Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Linux und Azure Container Linux (ACL) teilen eine dedizierte Pipeline für allgemeine Sicherheitsanfälligkeiten und Sicherheitsrisiken (CVE), veröffentlichte Empfehlungen und definierte Vereinbarungen zum Servicelevel (SERVICE Level Agreements, SLAs), damit Sie Sicherheitsrisiken in Ihrer Flotte mit Vertrauen verwalten können. In diesem Artikel wird erläutert, wie CVEs identifiziert, gepatcht und an Ihre Systeme bereitgestellt werden, je nachdem, welche Azure Linux- oder ACL-Bereitstellungsoption Sie verwenden.
Note
Azure Linux 4.0 befindet sich jetzt in preview und ist streng auf Auswertungs- und Testzwecke beschränkt. Es ist nicht für den Produktionseinsatz geeignet.
Aktualisieren und Überprüfen von CVE-Fixes
- Wenden Sie die neuesten Sicherheitsupdates für Ihre Bereitstellungsoption an.
- Überprüfen Sie aktualisierte Paketversionen, Änderungsprotokolle oder Node-Image-Versionen.
CVE-Infrastruktur und SLAs
Microsoft ist für den vollständigen Azure Linux- und Azure Container Linux (ACL)-Stapel verantwortlich – vom Linux-Kernel bis zur CVE-Infrastruktur, -Unterstützung und end-to-End-Validierung. Dies bedeutet, dass Sie keine Sicherheitsrisiken aus einer Drittanbieterverteilung nachverfolgen und patchen müssen. Azure Linux übernimmt die Identifizierung relevanter CVEs, die Veröffentlichung von Fehlerbehebungen und die Einhaltung von SLAs für Fehlerbehebungen für Produktionspakete.
Das Azure Linux-Team scannt die Pakete, die es bereitstellt, zweimal täglich auf Sicherheitslücken gegen die National Vulnerability Database (NVD). Wenn eine Sicherheitsanfälligkeit bestätigt wird, arbeitet das Azure Linux-Team mit dem Microsoft Security Response Center (MSRC) zusammen, um Fixes vor dem Upstream auszuwerten, zu patchen und beizutragen.
CVE-Übermittlung nach Bereitstellungsoption
CVE-Fixes werden unterschiedlich bereitgestellt, je nachdem, ob Sie allgemeine Azure Linux, Azure Linux-Containerhost für AKS oder Azure Container Linux (ACL) für AKS ausführen. In der folgenden Tabelle wird zusammengefasst, wie CVE-Korrekturen an jede Bereitstellungsoption weitergegeben werden:
| Bereitstellungsoption | CVE-Fix-Übermittlungsmechanismus |
|---|---|
| General-purpose Azure Linux (Virtual Machines (VM), Virtual Machine Scale Sets, benutzerdefinierte Images) | CVE-Fixes werden als Paketupdates bereitgestellt. Wenden Sie sie mit dnf update an. |
| Azure Linux-Containerhost für AKS | CVE-Fixes werden als Paketupdates bereitgestellt, die in monatlichen Node-Imageversionen gebündelt sind. CVEs mit hohem oder kritischem Schweregrad können außerplanmäßig in Form eines Paketupdates vor dem nächsten geplanten Knotenimage veröffentlicht werden, damit Ihre Knoten noch vor einem neuen Image eine Fehlerbehebung erhalten. Mittlere und niedrige CVEs werden in die nächste normale Knotenimageversion eingeführt. |
| Azure Container Linux (ACL) für AKS | ACL ist ein unveränderliches, imagebasiertes Betriebssystem (OS); Einzelne Pakete werden nicht aktualisiert. Stattdessen werden CVE-Fixes über wöchentliche AKS-Knotenimageversionen bereitgestellt, die die neuesten Sicherheitspatches enthalten. Der SecurityPatch Knotenbetriebssystem-Upgradekanal wird auf ACL nicht unterstützt. Verwenden Sie daher den NodeImage Kanal, um Sicherheitsupdates zu erhalten. Details zu ACL finden Sie unter Azure Container Linux overview. |
Veröffentlichte Empfehlungen
Note
Azure Linux 4.0 CVE SLAs sind während der Vorschau nicht anwendbar.
Azure Linux- und Azure Container Linux (ACL)-Sicherheitsratgeber werden im Vulnerability Exploitability eXchange (VEX) Format über das Microsoft Security Response Center (MSRC) veröffentlicht. VEX-Empfehlungen helfen Ihnen zu ermitteln, ob sich eine Sicherheitsanfälligkeit tatsächlich auf Ihre spezifische Konfiguration auswirkt, anstatt nur, ob ein Paket installiert ist.
Azure Linux- und ACL-CVEs werden auch über die MICROSOFT Security Update Guide (SUG) CVRF API veröffentlicht, sodass Sie Microsoft Sicherheitsupdates programmgesteuert zusammen mit anderen Microsoft Produktempfehlungen aufnehmen können.
Anwenden von Sicherheitsupdates
Halten Sie Ihr System auf dem neuesten Stand, um Sicherheitsupdates zu erhalten. Der richtige Mechanismus hängt von Ihrer Bereitstellungsoption ab.
Wenden Sie auf allgemeinem Azure Linux Sicherheitsupdates an, indem Sie Pakete mit dnf aktualisieren:
sudo dnf update -y
Verwenden Sie unter Azure Container Linux im Kanal NodeImage die Upgrades von Azure Kubernetes Service (AKS)-Knotenimages; versuchen Sie nicht, einzelne Pakete auf dem unveränderlichen Betriebssystem zu aktualisieren.
Fehlerbehebungen validieren
Überprüfen Sie bei allgemeinem Azure Linux die Paketversionen nach Bedarf:
dnf info <PACKAGE_NAME>
Überprüfen Sie auf Azure Container Linux, ob die Version des verwendeten Node-Images (z. B. mit az aks nodepool list --query '[].nodeImageVersion') der erwarteten Release entspricht.
Koordinieren mit Sicherheitsrisikoscannern
Azure Linux und Azure Container Linux unterstützen allgemeine Tools zur Überprüfung von Sicherheitsrisiken. Eine Liste der unterstützten Scanner finden Sie unter Azure Linux-Partnerlösungen.
Sobald VEX-Sicherheitshinweise für Azure Linux und ACL veröffentlicht sind, können Scanner, die VEX verarbeiten, präzise feststellen, ob ein installiertes Paket auf diesen Plattformen tatsächlich von einer bestimmten CVE betroffen ist, wodurch Fehlalarme reduziert werden.
Melden eines Sicherheitsproblems
Melden Sie verdächtige Sicherheitsrisiken in Azure Linux oder Azure Container Linux an die Microsoft Security Response Center (MSRC). Melden Sie Sicherheitsrisiken nicht über öffentliche GitHub Probleme.