Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel bieten wir eine Übersicht über Azure Linux mit OS Guard, einer gehärteten, unveränderlichen Variante von Azure Linux. Es bietet starke Laufzeitintegrität, Manipulationsresistenz und Sicherheit auf Unternehmensniveau für Containerhosts auf AKS. Os Guard basiert auf Azure Linux und fügt Kernel- und Laufzeitfeatures hinzu, die codeintegrität erzwingen, das Stammdateisystem vor nicht autorisierten Änderungen schützen und obligatorische Zugriffssteuerungen anwenden. Verwenden Sie OS Guard, wenn Sie erhöhte Sicherheiten für Ihren Containerhost und die Workloadlaufzeit benötigen.
Wichtigste Funktionen
In der folgenden Tabelle werden die wichtigsten Features von Azure Linux mit OS Guard beschrieben:
| Merkmal | Description |
|---|---|
| Unbeweglichkeit | Das Verzeichnis "/usr" wird als schreibgeschütztes Volume bereitgestellt, das durch dm-verity geschützt ist. Zur Laufzeit überprüft der Kernel einen signierten Stammhash, um Manipulationen zu erkennen und zu blockieren. |
| Codeintegrität | OS Guard integriert das Linux-Sicherheitsmodul für die Integritätsrichtlinienerzwingung (Integrity Policy Enforcement, IPE), um sicherzustellen, dass nur Binärdateien von vertrauenswürdigen signierten Volumes ausgeführt werden dürfen. Dadurch wird verhindert, dass manipulierter oder nicht vertrauenswürdiger Code ausgeführt wird, einschließlich Container-Images. Hinweis: IPE wird während der öffentlichen Vorschau im Überwachungsmodus ausgeführt. |
| Obligatorische Zugriffssteuerung | OS Guard integriert SELinux, um einzuschränken, welche Prozesse auf vertrauliche Ressourcen im System zugreifen können. Hinweis: SELinux wird während der öffentlichen Vorschau im eingeschränkten Modus ausgeführt. |
| Kontrollierter Start und vertrauenswürdiger Start | OS Guard unterstützt den kontrollierten Start und integriert den vertrauenswürdigen Start , um kryptografische Messungen von Startkomponenten bereitzustellen, die in einem virtuellen TPM (vTPM) gespeichert sind. Dies wird mithilfe eines Unified Kernel Image (UKI) erreicht, das den Kernel, initramfs und die Kernel-Befehlszeile in ein einzelnes signiertes Artefakt bündeln. Während des Startvorgangs wird der UKI gemessen und im vTPM aufgezeichnet, wodurch die Integrität bereits in der frühesten Phase gewährleistet wird. |
| Überprüfte Containerebenen | Container-Images und -Schichten werden mittels signierter dm-verity-Hashes überprüft. Dadurch wird sichergestellt, dass zur Laufzeit nur überprüfte Ebenen verwendet werden, wodurch das Risiko eines Container-Escape oder einer Manipulation verringert wird. IPE erweitert sich auch innerhalb von Containerimages, um sicherzustellen, dass nur Binärdateien, die einer vertrauenswürdigen Signatur entsprechen, ausgeführt werden können, auch wenn sie in einer überprüften Ebene vorhanden sind. Hinweis: IPE wird während der öffentlichen Vorschau im Überwachungsmodus ausgeführt. |
| Souveräne Lieferkettensicherheit | OS Guard erbt die sicheren Buildpipelines von Azure Linux, signierte Unified Kernel Images (UKIs) und Stücklisten für Software (SBOMs). |
Wichtige Vorteile
In der folgenden Tabelle werden die wichtigsten Vorteile der Verwendung von Azure Linux mit OS Guard beschrieben:
| Vorteil | Description |
|---|---|
| Starke Laufzeitintegritätsgarantie | Kernelbasierte Unveränderlichkeit und IPE verhindern die Ausführung von manipulierten oder nicht vertrauenswürdigen Code. |
