Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera omówienie usługi Azure Linux z funkcją OS Guard (wersja zapoznawcza) w usłudze Azure Kubernetes Service (AKS), w tym kluczowe funkcje, dostępność regionów i zasoby umożliwiające rozpoczęcie pracy.
Co to jest platforma Azure Linux z funkcją OS Guard?
Azure Linux z funkcją OS Guard to wzmocniona, niezmienna wersja Azure Linux. Zapewnia silną integralność środowiska uruchomieniowego, odporność na naruszenia i zabezpieczenia klasy korporacyjnej dla hostów kontenerów w usłudze AKS. Funkcja OS Guard jest oparta na systemie Azure Linux i dodaje funkcje jądra i środowiska uruchomieniowego, które wymuszają integralność kodu, chronią główny system plików przed nieautoryzowanymi zmianami i stosują obowiązkowe mechanizmy kontroli dostępu.
Platformę Azure z systemem Linux można wdrożyć za pomocą pul węzłów funkcji OS Guard w nowym klastrze, dodać system Azure Linux z pulami węzłów systemu operacyjnego OS Guard do istniejących klastrów systemu Linux lub Ubuntu albo zmigrować węzły systemu Linux lub Ubuntu do platformy Azure za pomocą węzłów funkcji OS Guard.
Aby dowiedzieć się więcej o systemie Linux platformy Azure z funkcją OS Guard, zobacz dokumentację platformy Azure dla systemu Linux z funkcją OS Guard.
Dlaczego warto używać systemu Linux platformy Azure z funkcją OS Guard w usłudze AKS?
Platforma Azure Linux z funkcją OS Guard w usłudze AKS opiera się na zaletach systemu Linux platformy Azure przez dodanie rozszerzonych funkcji zabezpieczeń, które pomagają chronić obciążenia kontenerów przed zaawansowanymi zagrożeniami. Funkcja OS Guard zapewnia:
-
Niezmienność:
/usrkatalog jest zamontowany jako wolumin tylko do odczytu chroniony przez warstwę dm-verity, co zapobiega wykonywaniu naruszonego lub niezaufanego kodu. - Integralność kodu: OS Guard integruje moduł zabezpieczeń Linux wymuszania zasad integralności (IPE) w celu zapewnienia, że tylko pliki binarne z zaufanych, podpisanych woluminów mogą być wykonywane. (IPE działa w trybie audytu w publicznej wersji zapoznawczej.)
- Obowiązkowe mechanizmy kontroli dostępu: funkcja OS Guard integruje narzędzie SELinux w celu ograniczenia procesów, które mogą uzyskiwać dostęp do poufnych zasobów w systemie. (SeLinux działa w trybie permissive w publicznej wersji zapoznawczej).
- Integracja z funkcjami zabezpieczeń platformy Azure: natywna obsługa zaufanego uruchamiania i bezpiecznego rozruchu zapewnia mierzoną ochronę rozruchu i zaświadczania.
- Zweryfikowane warstwy kontenerów: obrazy kontenerów oraz ich warstwy są weryfikowane za pomocą podpisanych skrótów dm-verity. Gwarantuje to, że tylko zweryfikowane warstwy są używane w czasie wykonywania, co zmniejsza ryzyko ucieczki lub naruszenia kontenera.
- Suwerenne zabezpieczenia łańcucha dostaw: OS Guard dziedziczy bezpieczne potoki kompilacji Azure Linux, podpisane ujednolicone obrazy jądra (UKI) oraz Software Bill of Materials (SBOM).
Dowiedz się więcej o kluczowych funkcjach platformy Azure z systemem Linux przy użyciu funkcji OS Guard.
Dostępność regionalna
Platforma Azure Linux z funkcją OS Guard jest dostępna do użycia w tych samych regionach co usługa AKS.
Wprowadzenie do platformy Azure z systemem Linux przy użyciu funkcji OS Guard w usłudze AKS
Rozpocznij pracę z systemem Linux platformy Azure z funkcją OS Guard w usłudze AKS, korzystając z następujących zasobów:
- Tworzenie klastra z systemem Linux platformy Azure za pomocą funkcji OS Guard
- Jak uaktualnić system Azure Linux za pomocą klastrów OS Guard
- Dodaj pulę węzłów Linux platformy Azure z funkcją OS Guard do istniejącego klastra
- Migrowanie do platformy Azure dla systemu Linux przy użyciu funkcji OS Guard
- Włączanie telemetrii i monitorowania na platformie Azure z systemem Linux przy użyciu klastra OS Guard
Dalsze kroki
Aby dowiedzieć się więcej o systemie Linux platformy Azure z funkcją OS Guard, zobacz dokumentację platformy Azure dla systemu Linux z funkcją OS Guard.