إدارة الثغرات الأمنية لخدمة Azure Kubernetes (AKS)
تتضمن إدارة الثغرات الأمنية الكشف عن أي ثغرات أمنية موجودة في أنظمة المؤسسة وبرامجها وتقييمها والتخفيف من حدتها والإبلاغ عنها. إدارة الثغرات الأمنية مسؤولية مشتركة بينك وبين Microsoft.
توضح هذه المقالة كيفية إدارة Microsoft للثغرات الأمنية وتحديثات الأمان (يشار إليها أيضا باسم التصحيحات)، لمجموعات Azure Kubernetes Service (AKS).
كيفية اكتشاف الثغرات الأمنية
تحدد Microsoft وتصحح الثغرات الأمنية وتحديثات الأمان المفقودة للمكونات التالية:
صور حاوية AKS
نظام التشغيل Ubuntu 18.04 والعقد العاملة 22.04: يوفر Canonical ل Microsoft إصدارات نظام التشغيل التي تم تطبيق جميع تحديثات الأمان المتوفرة عليها.
عقد عامل نظام التشغيل Windows Server 2022: يتم تصحيح نظام التشغيل Windows Server في الثلاثاء الثاني من كل شهر. يجب أن تكون اتفاقيات مستوى الخدمة هي نفسها وفقا لعقد الدعم وشدتها.
عقد نظام التشغيل Azure Linux: يوفر Azure Linux AKS مع إصدارات نظام التشغيل التي تم تطبيق جميع تحديثات الأمان المتوفرة عليها.
صور حاوية AKS
بينما تمتلك Cloud Native Computing Foundation (CNCF) معظم التعليمات البرمجية التي تعمل بها AKS وتحافظ عليها، تتحمل Microsoft مسؤولية بناء الحزم مفتوحة المصدر التي ننشرها على AKS. تتضمن هذه المسؤولية امتلاك ملكية كاملة لعملية البناء والمسح الضوئي والتوقيع والتحقق من الصحة وإصلاحها، بالإضافة إلى التحكم في الثنائيات في صور الحاوية. تمكننا مسؤولية بناء الحزم مفتوحة المصدر المنشورة على AKS من إنشاء سلسلة توريد البرامج عبر الثنائي، وتصحيح البرنامج حسب الحاجة.
Microsoft نشطة في النظام البنائي ل Kubernetes الأوسع للمساعدة في بناء مستقبل الحوسبة السحابية الأصلية في مجتمع CNCF الأوسع. لا يضمن هذا العمل جودة كل إصدار من إصدارات Kubernetes للعالم فحسب، بل يتيح أيضا ل AKS الحصول بسرعة على إصدارات Kubernetes الجديدة في الإنتاج لعدة سنوات. في بعض الحالات، قبل موفري السحابة الآخرين بعدة أشهر. تتعاون Microsoft مع شركاء الصناعة الآخرين في مؤسسة أمان Kubernetes. على سبيل المثال، تتلقى لجنة الاستجابة الأمنية (SRC) نقاط الضعف الأمنية المحظرة، وأولوياتها، وتصححها قبل الإعلان عنها للجمهور. يضمن هذا الالتزام أن Kubernetes آمن للجميع، ويمكن AKS من تصحيح الثغرات الأمنية والاستجابة لها بشكل أسرع للحفاظ على أمان عملائنا. بالإضافة إلى Kubernetes، قامت Microsoft بالتسجيل لتلقي إعلامات ما قبل الإصدار للثغرات الأمنية في البرامج لمنتجات مثل Envoy وأوقات تشغيل الحاويات والعديد من المشاريع الأخرى مفتوحة المصدر.
تقوم Microsoft بفحص صور الحاوية باستخدام تحليل ثابت لاكتشاف الثغرات الأمنية والتحديثات المفقودة في Kubernetes والحاويات التي تديرها Microsoft. إذا كانت الإصلاحات متوفرة، يبدأ الماسح الضوئي عملية التحديث والإصدار تلقائيا.
بالإضافة إلى المسح الآلي، تكتشف Microsoft الثغرات الأمنية غير المعروفة للماسحات الضوئية وتحدثها بالطرق التالية:
تقوم Microsoft بإجراء عمليات التدقيق الخاصة بها واختبار الاختراق واكتشاف الثغرات الأمنية عبر جميع منصات AKS. تقوم الفرق المتخصصة داخل Microsoft وموردي الأمان الموثوق بهم من الجهات الخارجية بإجراء أبحاث الهجوم الخاصة بهم.
تشارك Microsoft بنشاط مع مجتمع أبحاث الأمان من خلال برامج مكافأة الثغرات الأمنية المتعددة. يوفر برنامج Microsoft Azure Bounty المخصص مكافأة كبيرة لأفضل ثغرة أمنية في السحابة يتم العثور عليها كل عام.
تتعاون Microsoft مع شركاء الصناعة والبرامج مصدر مفتوح الآخرين الذين يشاركون نقاط الضعف وأبحاث الأمان والتحديثات قبل الإصدار العام للثغرة الأمنية. الهدف من هذا التعاون هو تحديث أجزاء كبيرة من البنية الأساسية للإنترنت قبل الإعلان عن الثغرة الأمنية للجمهور. في بعض الحالات، تساهم Microsoft في الثغرات الأمنية الموجودة في هذا المجتمع.
يحدث التعاون الأمني من Microsoft على العديد من المستويات. في بعض الأحيان يحدث ذلك بشكل رسمي من خلال البرامج التي تسجل فيها المؤسسات لتلقي إعلامات ما قبل الإصدار حول نقاط الضعف في البرامج لمنتجات مثل Kubernetes وDocker. يحدث التعاون أيضا بشكل غير رسمي بسبب تفاعلنا مع العديد من مشاريع مصدر مفتوح مثل نواة Linux وأوقات تشغيل الحاويات وتكنولوجيا الظاهرية وغيرها.
العُقد العاملة
عقد Linux
يتم إيقاف تشغيل تحديثات أمان نظام التشغيل المتعارف عليها ليلا بشكل افتراضي في AKS. لتمكينها بشكل صريح، استخدم القناة unmanaged .
إذا كنت تستخدم القناة unmanaged ، تطبيق تحديثات الأمان المتعارف عليها ليلا على نظام التشغيل على العقدة. تظل صورة العقدة المستخدمة لإنشاء عقد لنظام المجموعة دون تغيير. إذا تمت إضافة عقدة Linux جديدة إلى نظام المجموعة الخاص بك، فسيتم استخدام الصورة الأصلية لإنشاء العقدة. تتلقى هذه العقدة الجديدة جميع تحديثات الأمان والنواة المتوفرة أثناء التقييم التلقائي الذي يتم إجراؤه كل ليلة، ولكنها تظل غير مدققة حتى تكتمل جميع عمليات التحقق وإعادة التشغيل. يمكنك استخدام ترقية صورة العقدة للتحقق من صور العقدة التي يستخدمها نظام المجموعة الخاصة بك وتحديثها. لمزيد من المعلومات حول ترقية صورة العقدة، راجع ترقية صورة عقدة خدمة Azure Kubernetes (AKS).
بالنسبة لمجموعات AKS التي تستخدم قناة أخرى غير unmanaged، يتم تعطيل عملية الترقية غير المراقب.
عقد خادم Windows Server
بالنسبة لعقد Windows Server، لا يتم تشغيل تحديث Windows تلقائيًّا وتطبيق آخر التحديثات. جدولة ترقيات تجمع عقدة Windows Server في مجموعة AKS الخاصة بك حول دورة إصدار Windows Update العادية وعملية إدارة التحديث الخاصة بك. عملية الترقية هذه بإنشاء العقد التي تقوم بتشغيل أحدث Windows Server صورة وتصحيحات، ثم إزالة العقد القديمة. لمزيد من المعلومات حول هذه العملية، راجع ترقية تجمع عقدة في AKS.
كيفية تصنيف الثغرات الأمنية
تقوم Microsoft باستثمارات كبيرة في حماية المكدس بأكمله، بما في ذلك نظام التشغيل والحاوية وKubernetes وطبقات الشبكة، بالإضافة إلى تعيين الإعدادات الافتراضية الجيدة وتوفير تكوينات مشددة للأمان ومكونات مدارة. وتساعد هذه الجهود مجتمعة على الحد من تأثير الثغرات الأمنية واحتمال حدوثها.
يصنف فريق AKS الثغرات الأمنية وفقا لنظام تسجيل نقاط الثغرات الأمنية في Kubernetes. تأخذ التصنيفات في الاعتبار العديد من العوامل بما في ذلك تكوين AKS وتصلب الأمان. نتيجة لهذا النهج، والاستثمارات التي تقوم بها AKS في الأمان، قد تختلف تصنيفات الثغرات الأمنية في AKS عن مصادر التصنيف الأخرى.
يصف الجدول التالي فئات خطورة الثغرات الأمنية:
| الأهمية | الوصف |
|---|---|
| هام | ثغرة أمنية يمكن استغلالها بسهولة في جميع المجموعات من قبل مهاجم بعيد غير مصادق عليه يؤدي إلى اختراق كامل للنظام. |
| درجة عالية | ثغرة أمنية يمكن استغلالها بسهولة للعديد من المجموعات التي تؤدي إلى فقدان السرية أو النزاهة أو التوفر. |
| متوسط | ثغرة أمنية قابلة للاستغلال لبعض المجموعات حيث يكون فقدان السرية أو التكامل أو التوفر محدودا بالتكوينات الشائعة أو صعوبة الاستغلال نفسه أو الوصول المطلوب أو تفاعل المستخدم. |
| منخفض | جميع نقاط الضعف الأخرى. فالاستغلال غير محتمل أو أن تكون نتائج الاستغلال محدودة. |
كيفية تحديث الثغرات الأمنية
تقوم AKS بتصحيح نقاط الضعف والتعرض الشائعة (CVEs) التي تحتوي على تصحيح للمورد كل أسبوع. تنتظر أي CVEs بدون إصلاح إصلاح مورد قبل أن يمكن معالجتها. يتم تخزين صور الحاوية الثابتة مؤقتا في بناء القرص الثابت الظاهري المقابل التالي (VHD)، والذي يحتوي أيضا على Ubuntu/Azure Linux/Windows المصححة CVEs المحدثة. طالما أنك تقوم بتشغيل VHD المحدث، فلا ينبغي أن تقوم بتشغيل أي CVEs لصورة الحاوية مع تصحيح مورد يزيد عمره عن 30 يوما.
