Důvěryhodné spuštění (Preview) pro Službu Azure Kubernetes Service (AKS)

Důvěryhodné spuštění (Preview) zlepšuje zabezpečení virtuálních počítačů generace 2 tím, že chrání před pokročilými a trvalými technikami útoku. Umožňuje správcům nasazovat uzly AKS, které obsahují základní virtuální počítače s ověřenými a podepsanými spouštěcími zavaděči, jádry operačního systému a ovladači. Pomocí zabezpečeného a měřeného spouštění získávají správci přehledy a jistotu o integritě celého spouštěcího řetězce.

Tento článek vám pomůže pochopit tuto novou funkci a jak ji implementovat.

Přehled

Důvěryhodné spuštění se skládá z několika koordinovaných technologií infrastruktury, které lze povolit nezávisle. Každá technologie poskytuje další vrstvu ochrany před sofistikovanými hrozbami.

• vTPM – Důvěryhodné spuštění zavádí virtualizovanou verzi hardwarového čipu TPM (Trusted Platform Module ), která je kompatibilní se specifikací TPM 2.0. Slouží jako vyhrazený trezor zabezpečení pro klíče a měření. Důvěryhodné spuštění poskytuje virtuálnímu počítači vlastní vyhrazenou instanci TPM spuštěnou v zabezpečeném prostředí mimo dosah jakéhokoli virtuálního počítače. Virtuální počítač vTPM umožňuje ověření tím , že měří celý spouštěcí řetězec vašeho virtuálního počítače (UEFI, OS, systém a ovladače). Důvěryhodné spuštění používá virtuální počítač vTPM k vzdálenému ověření identity cloudem. Používá se pro kontroly stavu platformy a pro rozhodování na základě důvěryhodnosti. Při kontrole stavu může důvěryhodné spuštění kryptograficky certifikovat, že se váš virtuální počítač správně spustil. Pokud proces selže, pravděpodobně kvůli tomu, že váš virtuální počítač používá neautorizovaný komponentu, Microsoft Defender for Cloud problémy s upozorněními na integritu. Mezi výstrahy patří podrobnosti o tom, které komponenty neprošly kontrolou integrity.

• Zabezpečené spouštění – V kořenovém adresáři důvěryhodného spuštění je zabezpečené spouštění pro váš virtuální počítač. Tento režim, který je implementován v firmwaru platformy, chrání před instalací rootkitů a spouštěcích sad založených na malwaru. Zabezpečené spouštění funguje s cílem zajistit, aby se mohly spouštět jenom podepsané operační systémy a ovladače. Vytvoří "kořen důvěryhodnosti" pro softwarový zásobník na vašem virtuálním počítači. Pokud je povolené zabezpečené spouštění, musí být všechny spouštěcí komponenty operačního systému (zavaděč spouštění, jádro, ovladače jádra) podepsané důvěryhodnými vydavateli. Windows i výběr linuxových distribucí podporují zabezpečené spouštění. Pokud se zabezpečené spuštění nepodaří ověřit image podepsanou důvěryhodným vydavatelem, virtuální počítač se nesmí spustit. Další informace najdete v tématu Zabezpečené spouštění.

Než začnete

• Azure CLI verze 2.44.1 nebo novější. Spuštěním příkazu vyhledejte az --version verzi a spusťte az upgrade upgrade verze. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.

• Rozšíření aks-preview Azure CLI verze 1.0.0b6 nebo novější.

• TrustedLaunchPreview Zaregistrujte funkci ve svém předplatném Azure.

• AKS podporuje důvěryhodné spuštění (Preview) ve verzi 1.25.2 a vyšší.

• Důvěryhodné spuštění podporuje pouze virtuální počítače Azure Generation 2. generace.

• Zabezpečené spouštění vyžaduje podepsané zavaděče spouštění, jádra operačního systému a ovladače.

