我正在使用 Azure Kubernetes 服务 (AKS),希望确保我的网络安全符合行业标准和最佳实践。默认情况下,AKS 生成一组没有特定规则的网络安全组,但我想添加其他规则以提高安全性。
应将哪些常见安全规则添加到 AKS 默认网络安全规则中以增强安全性并确保符合行业标准?以及保护 AKS 集群的任何其他最佳实践。
如果您能提供有关如何在 AKS 集群中有效实施这些规则的指导或示例,我将不胜感激。
默认拒绝所有入站将阻止对图像存储库的访问。 例如,您是否允许端口 443 从 Docker hub 提取映像?
您可以添加网络安全组以允许出站流量 https 443,如下所示:
您可以允许 SSH、HTTP、HTTPS 以及应用程序运行所需的其他协议的流量,如下所示。
在网络下的 Aks 集群配置中,允许来自特定 IP 地址的入站流量。这将允许您将对 AKS 集群的访问限制为特定客户端,例如您的本地网络或其他受信任的 Azure 资源。
默认拒绝所有入站流量,仅允许应用程序运行明确需要的流量。这将防止未经授权访问您的集群。
允许端口 443 从 Docker hub 拉取镜像,建议仅允许控制 Kubernetes 中的出口流量所需的端口和地址。
参考:
azure-docs/articles/aks/outbound-rules-control-egress.md 位于 main · MicrosoftDocs/azure-docs · GitHub