Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona información general de Azure Linux con OS Guard (versión preliminar) en Azure Kubernetes Service (AKS), incluidas las características clave, la disponibilidad de regiones y los recursos para empezar.
¿Qué es Azure Linux con OS Guard?
Azure Linux con OS Guard es una variante protegible e inmutable de Azure Linux. Proporciona una integridad sólida en tiempo de ejecución, resistencia a alteraciones y seguridad de nivel empresarial para los hosts de contenedor en AKS. OS Guard se basa en Azure Linux y agrega características de kernel y tiempo de ejecución que aplican la integridad del código, protegen el sistema de archivos raíz frente a cambios no autorizados y aplican controles de acceso obligatorios.
Puede implementar Azure Linux con grupos de nodos de OS Guard en un nuevo clúster, agregar Azure Linux con grupos de nodos de OS Guard a los clústeres de Azure Linux o Ubuntu existentes, o migrar los nodos de Azure Linux o Ubuntu a Azure Linux con nodos de OS Guard.
Para más información sobre Azure Linux con OS Guard, consulte la documentación de Azure Linux con OS Guard.
¿Por qué usar Azure Linux con OS Guard en AKS?
Azure Linux con OS Guard en AKS se basa en las ventajas de Azure Linux mediante la adición de características de seguridad mejoradas que ayudan a proteger las cargas de trabajo de contenedor frente a amenazas avanzadas. OS Guard proporciona:
-
Inmutabilidad: el
/usrdirectorio se monta como un volumen de solo lectura protegido por dm-verity, lo que impide la ejecución de código alterado o que no es de confianza. - Integridad de código: OS Guard integra el módulo de seguridad de Linux de cumplimiento de directivas de integridad (IPE) para asegurarse de que solo se pueden ejecutar archivos binarios de volúmenes firmados de confianza. (IPE se ejecuta en modo auditoría durante la versión preliminar pública).
- Controles de acceso obligatorios: OS Guard integra SELinux para limitar qué procesos pueden acceder a recursos confidenciales en el sistema. (SELinux funciona en modo permisivo durante la versión preliminar pública).
- Integración con las características de seguridad de Azure: la compatibilidad nativa con inicio seguro y arranque seguro proporciona protecciones de arranque y atestación medida.
- Capas de contenedor verificadas: las imágenes y capas de contenedor se validan mediante hashes de dm-verity firmados. Esto garantiza que solo se usen capas verificadas en tiempo de ejecución, lo que reduce el riesgo de escape o alteración del contenedor.
- Seguridad de la cadena de suministro soberana: OS Guard hereda las canalizaciones de compilación seguras de Azure Linux, las imágenes unificadas de kernel (UKIs) firmadas y la lista de materiales de software (SBOM).
Obtenga más información sobre las características clave de Azure Linux con OS Guard.
Disponibilidad regional
Azure Linux con OS Guard está disponible para su uso en las mismas regiones que AKS.
Introducción a Azure Linux con OS Guard en AKS
Introducción a Azure Linux con OS Guard en AKS mediante los siguientes recursos:
- Creación de un clúster con Azure Linux con OS Guard
- Actualización de Azure Linux con clústeres de OS Guard
- Adición de un grupo de nodos de Azure Linux con OS Guard al clúster existente
- Migración a Azure Linux con OS Guard
- Habilitación de la telemetría y la supervisión en Azure Linux con un clúster de OS Guard
Pasos siguientes
Para más información sobre Azure Linux con OS Guard, consulte la documentación de Azure Linux con OS Guard.