| Reduzierte Angriffsfläche | Ein schreibgeschütztes /usr-Verzeichnis, eine reduzierte Paketanzahl und SELinux-Richtlinien beschränken die Möglichkeiten eines Angreifers, dauerhafte Hintertüren zu installieren oder Systembinärdateien zu ändern. |
| Lieferkettenvertrauen | Baut auf den signierten Images und Lieferkettenprozessen von Azure Linux auf und liefert klare Provenienz für Systemkomponenten. |
| Integration in Azure-Sicherheitsfeatures | Systemeigene Unterstützung für Trusted Launch und Secure Boot bietet gemessenen Startschutz und Nachweis. |
| Open-Source-Transparenz | Viele der zugrunde liegenden Technologien (dm-verity, SELinux, IPE) sind upstream oder open Source, und Microsoft verfügt über Tools und Beiträge zur Unterstützung dieser Features. |
| Compliancevererbung | OS Guard erbt Complianceeigenschaften von Azure Linux (z. B. kryptografische Module und Zertifizierungen für Azure Linux), wodurch die Einführung in regulierten Umgebungen erleichtert wird. |
Überlegungen und Einschränkungen
Es ist wichtig, die folgenden Überlegungen und Einschränkungen für Azure Linux mit OS Guard zu beachten:
- Kubernetes Version 1.32.0 oder höher ist für Azure Linux mit OS Guard erforderlich.
- Alle Azure Linux mit OS Guard-Images haben Federal Information Process Standard (FIPS) und Vertrauenswürdiger Start aktiviert.
- Azure CLI und ARM-Vorlagen sind die einzigen unterstützten Bereitstellungsmethoden für Azure Linux mit OS Guard auf AKS in Preview. PowerShell und Terraform werden nicht unterstützt.
- Arm64-Images werden mit Azure Linux mit OS Guard auf AKS in der Preview nicht unterstützt.
-
NodeImageundNonesind die einzigen unterstützten Betriebssystemupgradekanäle für Azure Linux mit OS Guard auf AKS.UnmanagedundSecurityPatchsind aufgrund des unveränderlichen /usr-Verzeichnisses nicht mit Azure Linux mit OS Guard kompatibel. - Artefaktstreaming wird nicht unterstützt.
- Pod Sandboxing wird nicht unterstützt.
- Vertrauliche virtuelle Computer (CVMs) werden nicht unterstützt.
- Virtuelle Computer der Generation 1 (VMs) werden nicht unterstützt.
Auswählen einer Azure Linux-Containerhostoption
Azure Linux mit OS Guard basiert auf Azure Linux und profitiert von denselben Lieferkettenschutz und signierten Images. Beide Betriebssystemvarianten können je nach Sicherheit, Compliance und betrieblichen Anforderungen angemessen sein:
| Containerhostoption | Azure Linux-Containerhost | Azure Linux mit OS Guard |
|---|---|---|
| Sicherheitsvorteile | Azure Linux bietet die Sicherheitsvorteile, die Microsoft als entscheidend für AKS-Workloads ansieht. | Alle Vorteile von Azure Linux sowie die oben genannten zusätzlichen Sicherheitsvorteile. |
| Vertrautheit der Benutzer | Vertraut für Kunden aus anderen Linux-Distributionen wie Ubuntu. Betriebsabläufe und Tools, die Kunden verwenden, wirken vertraut. | Bekannt für Kunden aus anderen containeroptimierten Distributionen. |
| Zielgruppe | Geeignet für Kunden, die Lift-and-Shift-Projekte durchführen, Migrationen vornehmen oder von anderen Linux-Distributionen wechseln. | Richtet sich an Cloud-native Kunden, die in der Cloud geboren sind oder die modernisieren möchten. |
| Sicherheitskontrollen | Option zum Aktivieren von AppArmor bei Bedarf für sicherheitsorientierte Kunden. | Sicherheitseinstellungen wie SELinux und IPE sind standardmäßig zulässig. |
Nächste Schritte
Informationen zu den ersten Schritten mit Azure Linux OS Guard für AKS finden Sie in den folgenden Ressourcen: