Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Neste artigo, fornecemos uma visão geral do Azure Linux com o OS Guard, que é uma variante protegida e imutável do Azure Linux. Ele fornece integridade durante a execução, resistência contra adulterações e segurança de nível empresarial para hosts de contêiner no AKS. Criado no Linux do Azure, o OS Guard adiciona recursos de kernel e runtime que impõem a integridade do código, protegem o sistema de arquivos raiz contra alterações não autorizadas e aplicam controles de acesso obrigatórios. Use a proteção de SO quando for necessário garantias elevadas sobre o host de contêiner e o runtime da carga de trabalho.
Características principais
A tabela a seguir descreve os principais recursos do Azure Linux com o OS Guard:
| Característica | Description |
|---|---|
| Imutabilidade | O diretório /usr é montado como um volume somente leitura protegido por dm-verity. Em runtime, o kernel valida um hash raiz assinado para detectar e bloquear a adulteração. |
| Integridade do código | O OS Guard integra o Módulo de Segurança do Linux de Aplicação de Políticas de Integridade (IPE) para garantir que somente binários de volumes assinados e confiáveis possam ser executados. Isso ajuda a impedir a execução de código adulterado ou não confiável, inclusive em imagens de contêiner. Observação: o IPE está em execução no modo de auditoria durante a Visualização Pública. |
| Controle de acesso obrigatório | O OS Guard integra o SELinux para limitar quais processos podem acessar recursos confidenciais no sistema. Observação: SELinux está operando no modo permissivo durante a Visualização Pública. |
| Inicialização medida e Início Confiável | OS Guard dá suporte à inicialização medida e integra-se ao Trusted Launch para fornecer medições criptográficas dos componentes de inicialização armazenados em um TPM virtual (vTPM). Isso é feito usando uma UKI (Unified Kernel Image), que agrupa o kernel, initramfs e linha de comando kernel em um único artefato assinado. Durante a inicialização, o UKI é medido e registrado no vTPM, garantindo a integridade desde o estágio inicial. |
| Camadas de contêiner verificadas | As imagens e as camadas de contêiner são validadas usando hashes de dm-verity assinados. Isso garante que apenas as camadas verificadas sejam usadas em runtime, reduzindo o risco de escape de contêiner ou adulteração. O IPE também se estende dentro de imagens de contêiner, garantindo que somente binários correspondentes a uma assinatura confiável possam ser executados, mesmo que existam em uma camada verificada. Observação: o IPE está em execução no modo de auditoria durante a Visualização Pública. |
| Segurança da cadeia de suprimentos soberana | A proteção de SO herda os pipelines de build seguros do Azure Linux, as UKIs (imagens de kernel unificadas) assinadas e a SBOMs (Lista de Materiais de Software). |
Principais vantagens
A tabela a seguir descreve as principais vantagens de usar o Linux do Azure com o OS Guard:
| Vantagem | Description |
|---|---|
| Garantia de integridade de runtime forte | A imutabilidade imposta pelo kernel e o IPE impedem a execução de código adulterado ou não confiável. |
| Superfície de ataque reduzida | Um diretório /usr em modo somente leitura, uma contagem reduzida de pacotes e políticas SELinux limitam as oportunidades para um atacante instalar backdoors persistentes ou alterar binários do sistema. |
| Confiança na cadeia de suprimentos | Baseia-se nas imagens assinadas do Azure Linux e nos processos da cadeia de suprimentos, fornecendo uma origem clara para componentes do sistema. |
| Integração com recursos de segurança do Azure | O suporte nativo para Início Confiável e Inicialização Segura fornece proteções de inicialização medidas e atestação. |
| Transparência de software livre | Muitas das tecnologias subjacentes (dm-verity, SELinux, IPE) são upstream ou software livre, e a Microsoft tem ferramentas e contribuições para dar suporte a esses recursos. |
| Herança de conformidade | O SO Guard herda as propriedades de conformidade do Azure Linux (por exemplo, módulos criptográficos e certificações disponíveis para o Azure Linux), facilitando a adoção em ambientes regulamentados. |
Considerações e limitações
É importante estar ciente das seguintes considerações e limitações para o Azure Linux com o OS Guard:
- O Kubernetes versão 1.32.0 ou superior é necessário para o Linux do Azure com o SO Guard.
- Todas as imagens do Azure Linux com proteção de SO têm o padrão FIPS e o Início Confiável habilitados.
- Os modelos do ARM e a CLI do Azure são os únicos métodos de implantação com suporte para o Azure Linux com proteção de SO no AKS na versão prévia. Não há suporte para o PowerShell e o Terraform.
- Não há suporte para imagens do Arm64 no Azure Linux com proteção de SO no AKS na versão prévia.
-
NodeImageeNonesão os únicos canais de atualização do sistema operacional com suporte para o Azure Linux com o OS Guard no AKS.UnmanagedeSecurityPatchsão incompatíveis com o Azure Linux com o OS Guard devido ao diretório /usr imutável. - O suporte para Streaming de Artefatos não está disponível.
- Não há suporte para o Pod Sandboxing.
- Não há suporte para CVMs (Máquinas Virtuais Confidenciais).
- Não há suporte para VMs (máquinas virtuais) de geração 1.
Como escolher uma opção de host de contêiner do Linux do Azure
O Azure Linux com o OS Guard é criado no Linux do Azure e se beneficia das mesmas proteções da cadeia de suprimentos e imagens assinadas. Ambas as variantes do sistema operacional podem ser apropriadas dependendo de seus requisitos operacionais, de segurança e de conformidade:
| Opção de host de contêiner | Host de Contêiner do Linux do Azure | Azure Linux com o SO Guard |
|---|---|---|
| Benefícios de segurança | O Azure Linux fornece os benefícios de segurança que a Microsoft exibe como críticos para cargas de trabalho do AKS. | Todos os benefícios do Azure Linux mais os benefícios adicionais de segurança mencionados acima. |
| Familiaridade do usuário | Familiar para clientes provenientes de outras distribuições do Linux, como o Ubuntu. As operações e as ferramentas que os clientes usam se sentirão familiares. | Familiar para clientes provenientes de outras distribuições otimizadas para contêiner. |
| Público-alvo | Direcionado para clientes que fazem lift-and-shift, migrações e são oriundos de outras distribuições do Linux. | Direcionado para clientes nativos de nuvem que nascem na nuvem ou que estão procurando modernizar. |
| Controles de segurança | Opção para habilitar o AppArmor, se necessário, para clientes focados em segurança. | Alternadores de segurança como SELinux e IPE são permissivos como padrão. |
Próximas etapas
Para começar a usar o Azure Linux OS Guard para AKS, confira os seguintes recursos: