增强面向公众的 Azure Kubernetes 服务 (AKS) 默认网络安全组的安全规则

Question

我正在使用 Azure Kubernetes 服务 (AKS)，希望确保我的网络安全符合行业标准和最佳实践。默认情况下，AKS 生成一组没有特定规则的网络安全组，但我想添加其他规则以提高安全性。

应将哪些常见安全规则添加到 AKS 默认网络安全规则中以增强安全性并确保符合行业标准？以及保护 AKS 集群的任何其他最佳实践。

如果您能提供有关如何在 AKS 集群中有效实施这些规则的指导或示例，我将不胜感激。

默认拒绝所有入站将阻止对图像存储库的访问。例如，您是否允许端口 443 从 Docker hub 提取映像？

Answer 1

您可以添加网络安全组以允许出站流量 https 443，如下所示：

enter image description here

您可以允许 SSH、HTTP、HTTPS 以及应用程序运行所需的其他协议的流量，如下所示。

enter image description here

在网络下的 Aks 集群配置中，允许来自特定 IP 地址的入站流量。这将允许您将对 AKS 集群的访问限制为特定客户端，例如您的本地网络或其他受信任的 Azure 资源。

enter image description here

默认拒绝所有入站流量，仅允许应用程序运行明确需要的流量。这将防止未经授权访问您的集群。

允许端口 443 从 Docker hub 拉取镜像，建议仅允许控制 Kubernetes 中的出口流量所需的端口和地址。

参考：