Instalace rozšíření Azure CLI aks-Preview

Důležité

Funkce AKS ve verzi Preview jsou k dispozici na samoobslužné bázi. Verze Preview jsou poskytovány "tak, jak jsou" a "dostupné", a jsou vyloučené ze smluv o úrovni služeb a omezené záruky. Verze Preview AKS jsou částečně pokryty zákaznickou podporou na základě maximálního úsilí. Proto tyto funkce nejsou určené pro produkční použití. Další informace najdete v následujících článcích podpory:

• Zásady podpory AKS
• nejčastější dotazy k podpora Azure

Pokud chcete nainstalovat rozšíření aks-preview, spusťte následující příkaz:

az extension add --name aks-preview

Spuštěním následujícího příkazu aktualizujte nejnovější verzi vydaného rozšíření:

az extension update --name aks-preview

Registrace příznaku funkce TrustedLaunchPreview

TrustedLaunchPreview Příznak funkce zaregistrujte pomocí příkazu az feature register, jak je znázorněno v následujícím příkladu:

az feature register --namespace "Microsoft.ContainerService" --name "TrustedLaunchPreview"

Zobrazení stavu Zaregistrované trvá několik minut. Pomocí příkazu az feature show ověřte stav registrace:

az feature show --namespace "Microsoft.ContainerService" --name "TrustedLaunchPreview"

Pokud se stav projeví jako zaregistrovaný, aktualizujte registraci poskytovatele prostředků Microsoft.ContainerService pomocí příkazu az provider register :

az provider register --namespace "Microsoft.ContainerService"

Omezení

• Uzly clusteru s operačním systémem Windows Server se nepodporují.
• Důvěryhodné spuštění (Preview) nepodporuje fondy uzlů s povoleným FIPS nebo na základě ARM64.
• Skupiny dostupnosti nejsou podporované, pouze škálovací sady virtuálních počítačů.
• Pokud chcete povolit zabezpečené spouštění ve fondech uzlů GPU, musíte přeskočit instalaci ovladače GPU. Další informace najdete v tématuVynechání instalace ovladače GPU.
• Dočasné disky s operačním systémem je možné vytvořit s důvěryhodným spuštěním a podporují se všechny oblasti. Nepodporují se ale všechny velikosti virtuálních počítačů. Další informace naleznete v tématu Důvěryhodné spouštěcí dočasné velikosti operačního systému.

Nasazení nového clusteru

Pomocí Azure CLI nasaďte cluster AKS pomocí následujícího postupu.

1. Vytvořte cluster AKS pomocí příkazu az aks create . Před spuštěním příkazu zkontrolujte následující parametry:

   • --name: Zadejte jedinečný název clusteru AKS, například myAKSCluster.
   • --resource-group: Zadejte název existující skupiny prostředků pro hostování prostředku clusteru AKS.
   • --enable-secure-boot: Umožňuje zabezpečené spouštění ověřovat image podepsanou důvěryhodným vydavatelem.
   • --enable-vtpm: Povolí virtuální počítač vTPM a provádí ověření pomocí měření celého spouštěcího řetězce vašeho virtuálního počítače.

   Poznámka:

   Zabezpečené spouštění vyžaduje podepsané zavaděče spouštění, jádra operačního systému a ovladače. Pokud se po povolení zabezpečeného spouštění uzlů nespustí, můžete ověřit, které spouštěcí komponenty zodpovídají za selhání zabezpečeného spouštění na virtuálním počítači Azure s Linuxem. Přečtěte si informace o ověření selhání zabezpečeného spouštění.

   Následující příklad vytvoří cluster myAKSCluster s jedním uzlem v myResourceGroup a povolí zabezpečené spouštění a vTPM:

   az aks create --name myAKSCluster --resource-group myResourceGroup --node-count 1 --enable-secure-boot --enable-vtpm --enable-managed-identity --generate-ssh-keys
   

2. Spuštěním následujícího příkazu získejte přihlašovací údaje pro přístup ke clusteru Kubernetes. Použijte příkaz az aks get-credentials a nahraďte hodnoty názvu clusteru a názvu skupiny prostředků.

   az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
   

Přidání fondu uzlů s povoleným důvěryhodným spuštěním

Nasaďte fond uzlů s povoleným důvěryhodným spuštěním pomocí příkazu az aks nodepool add . Před spuštěním příkazu zkontrolujte následující parametry:

• --cluster-name: Zadejte název clusteru AKS.
• --resource-group: Zadejte název existující skupiny prostředků pro hostování prostředku clusteru AKS.
• --name: Zadejte jedinečný název fondu uzlů. Název fondu uzlů může obsahovat pouze malé alfanumerické znaky a musí začínat malými písmeny. U fondů uzlů Linuxu musí být délka mezi 1 až 11 znaky.
• --node-count: Počet uzlů ve fondu agentů Kubernetes. Výchozí hodnota je 3.
• --enable-secure-boot: Umožňuje zabezpečené spouštění ověřovat image podepsanou důvěryhodným vydavatelem.
• --enable-vtpm: Povolí virtuální počítač vTPM a provádí ověření pomocí měření celého spouštěcího řetězce vašeho virtuálního počítače.

Poznámka:

Zabezpečené spouštění vyžaduje podepsané zavaděče spouštění, jádra operačního systému a ovladače. Pokud se po povolení zabezpečeného spouštění uzlů nespustí, můžete ověřit, které spouštěcí komponenty zodpovídají za selhání zabezpečeného spouštění na virtuálním počítači Azure s Linuxem. Přečtěte si informace o ověření selhání zabezpečeného spouštění.

Následující příklad nasadí fond uzlů s povoleným nástrojem vTPM v clusteru s názvem myAKSCluster se třemi uzly:

az aks nodepool add --resource-group myResourceGroup -–cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm  

Následující příklad nasadí fond uzlů s povoleným virtuálním heslem a zabezpečeným spouštěním v clusteru s názvem myAKSCluster se třemi uzly:

az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm --enable-secure-boot

Aktualizace clusteru a povolení důvěryhodného spuštění

Pomocí příkazu az aks nodepool update aktualizujte fond uzlů s povoleným důvěryhodným spuštěním. Před spuštěním příkazu zkontrolujte následující parametry:

• --resource-group: Zadejte název existující skupiny prostředků hostující existující cluster AKS.
• --cluster-name: Zadejte jedinečný název clusteru AKS, například myAKSCluster.
• --name: Zadejte název fondu uzlů, například mynodepool.
• --enable-secure-boot: Umožňuje zabezpečené spouštění ověřit, jestli byla image podepsaná důvěryhodným vydavatelem.
• --enable-vtpm: Povolí virtuální počítač vTPM a provádí ověření pomocí měření celého spouštěcího řetězce vašeho virtuálního počítače.

Poznámka:

Existující fond uzlů musí používat důvěryhodnou spouštěcí image, aby bylo možné povolit v existujícím fondu uzlů. Proto pro uzly vytvořené před registrací TrustedLaunchPreview funkce není možné je aktualizovat s povoleným důvěryhodným spuštěním.

Ve výchozím nastavení vytvoření fondu uzlů s konfigurací kompatibilní s tl a příznakem funkce zaregistrovaným výsledkem je důvěryhodná spouštěcí image. Bez zadání --enable-vtpm nebo --enable-secure-boot parametrů jsou ve výchozím nastavení zakázané a později je můžete povolit pomocí az aks nodepool update příkazu.

Poznámka:

Zabezpečené spouštění vyžaduje podepsané zavaděče spouštění, jádra operačního systému a ovladače. Pokud se po povolení zabezpečeného spouštění uzlů nespustí, můžete ověřit, které spouštěcí komponenty zodpovídají za selhání zabezpečeného spouštění na virtuálním počítači Azure s Linuxem. Přečtěte si informace o ověření selhání zabezpečeného spouštění.

Následující příklad aktualizuje fond uzlů mynodepool v myAKSCluster v myResourceGroup a povolí zabezpečené spouštění a vTPM:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-secure-boot --enable-vtpm 

Přiřazení podů uzlům s povoleným důvěryhodným spuštěním

Pod můžete omezit a omezit jeho spouštění na konkrétním uzlu nebo uzlech nebo upřednostnit uzly s povoleným důvěryhodným spuštěním. Můžete to řídit pomocí následujícího selektoru fondu uzlů v manifestu podu.

Pro fond uzlů se spuštěným nástrojem vTPM použijte následující:

spec:
  nodeSelector:
        kubernetes.azure.com/trusted-launch: true

U fondu uzlů se zabezpečeným spouštěním použijte následující:

spec:
  nodeSelector:
        kubernetes.azure.com/secure-boot: true

Zakázání zabezpečeného spouštění

Pokud chcete v clusteru AKS zakázat zabezpečené spouštění, spusťte následující příkaz:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-secure-boot 

Poznámka:

Aktualizace automatické zahájení opětovného vytvoření uzlu a tato operace může trvat několik minut na uzel.

Zakázání virtuálního počítače vTPM

Pokud chcete zakázat VTPM v clusteru AKS, spusťte následující příkaz:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-vtpm

Další kroky

V tomto článku jste zjistili, jak povolit důvěryhodné spuštění. Přečtěte si další informace o důvěryhodném spuštění.