Must have 1: Entra ID Authentication
Het is cruciaal om je AKS-controlepaneel te beveiligen. Met Entra ID Authentication bescherm je tegen onbevoegde toegang. Waar traditionele Kubernetes-toegang vertrouwt op het kube-configuratiebestand, wat riskant is om te delen, biedt Entra ID een extra beveiligingslaag. Nu is Entra ID authenticatie altijd vereist, mogelijk met multi-factor authenticatie. Hierdoor versterk je de beveiliging van zowel individuele clusters als gecentraliseerd gebruikersbeheer
Must have 2: Entra ID Rolgebaseerde toegangscontrole (RBAC)
Overweeg 'Role Based Access Control' (RBAC) om je clusters verder te beveiligen. Hoewel Kubernetes zijn eigen RBAC-systeem heeft, vult Azure dit aan met Authentication. Met Entra ID RBAC wijs je rollen toe aan gebruikers en groepen, waarbij alleen geautoriseerd personeel toegang krijgt tot essentiële AKS-bronnen. Dit maakt het simpel om RBAC rechtstreeks binnen Azure te beheren.
Must have 3: Netwerk beveiliging
Zorg voor een goede netwerk beveiliging. Containeroplossingen hebben veel onderling afhankelijke componenten. We streven ernaar om ze de benodigde netwerktoegang te geven voor hun functies en tegelijkertijd andere toegangen te beperken. In AKS heb je tijdens het aanmaken van een cluster 2 belangrijke netwerkbeleidsopties:
- Azure netwerkbeleid manager
- Calico netwerkbeleiden
Afhankelijk van je 'Container Networking Interface' (CNI) keuze zijn er extra opties, zoals Cilium, met zijn uitgebreide netwerk- en beveiligingsfuncties. Onderzoek de beste netwerkoplossing voor jou en pas het netwerkbeleid direct toe. Sterke netwerkbeveiliging begint met een goed netwerkontwerp.
Must have 4: Managed Identity
De 'Managed Identity' functie vereenvoudigt het proces van veilige toegang tot Azure-bronnen. De functie 'Managed identity' vereenvoudigt het proces van veilige toegang tot Azure-resources.
Als je de Managed Identity in AKS integreert verbeter je de beveiliging direct doordat het de nood wegneemt om credentials, zoals Service Principals, op te slaan.
Met AKS kunnen Managed Identities op verschillende niveaus functioneren, van het AKS-controleplan tot aan de workloads die op het platform draaien. Bijvoorbeeld om toegang te krijgen tot de Azure Key Vault en geheimen, sleutels of certificaten.
Must have 5: Het waarborgen van gevoelige informatie met Key Vault
Het beschermen van gevoelige informatie zoals API-tokens, connectiestrings en wachtwoorden is van cruciaal belang. Een lek kan de beveiliging in gevaar brengen en een reset van de credentials nodig maken.
Wanneer Azure Key Vault is geïntegreerd met AKS, biedt het een superieure benadering van Kubernetes. Het centraliseert de opslag van gevoelige info voor je pods, containers en apps. De add-on zorgt ervoor dat gevoelige info niet direct in AKS-bestanden wordt opgeslagen, maar binnen de container worden gemount voor app-toegang. Als alternatief kun je ook direct toegang krijgen tot Key Vault met behulp van Entra ID workload identity voor extra beveiliging.
Conclusie:
Er is niet "één" magische knop om je Azure Kubernetes Service cluster te beveiligen. Er komen verschillende addons, instellingen en ontwerpbenaderingen bij kijken. Maar er bestaan gelukkig tal van beveiligingsoplossingen, zowel van Azure als van derde partijen zoals CNCF. Begin met de best practices uit dit artikel en pas ze aan naarmate je behoeften veranderen. Veel succes!