Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Správa ohrožení zabezpečení zahrnuje detekci, posouzení, zmírnění a generování sestav o všech ohroženích zabezpečení, která existují v systémech a softwaru organizace. Správa zranitelností je sdílenou odpovědností mezi vámi a společností Microsoft.
Tento článek popisuje, jak Microsoft spravuje ohrožení zabezpečení a aktualizace zabezpečení (označované také jako opravy) pro clustery Azure Kubernetes Service (AKS).
Důležité
Od 30. listopadu 2025 už Azure Kubernetes Service (AKS) nepodporuje ani neposkytuje aktualizace zabezpečení pro Azure Linux 2.0. Image uzlu Azure Linux 2.0 je zafixována u verze 202512.06.0. Od 31. března 2026 se image uzlů odeberou a nebudete moct škálovat fondy uzlů. Přejděte na podporovanou verzi Azure Linuxu aktualizací poolů uzlů na podporovanou verzi Kubernetes nebo migrací na osSku AzureLinux3. Další informace najdete v tématu Problém s vyřazením z GitHubu a oznámení o vyřazení aktualizací Azure. Pokud chcete mít přehled o oznámeních a aktualizacích, postupujte podle poznámek k verzi AKS.
Zjištění ohrožení zabezpečení
Společnost Microsoft identifikuje ohrožení zabezpečení a opravy a chybějící aktualizace zabezpečení pro následující komponenty:
Image kontejnerů AKS
Operační systém Ubuntu 18.04 a 22.04 pracovních uzlů: Canonical poskytuje Společnosti Microsoft buildy operačního systému, které mají všechny dostupné aktualizace zabezpečení.
Pracovní uzly operačního systému Windows Server 2022: Operační systém Windows Server je opravený ve druhém úterý každého měsíce. Smlouvy SLA by měly být stejné jako u smlouvy o podpoře a závažnosti.
Uzly operačního systému Azure Linux: Azure Linux poskytuje AKS se sestaveními operačního systému, které mají všechny dostupné aktualizace zabezpečení.
Image kontejnerů AKS
I když Cloud Native Computing Foundation (CNCF) vlastní a udržuje většinu kódu AKS, Microsoft zodpovídá za vytváření opensourcových balíčků, které nasazujeme v AKS. Tato odpovědnost zahrnuje úplné vlastnictví procesu sestavování, skenování, podepisování, ověřování a opravy hotfix, stejně jako kontrolu nad binárními soubory v obrazech kontejnerů. Odpovědnost za vytváření opensourcových balíčků nasazených v AKS nám umožňuje vytvořit softwarový dodavatelský řetězec přes binární soubor a podle potřeby software opravit.
Microsoft je aktivní v širším ekosystému Kubernetes, který pomáhá vytvářet budoucnost výpočetních prostředků nativních pro cloud v širší komunitě CNCF. Tato práce nejen zajišťuje kvalitu každé verze Kubernetes pro celý svět, ale také umožňuje AKS rychle dostat nové verze Kubernetes do produkčního prostředí několik let. V některých případech před ostatními poskytovateli cloudu o několik měsíců. Microsoft spolupracuje s dalšími oborovými partnery v organizaci zabezpečení Kubernetes. Výbor SRC (Security Response Committee) například přijímá, upřednostňuje a opravuje ohrožení zabezpečení před oznámením veřejnosti. Tento závazek zajišťuje zabezpečení Kubernetes pro všechny uživatele a umožňuje AKS rychleji opravovat a reagovat na ohrožení zabezpečení, aby naši zákazníci byli v bezpečí. Kromě Kubernetes se společnost Microsoft zaregistrovala, aby dostávala oznámení o předběžných zranitelnostech softwaru pro produkty, jako jsou Envoy, běhové prostředí kontejnerů a mnoho dalších open-source projektů.
Microsoft prohledá image kontejnerů pomocí statické analýzy ke zjištění ohrožení zabezpečení a chybějících aktualizací v kontejnerech Kubernetes a spravovaných Microsoftem. Pokud jsou k dispozici opravy, skener automaticky zahájí proces aktualizace a vydání.
Kromě automatizované kontroly Microsoft zjistí a aktualizuje chyby zabezpečení, které skenery nezná, následujícími způsoby:
Microsoft provádí vlastní audity, penetrační testování a zjišťování ohrožení zabezpečení na všech platformách AKS. Specializované týmy v Microsoftu a důvěryhodní dodavatelé zabezpečení třetích stran provádějí vlastní výzkum útoků.
Microsoft aktivně spolupracuje s komunitou výzkumu zabezpečení prostřednictvím několika programů odměňování ohrožení zabezpečení. Vyhrazený program Microsoft Azure Bounty poskytuje významné odměny za nejlepší ohrožení zabezpečení cloudu zjištěné každý rok.
Microsoft spolupracuje s jinými oborovými a opensourcovými softwarovými partnery, kteří sdílejí ohrožení zabezpečení, výzkum zabezpečení a aktualizace před veřejným vydáním tohoto ohrožení zabezpečení. Cílem této spolupráce je aktualizovat velké části internetové infrastruktury před oznámením ohrožení zabezpečení veřejnosti. V některých případech Microsoft přispívá nalezením zranitelností v této komunitě.
Spolupráce Microsoftu na zabezpečení probíhá na mnoha úrovních. Někdy k němu dojde formálně prostřednictvím programů, ve kterých se organizace zaregistrují, aby dostávaly oznámení o ohroženích zabezpečení softwaru pro produkty, jako jsou Kubernetes a Docker. Spolupráce také probíhá neformálně kvůli našemu zapojení do mnoha opensourcových projektů, jako je jádro Linuxu, moduly runtime kontejnerů, virtualizační technologie a další.
Pracovní uzly
Nody Linuxu
Noční kanonické aktualizace zabezpečení operačního systému jsou ve výchozím nastavení v AKS vypnuté. Pokud je chcete explicitně povolit, použijte unmanagedkanál.
Pokud používáte unmanagedkanál, pak se na operační systém na uzlu použijí noční kanonické aktualizace zabezpečení. Image uzlu použitá k vytvoření uzlů pro váš cluster zůstane beze změny. Pokud do clusteru přidáte nový linuxový uzel, použije se k vytvoření uzlu původní image. Tento nový uzel obdrží všechny aktualizace zabezpečení a jádra dostupné během automatického hodnocení prováděného každou noc, ale zůstane nepatchovaný, dokud nebudou dokončeny všechny kontroly a restartování. Můžete použít příkaz "node image upgrade" ke kontrole a aktualizaci obrazů uzlů, které používá váš cluster. Další informace o upgradu image uzlu najdete v dokumentaci Upgrade image uzlu služby Azure Kubernetes (AKS).
U clusterů AKS, které používají jiný kanál než unmanaged, je proces bezobslužného upgradu zakázán.
Servery Windows Serveru
Pro uzly Windows Serveru se služba Windows Update nespustí automaticky a nainstaluje nejnovější aktualizace. Naplánujte upgrady fondu uzlů Windows Serveru v clusteru AKS kolem běžného cyklu vydávání aktualizací Windows Update a vlastního procesu správy aktualizací. Tento proces upgradu vytvoří uzly, na kterých běží nejnovější image a opravy Windows Serveru, a pak odebere starší uzly. Další informace o tomto procesu najdete v tématu Upgrade fondu uzlů v AKS.
Jak se klasifikují ohrožení zabezpečení
Microsoft provádí velké investice do posílení zabezpečení celého zásobníku, včetně operačního systému, kontejneru, Kubernetes a síťových vrstev, a kromě toho zajišťuje nastavení vhodných výchozích hodnot, poskytování zabezpečených konfigurací a spravovaných komponent. Tyto snahy společně pomáhají snížit dopad a pravděpodobnost ohrožení zabezpečení.
Tým AKS klasifikuje ohrožení zabezpečení podle systému vyhodnocování ohrožení zabezpečení Kubernetes. Klasifikace berou v úvahu řadu faktorů, včetně konfigurace AKS a posílení zabezpečení. V důsledku tohoto přístupu a investic AKS do zabezpečení se mohou klasifikace ohrožení AKS lišit od jiných zdrojů klasifikace.
