Administración de vulnerabilidades para Azure Kubernetes Service (AKS)
La administración de vulnerabilidades implica detectar, evaluar y mitigar las vulnerabilidades de seguridad que existen en los sistemas y el software de una organización, así como informar sobre ellas. La administración de vulnerabilidades es una responsabilidad compartida entre el usuario y Microsoft.
En este artículo se describe cómo Microsoft administra las vulnerabilidades de seguridad y las actualizaciones de seguridad (también denominadas revisiones) para los clústeres de Azure Kubernetes Service (AKS).
Cómo se detectan las vulnerabilidades
Microsoft identifica y aplica revisiones a las vulnerabilidades y a las actualizaciones de seguridad que faltan para los siguientes componentes:
Imágenes de contenedor de AKS
Nodos de trabajo del sistema operativo Ubuntu 18.04 y 22.04: Canonical proporciona a Microsoft compilaciones de sistema operativo que tienen aplicadas todas las actualizaciones de seguridad disponibles.
Nodos de trabajo del sistema operativo Windows Server 2022: el sistema operativo Windows Server se revisa el segundo martes de cada mes. Los Acuerdos de Nivel de Servicio deben ser los mismos que según su contrato de soporte técnico y su gravedad.
Nodos del sistema operativo Azure Linux: Azure Linux proporciona AKS con compilaciones del sistema operativo que tienen aplicadas todas las actualizaciones de seguridad disponibles.
Imágenes de contenedor de AKS
Aunque Cloud Native Computing Foundation (CNCF) posee y mantiene la mayor parte del código que se ejecuta en AKS, Microsoft asume la responsabilidad de crear los paquetes de código abierto que implementamos en AKS. Esa responsabilidad incluye tener la propiedad completa del proceso de compilación, examen, firma, validación y revisión y control sobre los archivos binarios de las imágenes de contenedor. Tener la responsabilidad de crear los paquetes de código abierto implementados en AKS nos permite establecer una cadena de suministro de software sobre el binario y aplicar revisiones al software según sea necesario.
Microsoft participa activamente en el ecosistema más amplio de Kubernetes para ayudar a construir el futuro de la computación nativa en la nube en toda la comunidad CNCF. Este trabajo no solo garantiza la calidad de cada versión de Kubernetes para el mundo, sino que también permite que AKS obtenga rápidamente nuevas versiones de Kubernetes en producción durante varios años. En algunos casos, antes de otros proveedores de nube durante varios meses. Microsoft colabora con otros asociados del sector en la organización de seguridad de Kubernetes. Por ejemplo, el Comité de respuesta a la seguridad (SRC) recibe, prioriza y aplica revisiones a vulnerabilidades de seguridad con embargo antes de que se anuncien al público. Este compromiso garantiza que Kubernetes sea seguro para todos y permite a AKS aplicar revisiones y responder a vulnerabilidades con mayor rapidez para mantener a nuestros clientes seguros. Además de Kubernetes, Microsoft se ha registrado para recibir notificaciones de versión preliminar para detectar vulnerabilidades de software para productos como Envoy, entornos de ejecución de contenedor y muchos otros proyectos de código abierto.
Microsoft examina imágenes de contenedor mediante análisis estáticos para detectar vulnerabilidades y actualizaciones que faltan en Kubernetes y contenedores administrados por Microsoft. Si hay correcciones disponibles, el analizador inicia automáticamente el proceso de actualización y lanzamiento.
Además del examen automatizado, Microsoft detecta y actualiza vulnerabilidades desconocidas para los escáneres de las siguientes maneras:
Microsoft realiza sus propias auditorías, pruebas de penetración y detección de vulnerabilidades en todas las plataformas de AKS. Los equipos especializados dentro de Microsoft y los proveedores de seguridad de terceros de confianza llevan a cabo su propia investigación de ataques.
Microsoft interactúa activamente con la comunidad de investigación de seguridad a través de varios programas de recompensa de vulnerabilidades. Un programa dedicado de recompensas de Microsoft Azure proporciona recompensas significativas para la mejor vulnerabilidad en la nube que se encuentra cada año.
Microsoft colabora con otros asociados de software del sector y código abierto que comparten vulnerabilidades, investigaciones de seguridad y actualizaciones antes de la publicación de la vulnerabilidad. El objetivo de esta colaboración es actualizar grandes partes de la infraestructura de Internet antes de anunciar la vulnerabilidad al público. En algunos casos, Microsoft contribuye a las vulnerabilidades detectadas en esta comunidad.
La colaboración de seguridad de Microsoft se produce en muchos niveles. A veces se produce formalmente a través de programas en los que las organizaciones se suscriben para recibir notificaciones de versión preliminar sobre vulnerabilidades de software para productos como Kubernetes y Docker. La colaboración también se produce informalmente debido a nuestro compromiso con muchos proyectos de código abierto, como el kernel de Linux, los entornos de ejecución de contenedor, la tecnología de virtualización y otros.
Nodos de trabajo
Nodos de Linux
Las actualizaciones de seguridad del sistema operativo canónicas nocturnas están desactivadas de forma predeterminada en AKS. Para habilitarlas explícitamente, use el unmanagedchannel.
