140 lines
7.1 KiB
Markdown
140 lines
7.1 KiB
Markdown
---
|
|
title: "Bezpieczeństwo"
|
|
weight: 85
|
|
description: >
|
|
Zasady ochrony aplikacji cloud-native.
|
|
simple_list: true
|
|
---
|
|
|
|
Ta sekcja dokumentacji Kubernetesa ma na celu pomoc w nauce
|
|
bezpiecznego uruchamiania workloadów oraz zapoznanie z
|
|
podstawowymi aspektami utrzymania bezpieczeństwa klastra Kubernetes.
|
|
|
|
Kubernetes opiera się na architekturze cloud-native i korzysta z
|
|
porad {{< glossary_tooltip text="CNCF" term_id="cncf" >}}
|
|
dotyczących dobrych praktyk w zakresie bezpieczeństwa informacji cloud-native.
|
|
|
|
Przeczytaj [Cloud Native Security and Kubernetes](/docs/concepts/security/cloud-native-security/),
|
|
aby zrozumieć szerszy
|
|
kontekst zabezpieczania klastrów i uruchamianych na nich aplikacji.
|
|
|
|
## Mechanizmy bezpieczeństwa Kubernetesa {#security-mechanisms}
|
|
|
|
Kubernetes zawiera kilka interfejsów API i mechanizmów bezpieczeństwa, a także sposoby na definiowanie
|
|
[polityk (ang. policies)](#policies), które mogą stanowić część tego, jak zarządzasz bezpieczeństwem informacji.
|
|
|
|
### Ochrona warstwy sterowania {#control-plane-protection}
|
|
|
|
Kluczowym mechanizmem bezpieczeństwa dla każdego klastra Kubernetes jest
|
|
[kontrolowanie dostępu do API Kubernetesa](/docs/concepts/security/controlling-access).
|
|
|
|
Kubernetes oczekuje, że skonfigurujesz i użyjesz TLS do zapewnienia
|
|
[szyfrowania przesyłanych danych](/docs/tasks/tls/managing-tls-in-a-cluster/) w obrębie warstwy
|
|
sterowania oraz pomiędzy warstwą sterowania a jej klientami. Możesz także włączyć
|
|
[szyfrowanie danych spoczynkowych](/docs/tasks/administer-cluster/encrypt-data/) dla danych
|
|
przechowywanych w obrębie warstwy sterowania Kubernetesa; Nie należy mylić tego z
|
|
szyfrowaniem danych w stanie spoczynku dla własnych workloadów, co również może być dobrą praktyką.
|
|
|
|
### Sekrety (ang. Secret) {#secrets}
|
|
|
|
Obiekt API [Secret](/docs/concepts/configuration/secret/) zapewnia
|
|
podstawową ochronę dla wartości konfiguracyjnych, które wymagają poufności.
|
|
|
|
### Ochrona workloadów {#workload-protection}
|
|
|
|
Egzekwowanie [standardów bezpieczeństwa poda](/docs/concepts/security/pod-security-standards/)
|
|
zapewnia, że Pody i ich kontenery są odpowiednio
|
|
izolowane. Możesz również użyć [RuntimeClasses](/docs/concepts/containers/runtime-class)
|
|
do zdefiniowania niestandardowej izolacji, jeśli tego potrzebujesz.
|
|
|
|
[Polityki sieciowe](/docs/concepts/services-networking/network-policies/) pozwalają kontrolować
|
|
ruch sieciowy pomiędzy Podami lub pomiędzy Podami a siecią poza klastrem.
|
|
|
|
Możesz wdrażać mechanizmy zabezpieczeń z szerszego ekosystemu, aby wprowadzać środki
|
|
zapobiegawcze lub detekcyjne wokół Podów, ich kontenerów oraz obrazów, które w nich działają.
|
|
|
|
### Kontrola przychodzących żądań {#admission-control}
|
|
|
|
Kontrolery przychodzących żądań ([Admission controllers](/docs/reference/access-authn-authz/admission-controllers/)
|
|
) to wtyczki, które przechwytują żądania do API Kubernetesa i mogą
|
|
weryfikować lub modyfikować te żądania w oparciu o konkretne pola w żądaniu. Przemyślane
|
|
projektowanie tych kontrolerów pomaga unikać niezamierzonych zakłóceń, szczególnie gdy API
|
|
Kubernetesa zmienia się wraz z aktualizacjami. Aby dowiedzieć się więcej, zobacz
|
|
[Dobre Praktyki dla Admission Webhooks](/docs/concepts/cluster-administration/admission-webhooks-good-practices/).
|
|
|
|
### Audytowanie {#auditing}
|
|
|
|
Dziennik audytu Kubernetesa [audit logging](/docs/tasks/debug/debug-cluster/audit/)
|
|
dostarcza istotnego z punktu widzenia bezpieczeństwa, chronologicznego zbioru zapisów
|
|
dokumentujących sekwencję działań w klastrze. Klastr audytuje aktywności generowane przez
|
|
użytkowników, przez aplikacje korzystające z API Kubernetesa oraz przez samą warstwę sterowania.
|
|
|
|
## Zabezpieczenia dostawcy chmury {#cloud-provider-security}
|
|
|
|
{{% thirdparty-content vendor="true" %}}
|
|
|
|
Jeśli uruchamiasz klaster Kubernetes na własnym sprzęcie lub sprzęcie dostawcy
|
|
chmury, zapoznaj się z dokumentacją dotyczącą najlepszych praktyk w zakresie
|
|
bezpieczeństwa. Oto linki do dokumentacji bezpieczeństwa niektórych popularnych dostawców chmury:
|
|
|
|
{{< table caption="Zabezpieczenia dostawcy chmury" >}}
|
|
|
|
Dostawca IaaS | Link |
|
|
-------------------- | ------------ |
|
|
Alibaba Cloud | https://www.alibabacloud.com/trust-center |
|
|
Amazon Web Services | https://aws.amazon.com/security |
|
|
Google Cloud Platform | https://cloud.google.com/security |
|
|
Huawei Cloud | https://www.huaweicloud.com/intl/en-us/securecenter/overallsafety |
|
|
IBM Cloud | https://www.ibm.com/cloud/security |
|
|
Microsoft Azure | https://docs.microsoft.com/en-us/azure/security/azure-security |
|
|
Oracle Cloud Infrastructure | https://www.oracle.com/security |
|
|
Tencent Cloud | https://www.tencentcloud.com/solutions/data-security-and-information-protection |
|
|
VMware vSphere | https://www.vmware.com/solutions/security/hardening-guides |
|
|
|
|
{{< /table >}}
|
|
|
|
## Polityki {#policies}
|
|
|
|
Możesz definiować zasady bezpieczeństwa, używając mechanizmów natywnych dla
|
|
Kubernetesa, takich jak [NetworkPolicy](/docs/concepts/services-networking/network-policies/)
|
|
(deklaratywna kontrola nad filtrowaniem pakietów sieciowych) lub
|
|
[ValidatingAdmissionPolicy](/docs/reference/access-authn-authz/validating-admission-policy/) (deklaratywne ograniczenia
|
|
dotyczące tego, jakie zmiany ktoś może wprowadzać za pomocą API Kubernetesa).
|
|
|
|
Możesz również polegać na implementacjach polityk z szerszego
|
|
ekosystemu wokół Kubernetesa. Kubernetes zapewnia mechanizmy
|
|
rozszerzeń, aby umożliwić projektom ekosystemowym wdrażanie
|
|
własnych kontroli polityk dotyczących przeglądu kodu źródłowego,
|
|
zatwierdzania obrazów kontenerów, kontroli dostępu do API, sieci i innych.
|
|
|
|
Aby uzyskać więcej informacji na temat mechanizmów polityki i
|
|
Kubernetesa, przeczytaj [Polityki](/docs/concepts/policy/).
|
|
|
|
## {{% heading "whatsnext" %}}
|
|
|
|
Dowiedz się więcej na temat powiązanych zagadnień bezpieczeństwa Kubernetesa:
|
|
|
|
* [Zabezpieczanie klastra](/docs/tasks/administer-cluster/securing-a-cluster/)
|
|
* [Znane podatności](/docs/reference/issues-security/official-cve-feed/)
|
|
w Kubernetesie (i linki do dalszych informacji)
|
|
* [Szyfrowanie danych podczas przesyłania](/docs/tasks/tls/managing-tls-in-a-cluster/) dla warstwy sterowania
|
|
* [Szyfrowanie danych w spoczynku](/docs/tasks/administer-cluster/encrypt-data/)
|
|
* [Kontrola dostępu do API Kubernetesa](/docs/concepts/security/controlling-access)
|
|
* [Zasady sieciowe](/docs/concepts/services-networking/network-policies/) dla Podów
|
|
* [Sekrety w Kubernetesie](/docs/concepts/configuration/secret/)
|
|
* [Standardy bezpieczeństwa podów](/docs/concepts/security/pod-security-standards/)
|
|
* [Klasy środowisk uruchomieniowych](/docs/concepts/containers/runtime-class)
|
|
|
|
Poznaj kontekst:
|
|
|
|
<!-- if changing this, also edit the front matter of content/en/docs/concepts/security/cloud-native-security.md to match; check the no_list setting -->
|
|
* [Bezpieczeństwo natywne dla chmury i Kubernetesa](/docs/concepts/security/cloud-native-security/)
|
|
|
|
Zdobądź certyfikat:
|
|
|
|
* Certyfikacja [Certified Kubernetes Security Specialist](https://training.linuxfoundation.org/certification/certified-kubernetes-security-specialist/)
|
|
oraz oficjalny kurs szkoleniowy.
|
|
|
|
Przeczytaj więcej w tej sekcji:
|
|
|