Následující tabulka popisuje kategorie závažnosti ohrožení zabezpečení:
| Závažnost | Popis |
|---|---|
| Kritický | Ohrožení zabezpečení snadno zneužitelné ve všech clusterech neověřeným vzdáleným útočníkem, které vede k úplnému ohrožení systému. |
| Vysoko | Ohrožení zabezpečení snadno zneužitelné pro mnoho clusterů, které vede ke ztrátě důvěrnosti, integrity nebo dostupnosti. |
| Středně | Ohrožení zabezpečení zneužitelné pro některé clustery, u kterých je ztráta důvěrnosti, integrity nebo dostupnosti omezená běžnými konfiguracemi, potížemi samotného zneužití, požadovaným přístupem nebo interakcí uživatele. |
| Nízké | Všechna ostatní ohrožení zabezpečení. Zneužití je nepravděpodobné nebo důsledky zneužití jsou omezené. |
Jak se aktualizují ohrožení zabezpečení
AKS každý týden opravuje běžné zranitelnosti a rizika (CVE), které mají opravené dodavatelem. Jakýkoli CVE bez opravy čeká na opravu od dodavatele, než může být vyřešen. Opravené image kontejnerů se ukládají do mezipaměti v dalším odpovídajícím buildu virtuálního pevného disku (VHD), který obsahuje také aktualizované opravené CVE chyby pro Ubuntu, Azure Linux nebo Windows. Pokud používáte aktualizovaný virtuální pevný disk, neměli byste spouštět žádné image kontejneru CVE s opravou od dodavatele starší než 30 dní.
V případě ohrožení zabezpečení na základě operačního systému ve virtuálním pevného disku se AKS ve výchozím nastavení spoléhá také na aktualizace image uzlu vhd, takže všechny aktualizace zabezpečení budou součástí týdenních vydaných imagí uzlů. Bezobslužné upgrady jsou zakázány, pokud nepřepnete na nezávislý režim, což se nedoporučuje, protože jeho vydání je celosvětové.
Aktualizace časových os vydání
Cílem Společnosti Microsoft je zmírnit zjištěná ohrožení zabezpečení během časového období vhodného pro rizika, která představují. Prozatímní autorizace k provozu Microsoft Azure FedRAMP High (P-ATO) zahrnuje AKS v rozsahu auditu a byla autorizována. Průvodce strategií průběžného monitorování FedRAMP a standardní hodnoty FedRAMP Low, Moderate a High Security Control vyžadují nápravu známých ohrožení zabezpečení v určitém časovém období podle jejich úrovně závažnosti. Jak je uvedeno v protokolu RA-5d FedRAMP.
Jak jsou zranitelnosti a aktualizace komunikovány
Microsoft obecně nesděluje obecně vydání nových verzí oprav pro AKS. Microsoft ale neustále monitoruje a ověřuje dostupné opravy CVE, aby je podporovaly v AKS včas. Pokud je nalezena kritická oprava nebo je vyžadována akce uživatele, Microsoft publikuje a aktualizuje podrobnosti o problému CVE na GitHubu.
Hlášení zabezpečení
Problém se zabezpečením můžete nahlásit službě Microsoft Security Response Center (MSRC) vytvořením sestavy ohrožení zabezpečení.
Pokud chcete odeslat sestavu bez přihlášení k nástroji, odešlete e-mail na secure@microsoft.com adresu. Pokud je to možné, zašifrujte svou zprávu pomocí našeho klíče PGP, který si můžete stáhnout ze stránky s klíčem PGP centra Microsoft Security Response Center.
Odpověď byste měli obdržet do 24 hodin. Pokud z nějakého důvodu ne, postupujte podle e-mailu a ujistěte se, že jsme dostali vaši původní zprávu. Další informace najdete v centru Microsoft Security Response Center.
Uveďte následující požadované informace (co nejvíce, co můžete poskytnout), které nám pomůžou lépe porozumět povaze a rozsahu možného problému:
- Typ problému (například přetečení vyrovnávací paměti, injektáž SQL, skriptování mezi weby atd.)
- Úplné cesty zdrojových souborů souvisejících s projevem problému
- Umístění ovlivněného zdrojového kódu (značka, větev/potvrzení nebo přímá adresa URL)
- Jakákoli zvláštní konfigurace potřebná k reprodukci problému
- Krok za krokem pokyny k reprodukci problému
- Testování konceptu nebo zneužití kódu (pokud je to možné)
- Dopad problému, včetně toho, jak by útočník mohl problém zneužít
Tyto informace nám pomůžou rychleji určit prioritu nahlášených problémů se zabezpečením.
Pokud hlásíte chybu v rámci bug bounty programu, mohou podrobnější reporty přispět k vyšší odměně. Další informace o našich aktivních programech naleznete v programu Microsoft Bug Bounty Program.
Policy
Společnost Microsoft se řídí zásadou koordinovaného zpřístupnění ohrožení zabezpečení.
Další kroky
Podívejte se na přehled o aktualizaci clusterů a fondů uzlů Azure Kubernetes Service.