بالنسبة للثغرات الأمنية المستندة إلى نظام التشغيل في VHD، تعتمد AKS أيضا على تحديثات vhd لصورة العقدة بشكل افتراضي، لذلك سوف تأتي أي تحديثات أمان مع إصدارات صور العقدة الأسبوعية. يتم تعطيل الترقيات غير المراقب إلا إذا قمت بالتبديل إلى غير مدارة وهو أمر غير مستحسن لأن إصداره عمومي.
تحديث المخططات الزمنية للإصدار
هدف Microsoft هو التخفيف من الثغرات الأمنية المكتشفة خلال فترة زمنية مناسبة للمخاطر التي تمثلها. يتضمن التخويل المؤقت العالي ل Microsoft Azure FedRAMP للعمل (P-ATO) AKS في نطاق التدقيق وقد تم تفويضه. يتطلب دليل استراتيجية المراقبة المستمرة ل FedRAMP وخطوط الأساس FedRAMP Low و Moderate و High Security Control معالجة الثغرات الأمنية المعروفة خلال فترة زمنية محددة وفقا لمستوى الخطورة الخاص بها. كما هو محدد في FedRAMP RA-5d.
كيفية الإبلاغ عن الثغرات الأمنية والتحديثات
بشكل عام، لا تتصل Microsoft على نطاق واسع بإصدار إصدارات التصحيح الجديدة ل AKS. ومع ذلك، تراقب Microsoft باستمرار تصحيحات CVE المتوفرة وتتحقق من صحتها لدعمها في AKS في الوقت المناسب. إذا تم العثور على تصحيح هام أو كان إجراء المستخدم مطلوبا، تقوم Microsoft بنشر وتحديث تفاصيل مشكلة CVE على GitHub.
التقارير الأمنية
يمكنك الإبلاغ عن مشكلة أمان إلى مركز استجابة أمان Microsoft (MSRC)، عن طريق إنشاء تقرير عن الثغرات الأمنية.
إذا كنت تفضل إرسال تقرير دون تسجيل الدخول إلى الأداة، أرسل بريدا إلكترونيا إلى secure@microsoft.com. إذا كان ذلك ممكنا، فقم بتشفير رسالتك باستخدام مفتاح PGP الخاص بنا عن طريق تنزيلها من صفحة مفتاح PGP لمركز استجابة أمان Microsoft.
يجب أن تتلقى ردا في غضون 24 ساعة. إذا لم تفعل ذلك لسبب ما، فاتبع رسالة بريد إلكتروني للتأكد من تلقينا رسالتك الأصلية. لمزيد من المعلومات، انتقل إلى مركز استجابة أمان Microsoft.
قم بتضمين المعلومات المطلوبة التالية (بقدر ما يمكنك توفيره) لمساعدتنا على فهم طبيعة ونطاق المشكلة المحتملة بشكل أفضل:
- نوع المشكلة (على سبيل المثال، تجاوز المخزن المؤقت، حقن SQL، البرمجة النصية عبر المواقع، وما إلى ذلك)
- المسارات الكاملة للملف (الملفات) المصدر المتعلقة بمظهر المشكلة
- موقع التعليمات البرمجية المصدر المتأثرة (العلامة/الفرع/الالتزام أو عنوان URL المباشر)
- أي تكوين خاص مطلوب لإعادة إنتاج المشكلة
- إرشادات خطوة بخطوة لإعادة إنتاج المشكلة
- إثبات المفهوم أو التعليمات البرمجية للاستغلال (إن أمكن)
- تأثير المشكلة، بما في ذلك كيفية استغلال المهاجم للمشكلة
تساعدنا هذه المعلومات على فرز مشكلة الأمان التي تم الإبلاغ عنها بسرعة أكبر.
إذا كنت تقوم بالإبلاغ عن مكافأة خطأ، يمكن أن تساهم التقارير الأكثر اكتمالا في منح مكافأة أعلى. لمزيد من المعلومات حول برامجنا النشطة، راجع برنامج Microsoft Bug Bounty.
النهج
تتبع Microsoft مبدأ الكشف المنسق عن الثغرات الأمنية.
الخطوات التالية
راجع نظرة عامة حول ترقية مجموعات خدمة Azure Kubernetes وتجمعات العقد.
Azure Kubernetes Service
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