Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule przedstawiono omówienie Azure Linux z OS Guard, który jest utwardzoną, niezmienną wersją Azure Linux. Zapewnia silną integralność środowiska uruchomieniowego, odporność na naruszenia i zabezpieczenia klasy korporacyjnej dla hostów kontenerów w usłudze AKS. Oparta na systemie Azure Linux funkcja OS Guard dodaje funkcje jądra i środowiska uruchomieniowego, które wymuszają integralność kodu, chronią główny system plików przed nieautoryzowanymi zmianami i stosują obowiązkowe mechanizmy kontroli dostępu. Użyj OS Guard, gdy potrzebujesz zwiększonej pewności co do hosta kontenera i czasu pracy obciążenia.
Kluczowe funkcje
W poniższej tabeli przedstawiono najważniejsze funkcje systemu Linux platformy Azure z funkcją OS Guard:
| Funkcja | Description |
|---|---|
| Niezmienność | Katalog /usr jest instalowany jako wolumin tylko do odczytu chroniony przez dm-verity. W czasie wykonywania jądro sprawdza poprawność podpisanego skrótu głównego w celu wykrywania i blokowania manipulowania. |
| Integralność kodu | Funkcja OS Guard integruje moduł zabezpieczeń IPE (Integrity Policy Enforcement) systemu Linux , aby upewnić się, że tylko pliki binarne z zaufanych, podpisanych woluminów mogą być wykonywane. Pomaga to zapobiegać wykonaniu zmanipulowanego lub niezaufanego kodu, w tym w obrazach kontenerów. Uwaga: protokół IPE działa w trybie inspekcji w publicznej wersji zapoznawczej. |
| Obowiązkowa kontrola dostępu | Funkcja OS Guard integruje narzędzie SELinux, aby ograniczyć procesy, które mogą uzyskiwać dostęp do poufnych zasobów w systemie. Uwaga: SELinux działa w trybie permissive w publicznej wersji zapoznawczej. |
| Mierzony rozruch i zaufane uruchomienie | Funkcja OS Guard obsługuje mierzony rozruch i integruje się z zaufanym uruchamianiem w celu zapewnienia kryptograficznych pomiarów składników rozruchu przechowywanych w wirtualnym module TPM (vTPM). Jest to osiągane przy użyciu ujednoliconego obrazu jądra (UKI), który łączy jądro, initramfs i wiersz polecenia jądra w jeden podpisany artefakt. Podczas rozruchu UKI jest mierzony i rejestrowany w vTPM, zapewniając integralność od najwcześniejszego etapu. |
| Zweryfikowane warstwy kontenera | Obrazy kontenerów i ich warstwy są weryfikowane za pomocą podpisanych skrótów dm-verity. Gwarantuje to, że tylko zweryfikowane warstwy są używane w czasie wykonywania, co zmniejsza ryzyko ucieczki lub naruszenia kontenera. IPE rozszerza swoje działanie również na obrazy kontenerów, zapewniając, że można wykonywać tylko pliki binarne pasujące do zaufanego podpisu, nawet jeśli znajdują się w zweryfikowanej warstwie. Uwaga: protokół IPE działa w trybie inspekcji w publicznej wersji zapoznawczej. |
| Bezpieczeństwo suwerennych łańcuchów dostaw | OS Guard dziedziczy bezpieczne potoki budowania z Azure Linux, ujednolicone podpisane obrazy jądra (UKI) i listę materiałów oprogramowania (SBOM). |
Kluczowe zalety
W poniższej tabeli przedstawiono kluczowe zalety korzystania z systemu Linux platformy Azure z funkcją OS Guard:
| Korzyść | Description |
|---|---|
| Gwarancja silnej integralności środowiska uruchomieniowego | Niezmienność wymuszana przez jądro i funkcja IPE zapobiega wykonywaniu naruszonego lub niezaufanego kodu. |
| Zmniejszona powierzchnia ataku | Katalog /usr tylko do odczytu, zmniejszona liczba pakietów i zasady SELinux ograniczają możliwości dla osoby atakującej instalowania trwałych backdoorów lub zmiany plików binarnych systemu. |
| Zaufanie łańcucha dostaw | Opiera się na podpisanych obrazach i procesach łańcucha dostaw platformy Azure z systemem Linux, zapewniając jasne pochodzenie składników systemu. |
| Integracja z funkcjami zabezpieczeń platformy Azure | Natywna obsługa zaufanego uruchamiania i bezpiecznego rozruchu zapewnia mierzoną ochronę rozruchu i zaświadczania. |
| Przezroczystość typu open source | Wiele podstawowych technologii (dm-verity, SELinux, IPE) to nadrzędne lub open source, a firma Microsoft ma narzędzia i wkład w obsługę tych funkcji. |
| Dziedziczenie zgodności | Funkcja OS Guard dziedziczy właściwości zgodności z systemem Azure Linux (na przykład moduły kryptograficzne i certyfikaty dostępne dla systemu Azure Linux), co ułatwia wdrażanie w środowiskach regulowanych. |
Uwagi i ograniczenia
Ważne jest, aby pamiętać o następujących zagadnieniach i ograniczeniach dotyczących systemu Linux platformy Azure z funkcją OS Guard:
- Platforma Kubernetes w wersji 1.32.0 lub nowszej jest wymagana dla systemu Linux platformy Azure z funkcją OS Guard.
- Wszystkie obrazy Azure Linux z funkcją OS Guard mają włączony standard FIPS (Federal Information Process Standard) oraz zaufane uruchamianie.
- Interfejs wiersza polecenia platformy Azure i szablony usługi ARM są jedynymi obsługiwanymi metodami wdrażania dla systemu Linux platformy Azure z funkcją OS Guard w usłudze AKS w wersji zapoznawczej. Program PowerShell i program Terraform nie są obsługiwane.
- Obrazy arm64 nie są obsługiwane w systemie Linux platformy Azure z funkcją OS Guard w usłudze AKS w wersji zapoznawczej.
-
NodeImageiNonesą jedynymi obsługiwanymi kanałami uaktualniania systemu operacyjnego dla systemu Linux platformy Azure z funkcją OS Guard w usłudze AKS.UnmanagediSecurityPatchsą niezgodne z systemem Linux platformy Azure z funkcją OS Guard ze względu na niezmienny katalog /usr. - Przesyłanie strumieniowe artefaktów nie jest obsługiwane.
- Pod Sandboxing nie jest obsługiwany.
- Poufne maszyny wirtualne (CVM) nie są obsługiwane.
- Maszyny wirtualne 1. generacji nie są obsługiwane.
Jak wybrać opcję hosta kontenera systemu Linux platformy Azure
Platforma Azure Linux z funkcją OS Guard jest oparta na systemie Azure Linux i korzysta z tych samych ochron łańcucha dostaw oraz podpisanych obrazów. Oba warianty systemu operacyjnego mogą być odpowiednie w zależności od wymagań dotyczących zabezpieczeń, zgodności i działania:
| Opcja hosta kontenera | Host kontenera systemu Linux platformy Azure | Azure Linux z funkcją OS Guard |
|---|---|---|
| Korzyści z zabezpieczeń | System Azure Linux zapewnia korzyści bezpieczeństwa, które Microsoft uznaje za kluczowe dla obciążeń AKS. | Wszystkie korzyści wynikające z platformy Azure dla systemu Linux oraz dodatkowe korzyści zabezpieczeń wymienione powyżej. |
| Znajomość użytkownika | Znane użytkownikom innych dystrybucji systemu Linux, takich jak Ubuntu. Operacje i narzędzia, z których korzystają klienci, będą dla nich dobrze znane. | Znane klientom pochodzącym z innych dystrybucji zoptymalizowanych pod kątem kontenerów. |
| Docelowi odbiorcy | Celem dla klientów dokonujących przeniesień, migracji oraz przechodzących z innych dystrybucji systemu Linux. | Skierowana do klientów korzystających z chmury, którzy od początku działają w środowisku chmurowym lub poszukują modernizacji. |
| Mechanizmy kontroli zabezpieczeń | Opcja włączenia AppArmor, jeśli konieczne, dla klientów dbających o bezpieczeństwo. | Przełączanie zabezpieczeń, takie jak SELinux i IPE, jest domyślnie ustawione na tryb permisywny. |
Dalsze kroki
Aby rozpocząć pracę z usługą Azure Linux OS Guard dla usługi AKS, zobacz następujące zasoby: