Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece uma visão geral do Azure Linux com o OS Guard (versão prévia) no AKS (Serviço de Kubernetes do Azure), incluindo os principais recursos, disponibilidade da região e recursos para começar.
O que é o Azure Linux com o OS Guard?
O Azure Linux com proteção de SO é uma variante protegida e imutável do Azure Linux. Ele fornece integridade durante a execução, resistência contra adulterações e segurança de nível empresarial para hosts de contêiner no AKS. O SO Guard é criado no Linux do Azure e adiciona recursos de kernel e runtime que impõem a integridade do código, protegem o sistema de arquivos raiz contra alterações não autorizadas e aplicam controles de acesso obrigatórios.
Você pode implantar o Azure Linux com pools de nós do OS Guard em um novo cluster, adicionar o Azure Linux com pools de nós do OS Guard aos clusters existentes do Azure Linux ou Ubuntu, ou migrar os nós do Azure Linux ou Ubuntu para o Azure Linux com nós do sistema operacional Guard.
Para saber mais sobre o Azure Linux com o OS Guard, consulte a documentação do Azure Linux com o OS Guard.
Por que usar o Azure Linux com o OS Guard no AKS?
O Azure Linux com o OS Guard no AKS baseia-se nos benefícios do Linux do Azure adicionando recursos de segurança aprimorados que ajudam a proteger suas cargas de trabalho de contêiner contra ameaças avançadas. Proteção do Sistema Operacional fornece:
-
Imutabilidade: O
/usrdiretório é montado como um volume somente leitura protegido por dm-verity, impedindo a execução de código adulterado ou não confiável. - Integridade do código: o OS Guard integra o Módulo de Segurança do Linux (IPE) de Aplicação da Política de Integridade para garantir que somente binários de volumes assinados e confiáveis possam ser executados. (O IPE está sendo executado em modo de auditoria durante a Visualização Pública.)
- Controles de acesso obrigatórios: o OS Guard integra o SELinux para limitar quais processos podem acessar recursos confidenciais no sistema. (SELinux está operando no modo permissivo durante a Visualização Pública.)
- Integração com os recursos de segurança do Azure: o suporte nativo para Inicialização Confiável e Inicialização Segura fornece proteções de inicialização medidas e atestado.
- Camadas de contêiner verificadas: As imagens e camadas do contêiner são validadas usando hashes dm-verity assinados. Isso garante que apenas as camadas verificadas sejam usadas em runtime, reduzindo o risco de escape de contêiner ou adulteração.
- Segurança soberana da cadeia de fornecedores: o OS Guard herda os pipelines de build seguros do Azure Linux, as Imagens Unificadas do Kernel (UKIs) assinadas e as Listas de Materiais de Software (SBOMs).
Saiba mais sobre os principais recursos do Azure Linux com o OS Guard.
Disponibilidade regional
O Azure Linux com o OS Guard está disponível para uso nas mesmas regiões que o AKS.
Introdução ao Azure Linux com o OS Guard no AKS
Comece a usar o Azure Linux com o OS Guard no AKS usando os seguintes recursos:
- Criando um cluster com o Linux do Azure com o OS Guard
- Como atualizar Azure Linux com clusters do OS Guard
- Adicionar um Linux do Azure com o pool de nós do OS Guard ao cluster existente
- Migrar para o Azure Linux com o OS Guard
- Habilitar a telemetria e o monitoramento em um Linux do Azure com o cluster do OS Guard
Próximas etapas
Para saber mais sobre o Azure Linux com o OS Guard, consulte a documentação do Azure Linux com o OS Guard.