Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Linux wird mit einem standardmäßig sicheren Basisplan und mehrstufigen Schutz über Start-, Laufzeit- und Updateworkflows hinweg erstellt. In diesem Artikel werden das Sicherheitsmodell, die wichtigsten Features und Empfehlungen für die Überprüfung von Sicherheitseinstellungen auf Azure Linux behandelt.
Note
Azure Linux 4.0 befindet sich jetzt in preview und ist streng auf Auswertungs- und Testzwecke beschränkt. Es ist nicht für den Produktionseinsatz geeignet.
Sicherheitsmodell
In der folgenden Tabelle sind die wichtigsten Sicherheitsprinzipien zusammengefasst, die den Entwurf von Azure Linux und deren Implementierung auf der plattformübergreifenden Plattform unterstützen:
| Sicherheitsprinzip | Implementierung in Azure Linux |
|---|---|
| Standardmäßig sicher | Minimaler Paketsatz, Nur-Schlüssel-SSH-Authentifizierung, firewalld aktiviert |
| Mehrschichtige Verteidigung | SELinux obligatorische Zugriffssteuerung, Netzwerkhärtung |
| Prinzip der geringsten Rechte | SELinux-Richtlinien, Kernelfunktionseinschränkungen |
Zentrale Sicherheitsfunktionen
Sichere Standardbasislinie
- Gehärteter Kernel: Mit ASLR, Stack-Canaries und Zeigerbeschränkungen.
- Minimaler Paketsatz: Nur wesentliche Pakete für die Kernfunktionen des Betriebssystems (Os). Keine älteren Protokolle, Entwicklungstools oder nicht wesentlichen Daemons im Basisimage.
- Standardmäßig keine externen Netzwerkverbindungen: Firewalld verweigert den gesamten eingehenden Datenverkehr außer SSH.
- Nur-Schlüssel-SSH-Authentifizierung: Die Kennwortauthentifizierung ist deaktiviert.
- Paketintegrität: Alle Pakete und Repositorymetadaten sind GPG-signiert.
Laufzeitschutz
- SELinux: Im Modus „Erzwingend“. Gezielte Richtlinie mit vorbeschrifteten Paketen.
- eBPF-Härtung: Unprivilegiertes BPF deaktiviert, Interpreter zugunsten des JIT deaktiviert.
Netzwerksicherheit
- firewalld: Standardmäßig mit nftables-Back-End aktiviert.
- Härtung der sysctl-Netzwerkparameter: Strikte Reverse-Path-Filterung, ICMP-Umleitungen deaktiviert, SYN-Cookies aktiviert.
- IPv6: Aktiviert mit angewendeten Härtungseinstellungen.
Identität und Zugriff
- SSSD/realmd: Verfügbar aus den Azure Linux-Repositorys für Hybrididentitätsszenarien mit Active Directory und LDAP.
Kryptografie
- FIPS 140-3: Validierte kryptografische Module mit einem einfachen Aktivierungsmechanismus.
- Post-Quantum-Kryptografie: ML-KEM Hybridschlüsselaustauschunterstützung.
- System-Kryptobibliotheken: Anwendungen können Krypto auf Betriebssystemebene verwenden.
Protokollierung, Auditierung und Überwachung
- auditd: standardmäßig aktiviert; Regelprofile werden unter /usr/share/audit-rules/ ausgeliefert und können durch Kopieren des benötigten Profils in /etc/audit/rules.d/aktiviert werden.
- journald: Persistenter Speicher mit strukturierter JSON-Ausgabe.
Integrationen für Schwachstellen-Scanning
Azure Linux unterstützt die Integration mit gängigen Sicherheitsrisikoüberprüfungen und Sicherheitstools. Eine Liste der unterstützten Tools finden Sie unter Azure Linux-Partnerlösungen.