Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, se proporciona información general sobre Azure Linux con OS Guard, que es una variante protegida e inmutable de Azure Linux. Proporciona una integridad sólida en tiempo de ejecución, resistencia a alteraciones y seguridad de nivel empresarial para los hosts de contenedor en AKS. Basado en Azure Linux, OS Guard agrega características de kernel y runtime que aplican la integridad del código, protegen el sistema de archivos raíz frente a cambios no autorizados y aplican controles de acceso obligatorios. Usa OS Guard cuando necesites garantías elevadas sobre el host de contenedor y el tiempo de ejecución de la carga de trabajo.
Características clave
En la tabla siguiente se describen las características clave de Azure Linux con OS Guard:
| Característica | Description |
|---|---|
| Inmutabilidad | El directorio /usr se monta como un volumen de solo lectura protegido por dm-verity. En tiempo de ejecución, el kernel valida un hash raíz firmado para detectar y bloquear la manipulación. |
| Integridad del código | OS Guard integra el módulo de seguridad de Linux de aplicación de la política de integridad (IPE) para asegurarse de que solo se pueden ejecutar archivos binarios de volúmenes firmados y de confianza. Esto ayuda a evitar que el código alterado o que no sea de confianza se ejecute, incluido dentro de las imágenes de contenedor. Nota: IPE se ejecuta en modo auditoría durante la versión preliminar pública. |
| Control de acceso obligatorio | OS Guard integra SELinux para limitar qué procesos pueden acceder a recursos confidenciales en el sistema. Nota: SELinux funciona en modo permisivo durante la versión preliminar pública. |
| Arranque medido y lanzamiento confiable | OS Guard admite el arranque medido y se integra con el inicio seguro para proporcionar medidas criptográficas de los componentes de arranque almacenados en un TPM virtual (vTPM). Esto se logra mediante una imagen de kernel unificada (UKI), que agrupa el kernel, initramfs y la línea de comandos del kernel en un único artefacto firmado. Durante el arranque, el UKI se mide y registra en vTPM, lo que garantiza la integridad de la fase más temprana. |
| Capas de contenedor comprobadas | Las imágenes y las capas de los contenedores se validan utilizando hashes firmados de dm-verity. Esto garantiza que solo se usen capas verificadas en tiempo de ejecución, lo que reduce el riesgo de escape o alteración del contenedor. IPE también se extiende dentro de imágenes de contenedor, lo que garantiza que solo se puedan ejecutar archivos binarios que coincidan con una firma de confianza, incluso si existen en una capa verificada. Nota: IPE se ejecuta en modo auditoría durante la versión preliminar pública. |
| Seguridad de la cadena de suministro soberana | OS Guard hereda las canalizaciones de compilación seguras de Azure Linux, las imágenes unificadas de kernel (UKIs) firmadas y la lista de materiales de software (SBOMs). |
Ventajas clave
En la tabla siguiente se describen las ventajas clave del uso de Azure Linux con OS Guard:
| Ventaja | Description |
|---|---|
| Garantía de integridad sólida en tiempo de ejecución | La inmutabilidad forzada por kernel e IPE impiden la ejecución de código alterado o que no es de confianza. |
| Superficie expuesta a ataques reducida | Un directorio /usr de solo lectura, un número reducido de paquetes y las directivas SELinux limitan las oportunidades para que un atacante instale los backdoors persistentes o modifique los archivos binarios del sistema. |
| Confianza en la cadena de suministro | Se basa en las imágenes firmadas de Azure Linux y los procesos de cadena de suministro, lo que proporciona una procedencia clara para los componentes del sistema. |
| Integración con características de seguridad de Azure | La compatibilidad nativa para Inicio Seguro y Secure Boot proporciona protecciones y certificaciones de arranque medidas. |
| Transparencia de código abierto | Muchas de las tecnologías subyacentes (dm-verity, SELinux, IPE) están integradas en la fuente principal o son de código abierto, y Microsoft tiene herramientas y contribuciones para admitir estas funcionalidades. |
| Herencia de cumplimiento | OS Guard hereda las propiedades de cumplimiento de Azure Linux (por ejemplo, módulos criptográficos y certificaciones disponibles para Azure Linux), lo que facilita la adopción en entornos regulados. |
Consideraciones y limitaciones
Es importante tener en cuenta las siguientes consideraciones y limitaciones para Azure Linux con OS Guard:
- La versión 1.32.0 o posterior de Kubernetes es necesaria para Azure Linux con OS Guard.
- Todas las imágenes de Azure Linux con OS Guard tienen habilitado el Estándar federal de proceso de información (FIPS) y el Inicio seguro.
- Las plantillas de la CLI de Azure y ARM son los únicos métodos de implementación admitidos para Azure Linux con OS Guard en AKS en versión preliminar. PowerShell y Terraform no están admitidos.
- Las imágenes de Arm64 no se admiten en Azure Linux con OS Guard en AKS en fase de vista previa.
-
NodeImageyNoneson los únicos canales de actualización del sistema operativo compatibles para Azure Linux con OS Guard en AKS.UnmanagedySecurityPatchson incompatibles con Azure Linux con OS Guard debido al directorio /usr inmutable. - No se admite el Streaming de artefactos.
- No se admite el Sandboxing de pods.
- No se admiten máquinas virtuales confidenciales (CVM).
- No se admiten máquinas virtuales (VM) gen 1.
Elección de una opción de host de contenedor linux de Azure
Azure Linux con OS Guard se basa en Azure Linux y se beneficia de las mismas protecciones de cadena de suministro e imágenes firmadas. Ambas variantes del sistema operativo pueden ser adecuadas en función de los requisitos operativos, de cumplimiento y seguridad:
| Opción host de contenedor | Host de Contenedor Linux de Azure | Azure Linux con OS Guard |
|---|---|---|
| Ventajas de seguridad | Azure Linux proporciona las ventajas de seguridad que Microsoft ve como críticas para las cargas de trabajo de AKS. | Todas las ventajas de Azure Linux más las ventajas de seguridad adicionales mencionadas anteriormente. |
| Familiaridad del usuario | Familiarícese con los clientes procedentes de otras distribuciones de Linux, como Ubuntu. Las operaciones y las herramientas que usan los clientes parecerán familiares. | Los clientes procedentes de otras distribuciones optimizadas para contenedores encontrarán esto familiar. |
| Público de destino | Dirigido a los clientes que realizan transferencias de carga y cambios, migraciones y que provienen de otras distribuciones de Linux. | Dirigido a clientes diseñados para la nube que nacen en la nube o que buscan modernizarse. |
| Controles de seguridad | Opción para habilitar AppArmor si es necesario para los clientes preocupados por la seguridad. | Las alternancias de seguridad como SELinux e IPE son permisivas de forma predeterminada. |
Pasos siguientes
Para empezar a trabajar con Azure Linux OS Guard para AKS, consulte los siguientes recursos: