Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V tomto článku poskytujeme přehled Azure Linuxu s OS Guard, což je posílená neměnná varianta Azure Linuxu. Poskytuje silnou integritu modulu runtime, odolnost proti manipulaci a zabezpečení na podnikové úrovni pro hostitele kontejnerů v AKS. Integrované v Azure Linuxu přidává OS Guard funkce jádra a modulu runtime, které vynucují integritu kódu, chrání kořenový systém souborů před neoprávněnými změnami a používají povinné řízení přístupu. Použijte OS Guard, když potřebujete zvýšené záruky týkající se hostitele kontejneru a běhu úloh.
Klíčové funkce
Následující tabulka popisuje klíčové funkce Azure Linuxu s OS Guardem:
| Vlastnost | Description |
|---|---|
| Neproměnlivost | Adresář /usr je připojen jako svazek jen pro čtení chráněný dm-verity. Za běhu jádro ověří podepsanou kořenovou hodnotu hash, aby detekovala a blokovala manipulaci. |
| Integrita kódu | OS Guard integruje modul zabezpečení IPE (Integrity Policy Enforcement), aby se zajistilo, že se smí spouštět jenom binární soubory z důvěryhodných podepsaných svazků. To pomáhá předcházet spuštění zneužitého nebo nedůvěryhodného kódu, včetně obrazů kontejnerů. Poznámka: IpE běží v režimu auditování během verze Public Preview. |
| Povinné řízení přístupu | OS Guard integruje SELinux, aby omezil, které procesy mají přístup k citlivým prostředkům v systému. Poznámka: SELinux funguje v režimu permissive během verze Public Preview. |
| Měřené spouštění a důvěryhodné spuštění systému | OS Guard podporuje měřené spouštění a integruje se s trusted Launch , aby poskytoval kryptografické měření spouštěcích komponent uložených ve virtuálním čipu TPM (vTPM). Toho se dosahuje pomocí sjednocené image jádra (UKI), která sbalí jádro, initramfs a příkazový řádek jádra do jediného podepsaného artefaktu. Během spouštění se UKI měří a zaznamenává do vTPM, čímž se zajišťuje integrita již od nejranější fáze. |
| Ověřené vrstvy kontejneru | Image a vrstvy kontejnerů se ověřují pomocí podepsaných hodnot hash dm-verity. Tím se zajistí, že se za běhu použijí jenom ověřené vrstvy, což snižuje riziko úniku nebo manipulace s kontejnery. IpE se také rozšiřuje v rámci imagí kontejnerů a zajišťuje, aby se mohly spouštět pouze binární soubory odpovídající důvěryhodnému podpisu, i když existují v ověřené vrstvě. Poznámka: IpE běží v režimu auditování během verze Public Preview. |
| Zabezpečení suverénního dodavatelského řetězce | OS Guard dědí zabezpečené kanály buildu Azure Linuxu, podepsané sjednocené image jádra (UKI) a softwarové faktury (SBOMs). |
Klíčové výhody
Následující tabulka popisuje klíčové výhody použití Azure Linuxu s OS Guard:
| Výhoda | Description |
|---|---|
| Záruka silné integrity modulu runtime | Neměnnost vynucená jádrem a IPE brání spuštění manipulovaného nebo nedůvěryhodného kódu. |
| Omezený prostor pro útok | Adresář /usr jen pro čtení, snížený počet balíčků a zásady SELinux omezují příležitosti pro útočníka k instalaci trvalých backdoorů nebo změně systémových binárních souborů. |
| Vztah důvěryhodnosti dodavatelského řetězce | Vychází z podepsaných obrazů Azure Linux a procesů dodavatelského řetězce, poskytuje jasný původ pro systémové komponenty. |
| Integrace s funkcemi zabezpečení Azure | Nativní podpora důvěryhodného spuštění a zabezpečeného spouštění poskytuje měřenou ochranu spouštění a ověření identity. |
| Transparentnost open source | Řada základních technologií (dm-verity, SELinux, IPE) je upstreamová nebo opensourcová a Microsoft má nástroje a příspěvky pro podporu těchto funkcí. |
| Dědičnost dodržování předpisů | OS Guard dědí vlastnosti dodržování předpisů z Azure Linuxu (například kryptografické moduly a certifikace dostupné pro Azure Linux), což usnadňuje přijetí v regulovaných prostředích. |
Úvahy a omezení
Je důležité vědět o následujících aspektech a omezeních Azure Linuxu s OS Guardem:
- Pro Azure Linux s OS Guard se vyžaduje Kubernetes verze 1.32.0 nebo vyšší.
- Všechny image Azure Linuxu s OS Guard mají povolené Federal Information Process Standard (FIPS) a Trusted Launch.
- Azure CLI a šablony ARM jsou jedinými podporovanými metodami nasazení pro Azure Linux s OS Guard v AKS ve verzi Preview. PowerShell a Terraform se nepodporují.
- Obrazy Arm64 nejsou pro Azure Linux s OS Guard na AKS v režimu Preview podporovány.
-
NodeImageaNonejsou jedinými podporovanými kanály upgradu operačního systému pro Azure Linux s OS Guard v AKS.UnmanagedaSecurityPatchnejsou kompatibilní s Azure Linuxem s OS Guard z důvodu neměnného adresáře /usr. - Streamování artefaktů se nepodporuje.
- Pod Sandboxing není podporován.
- Důvěrné virtuální počítače (CVM) se nepodporují.
- Virtuální počítače Gen1 se nepodporují.
Výběr možnosti hostitele kontejneru Azure s Linuxem
Azure Linux s OS Guard je založený na Azure Linuxu a využívá stejné ochrany dodavatelského řetězce a podepsaných imagí. Obě varianty operačního systému můžou být vhodné v závislosti na vašich požadavcích na zabezpečení, dodržování předpisů a provozní požadavky:
| Možnost hostitele kontejneru | Hostitel kontejnerů Azure s Linuxem | Azure Linux s OS Guardem |
|---|---|---|
| Výhody zabezpečení | Azure Linux poskytuje výhody zabezpečení, které Microsoft zobrazuje jako kritické pro úlohy AKS. | Všechny výhody Azure Linuxu a další výhody zabezpečení uvedené výše. |
| Znalost uživatele | Známé zákazníkům přicházejícím z jiných linuxových distribucí, jako je Ubuntu. Operace a nástroje, které zákazníci používají, budou povědomé. | Známé zákazníkům přicházejícím z jiných distribucí optimalizovaných pro kontejnery. |
| Cílová skupina | Cílí na zákazníky, kteří provádějí lift and shifts, migrace a přicházejí z jiných distribucí Linuxu. | Cílí na zákazníky zaměřené na cloud, kteří jsou inherentně přizpůsobeni pro cloudová prostředí nebo hledají modernizaci. |
| Bezpečnostní prvky | Možnost povolit AppArmor v případě potřeby pro zákazníky s ohledem na zabezpečení | Přepínače zabezpečení, jako jsou SELinux a IPE, jsou ve výchozím nastavení permissivní. |
Další kroky
Pokud chcete začít používat Azure Linux OS Guard pro AKS, projděte si následující zdroje informací: