnen Managed Identities op verschillende niveaus functioneren, van het AKS-controleplan tot aan de workloads die op het platform draaien. Bijvoorbeeld om toegang te krijgen tot de Azure Key Vault en geheimen, sleutels of certificaten.

 

Must have 5: Het waarborgen van gevoelige informatie met Key Vault

Het beschermen van gevoelige informatie zoals API-tokens, connectiestrings en wachtwoorden is van cruciaal belang. Een lek kan de beveiliging in gevaar brengen en een reset van de credentials nodig maken.

Wanneer Azure Key Vault is geïntegreerd met AKS, biedt het een superieure benadering van Kubernetes. Het centraliseert de opslag van gevoelige info voor je pods, containers en apps. De add-on zorgt ervoor dat gevoelige info niet direct in AKS-bestanden wordt opgeslagen, maar binnen de container worden gemount voor app-toegang. Als alternatief kun je ook direct toegang krijgen tot Key Vault met behulp van Entra ID workload identity voor extra beveiliging.

 

Conclusie:

Er is niet "één" magische knop om je Azure Kubernetes Service cluster te beveiligen. Er komen verschillende addons, instellingen en ontwerpbenaderingen bij kijken. Maar er bestaan gelukkig tal van beveiligingsoplossingen, zowel van Azure als van derde partijen zoals CNCF. Begin met de best practices uit dit artikel en pas ze aan naarmate je behoeften veranderen. Veel succes!

Behoefte aan een verdieping en meer veiligheid voor jouw Azure omgeving?
Grijp dan nu je kans en vraag een gratis Security Scan aan!