Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Neste artigo, fornecemos uma visão geral do Azure Linux com OS Guard, que é uma variante reforçada e imutável do Azure Linux. Ele fornece forte integridade operacional, resistência a adulterações e segurança de nível empresarial para hospedeiros de contentores no AKS. Criado no Azure Linux, o OS Guard adiciona recursos de kernel e tempo de execução que impõem a integridade do código, protegem o sistema de arquivos raiz contra alterações não autorizadas e aplicam controles de acesso obrigatórios. Use o OS Guard quando precisar de garantias elevadas sobre o host do contêiner e o tempo de execução da carga de trabalho.
Principais características
A tabela a seguir descreve os principais recursos do Azure Linux com o OS Guard:
| Característica | Description |
|---|---|
| Imutabilidade | O diretório /usr é montado como um volume somente leitura protegido por dm-verity. No tempo de execução, o kernel valida um hash raiz assinado para detetar e bloquear adulterações. |
| Integridade do código | O OS Guard integra o Integrity Policy Enforcement (IPE) Linux Security Module para garantir que apenas binários de volumes confiáveis e assinados possam ser executados. Isso ajuda a evitar a execução de códigos adulterados ou não confiáveis, inclusive em imagens de contêiner. Nota: O IPE está em execução no modo de auditoria durante a Pré-Visualização Pública. |
| Controlo de acesso obrigatório | O OS Guard integra o SELinux para limitar quais processos podem acessar recursos confidenciais no sistema. Nota: O SELinux está operando em modo permissivo durante a Visualização Pública. |
| Arranque medido e Inicialização Confiável | O OS Guard suporta arranque medido e integra-se com o Trusted Launch para fornecer medições criptográficas dos componentes de arranque armazenados num TPM virtual (vTPM). Isso é conseguido usando uma Imagem Unificada do Kernel (UKI), que agrupa o kernel, initramfs e linha de comando do kernel em um único artefato assinado. Durante a inicialização, o UKI é medido e gravado no vTPM, garantindo a integridade desde o estágio inicial. |
| Camadas de contêiner verificadas | As imagens e camadas de contêiner são validadas usando hashes dm-verity assinados. Isso garante que apenas as camadas verificadas sejam usadas em tempo de execução, reduzindo o risco de fuga ou adulteração do contêiner. O IPE também se estende dentro de imagens de contêiner, garantindo que apenas binários correspondentes a uma assinatura confiável possam ser executados, mesmo que existam em uma camada verificada. Nota: O IPE está em execução no modo de auditoria durante a Pré-visualização Pública. |
| Segurança Soberana da Cadeia de Abastecimento | O OS Guard herda os pipelines de compilação seguros do Azure Linux, as Imagens Unificadas do Kernel (UKIs) assinadas e a Lista de Materiais de Software (SBOMs). |
Principais vantagens
A tabela a seguir descreve as principais vantagens de usar o Azure Linux com o OS Guard:
| Vantagem | Description |
|---|---|
| Forte garantia de integridade em tempo de execução | A imutabilidade imposta pelo kernel e o IPE impedem a execução de código adulterado ou não confiável. |
| Superfície de ataque reduzida | Um diretório /usr só de leitura, uma contagem reduzida de pacotes e políticas SELinux limitam as oportunidades que um invasor tem para instalar portas traseiras persistentes ou alterar os binários do sistema. |
| Confiança na cadeia de abastecimento | Baseia-se nas imagens assinadas e nos processos da cadeia de abastecimento do Azure Linux, proporcionando uma proveniência clara para os componentes do sistema. |
| Integração com recursos de segurança do Azure | O suporte nativo para Inicialização Confiável e Inicialização Segura fornece proteções de inicialização e atestado medidos. |
| Transparência de código aberto | Muitas das tecnologias subjacentes (dm-verity, SELinux, IPE) são upstream ou de código aberto, e a Microsoft tem ferramentas e contribuições para suportar esses recursos. |
| Herança de conformidade | O OS Guard herda propriedades de conformidade do Azure Linux (por exemplo, módulos criptográficos e certificações disponíveis para o Azure Linux), facilitando a adoção em ambientes regulamentados. |
Considerações e limitações
É importante estar ciente das seguintes considerações e limitações para o Azure Linux com o OS Guard:
- O Kubernetes versão 1.32.0 ou superior é necessário para o Azure Linux com OS Guard.
- Todas as imagens do Azure Linux com OS Guard têm o Federal Information Process Standard (FIPS) e o Trusted Launch habilitados.
- Os Azure CLI e ARM templates são os únicos métodos de implantação com suporte para o Azure Linux com o OS Guard no AKS em pré-visualização. O PowerShell e o Terraform não são suportados.
- As imagens Arm64 não são suportadas com Azure Linux e OS Guard no AKS na versão preview.
-
NodeImageeNonesão os únicos canais de Atualização do SO suportados para o Azure Linux com o OS Guard no AKS.UnmanagedeSecurityPatchsão incompatíveis com o Azure Linux com o OS Guard devido ao diretório /usr imutável. - O Streaming de Artefactos não é suportado.
- O Pod Sandboxing não é suportado.
- Não há suporte para Máquinas Virtuais Confidenciais (CVMs).
- Não há suporte para máquinas virtuais (VMs) de geração 1.
Como escolher uma opção de host de contêiner do Azure Linux
O Azure Linux com OS Guard baseia-se no Azure Linux e beneficia das mesmas proteções da cadeia de abastecimento e imagens assinadas. Ambas as variantes do SO podem ser apropriadas dependendo dos seus requisitos de segurança, conformidade e operacionais:
| Opção de host de contêiner | Azure Linux Container Host | Azure Linux com OS Guard |
|---|---|---|
| Benefícios de segurança | O Azure Linux fornece os benefícios de segurança que a Microsoft considera críticos para cargas de trabalho do AKS. | Todos os benefícios do Azure Linux mais os benefícios de segurança adicionais mencionados acima. |
| Familiaridade do utilizador | Familiar para clientes provenientes de outras distribuições Linux como o Ubuntu. As operações e as ferramentas que os clientes usam serão familiares. | Familiar para clientes provenientes de outras distribuições otimizadas para contêineres. |
| Público-alvo | Direcionado para clientes que fazem lift and shifts, migrações e provenientes de outras distribuições Linux. | Direcionado para clientes nativos da nuvem que nasceram na nuvem ou que estão procurando se modernizar. |
| Controlos de segurança | Opção para ativar o AppArmor, se necessário, para clientes preocupados com a segurança. | Configurações de segurança como SELinux e IPE estão configuradas como permissivas por padrão. |
Próximos passos
Para começar a usar o Azure Linux OS Guard for AKS, consulte os seguintes recursos: