Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Übersicht über Azure Linux mit OS Guard (Vorschau) auf Azure Kubernetes Service (AKS), einschließlich der wichtigsten Features, der Regionsverfügbarkeit und der Ressourcen für die ersten Schritte.
Was ist Azure Linux mit OS Guard?
Azure Linux mit OS Guard ist eine gehärtete, unveränderliche Variante von Azure Linux. Es bietet starke Laufzeitintegrität, Manipulationsresistenz und Sicherheit auf Unternehmensniveau für Containerhosts auf AKS. OS Guard basiert auf Azure Linux und fügt Kernel- und Laufzeitfeatures hinzu, die codeintegrität erzwingen, das Stammdateisystem vor nicht autorisierten Änderungen schützen und obligatorische Zugriffssteuerungen anwenden.
Sie können Azure Linux mit OS Guard-Knotenpools in einem neuen Cluster bereitstellen, Azure Linux mit OS Guard-Knotenpools zu Ihren vorhandenen Azure Linux- oder Ubuntu-Clustern hinzufügen oder Ihre Azure Linux- oder Ubuntu-Knoten mit OS Guard-Knoten zu Azure Linux mit OS Guard-Knoten migrieren.
Weitere Informationen zu Azure Linux mit OS Guard finden Sie in der Dokumentation zu Azure Linux mit OS Guard.
Gründe für die Verwendung von Azure Linux mit OS Guard auf AKS?
Azure Linux mit OS Guard auf AKS baut auf den Vorteilen von Azure Linux auf, indem erweiterte Sicherheitsfeatures hinzugefügt werden, die Dazu beitragen, Ihre Containerarbeitslasten vor erweiterten Bedrohungen zu schützen. OS Guard bietet Folgendes:
-
Unveränderlichkeit: Das
/usrVerzeichnis wird als schreibgeschütztes Volume bereitgestellt, das durch dm-Verity geschützt ist und die Ausführung von manipuliertem oder nicht vertrauenswürdigem Code verhindert. - Codeintegrität: OS Guard integriert das Linux-Sicherheitsmodul für die Integritätsrichtlinienerzwingung (Integrity Policy Enforcement, IPE), um sicherzustellen, dass nur Binärdateien von vertrauenswürdigen, signierten Volumes ausgeführt werden dürfen. (IPE wird während der öffentlichen Vorschau im Überwachungsmodus ausgeführt.)
- Obligatorische Zugriffssteuerungen: OS Guard integriert SELinux, um einzuschränken, welche Prozesse auf vertrauliche Ressourcen im System zugreifen können. (SELinux wird während der öffentlichen Vorschau im eingeschränkten Modus ausgeführt.)
- Integration in Azure-Sicherheitsfeatures: Native Unterstützung für vertrauenswürdigen Start und sicheren Start bietet kontrollierten Startschutz und Nachweis.
- Überprüfte Containerebenen: Containerimages und -ebenen werden mithilfe signierter DM-Verity-Hashes überprüft. Dadurch wird sichergestellt, dass zur Laufzeit nur überprüfte Ebenen verwendet werden, wodurch das Risiko eines Container-Escape oder einer Manipulation verringert wird.
- Unübertreffliche Lieferkettensicherheit: OS Guard erbt die sicheren Buildpipelines, signierten Unified Kernel Images (UKIs) und Stücklisten für Software (SBOMs) von Azure Linux.
Erfahren Sie mehr über die wichtigsten Features von Azure Linux mit OS Guard.
Regionale Verfügbarkeit
Azure Linux mit OS Guard ist für die Verwendung in denselben Regionen wie AKS verfügbar.
Erste Schritte mit Azure Linux mit OS Guard auf AKS
Erste Schritte mit Azure Linux mit OS Guard auf AKS mithilfe der folgenden Ressourcen:
- Erstellen eines Clusters mit Azure Linux mit OS Guard
- So aktualisieren Sie Azure Linux mit OS Guard-Clustern
- Hinzufügen eines Azure Linux mit OS Guard-Knotenpool zu Ihrem vorhandenen Cluster
- Migrieren zu Azure Linux mit OS Guard
- Aktivieren von Telemetrie und Überwachung auf einem Azure Linux mit OS Guard-Cluster
Nächste Schritte
Weitere Informationen zu Azure Linux mit OS Guard finden Sie in der Dokumentation zu Azure Linux mit OS Guard.