Si usa el canalunmanaged, las actualizaciones de seguridad canónicas nocturnas se aplican al sistema operativo en el nodo. La imagen del nodo usada para crear nodos para el clúster permanece sin cambios. Si se agrega un nuevo nodo de Linux al clúster, se usa la imagen original para crear el nodo. Este nuevo nodo recibe todas las actualizaciones de seguridad y del kernel que haya disponibles durante la valoración automática realizada cada noche, pero no se le aplicarán revisiones hasta que se completen todas las comprobaciones y los reinicios. Puede usar la actualización de la imagen de nodo para buscar y actualizar las imágenes de nodo que usa el clúster. Para más información sobre la actualización de imágenes de nodo, consulte Actualización de la imagen de nodos de Azure Kubernetes Service (AKS).
En el caso de los clústeres de AKS que usan un canal distinto de unmanaged, el proceso de actualización desatendida está deshabilitado.
Nodos de Windows Server
Para los nodos de Windows Server, Windows Update no ejecuta ni aplica las actualizaciones más recientes de manera automática. Programe las actualizaciones del grupo de nodos de Windows Server en el clúster de AKS según el ciclo de Windows Update normal y su propio proceso de administración de actualizaciones. Este proceso de actualización crea nodos que ejecutan la imagen y las revisiones más recientes de Windows Server y elimina los nodos anteriores. Para obtener más información sobre este proceso, consulte Actualización de un grupo de nodos en AKS.
Cómo se clasifican las vulnerabilidades
Microsoft realiza grandes inversiones en el endurecimiento de la seguridad de toda la pila, incluidos el sistema operativo, el contenedor, Kubernetes y las capas de red, además de establecer buenos valores predeterminados y proporcionar configuraciones y componentes administrados endurecidos en materia de seguridad. En combinación, estos esfuerzos ayudan a reducir el impacto y la probabilidad de vulnerabilidades.
El equipo de AKS clasifica las vulnerabilidades según el sistema de puntuación de vulnerabilidades de Kubernetes. Las clasificaciones consideran muchos factores, como la configuración de AKS y la protección de seguridad. Como resultado de este enfoque, y las inversiones que AKS realiza en seguridad, las clasificaciones de vulnerabilidades de AKS pueden diferir de otros orígenes de clasificación.
En la tabla siguiente se describen las categorías de gravedad de vulnerabilidad:
| severity | Descripción |
|---|---|
| Crítico | Una vulnerabilidad fácilmente aprovechable en todos los clústeres por un atacante remoto no autenticado que conduce a un riesgo total del sistema. |
| Alto | Una vulnerabilidad fácil de aprovechar para muchos clústeres que conduce a la pérdida de confidencialidad, integridad o disponibilidad. |
| Media | Una vulnerabilidad que se puede aprovechar para algunos clústeres en los que la pérdida de confidencialidad, integridad o disponibilidad está limitada por configuraciones comunes, dificultad de la propia vulnerabilidad de seguridad, acceso necesario o interacción del usuario. |
| Bajo | Todas las demás vulnerabilidades. La vulnerabilidad de seguridad es poco probable o las consecuencias de ella son limitadas. |
Cómo se actualizan las vulnerabilidades
AKS revisa las Vulnerabilidades y exposiciones comunes (CVE) que tienen una revisión de proveedor cada semana. Cualquier CVE sin solución está a la espera de una solución del proveedor antes de que pueda ser remediada. Las imágenes de contenedor fijas se almacenan en caché en la siguiente compilación del disco duro virtual (VHD) correspondiente, que también contiene los CVE revisados de Ubuntu/Azure Linux/Windows actualizados. Siempre que ejecute el VHD actualizado, no debe ejecutar ninguna imagen de contenedor de CVE con una corrección del proveedor que tenga más de 30 días de antigüedad.
Para las vulnerabilidades basadas en el sistema operativo en el disco duro virtual, AKS también se basa en las actualizaciones de disco duro virtual de imagen de nodo de manera predeterminada, por lo que las actualizaciones de seguridad se incluirán con versiones semanales de imágenes de nodo . Las actualizaciones desatendidas se deshabilitan a menos que se cambien a no administradas, lo que no se recomienda, ya que la versión es global.
Escalas de tiempo de actualización de la versión
El objetivo de Microsoft es mitigar las vulnerabilidades detectadas en un período de tiempo adecuado para los riesgos que representan. La Autorización provisional para operar (P-ATO) de Microsoft Azure FedRAMP High incluye AKS en el ámbito de auditoría y se ha autorizado. La Guía de estrategia de supervisión continua de FedRAMP y las líneas base de control de baja, moderada y alta seguridad de FedRAMP requieren la corrección de vulnerabilidades conocidas dentro de un período de tiempo específico según su nivel de gravedad. Tal y como se especifica en el FedRAMP RA-5d.
Cómo se comunican las vulnerabilidades y las actualizaciones
En general, Microsoft no difunde profusamente el lanzamiento de las versiones de revisión para AKS. Sin embargo, Microsoft supervisa y valida constantemente las revisiones de CVE disponibles para admitirlas en AKS de manera puntual. Si se encuentra una revisión crítica o se requiere una acción de usuario, Microsoft publica y actualiza los detalles del problema de CVE en GitHub.
Informes de seguridad
Puede notificar un problema de seguridad al Centro de respuestas de seguridad de Microsoft (MSRC) mediante la creación de un informe de vulnerabilidades.
Si prefiere enviar un informe sin iniciar sesión en la herramienta, envíe un correo electrónico a secure@microsoft.com. Si es posible, cifre el mensaje con nuestra clave PGP, descargándola desde la página de la clave PGP del Centro de respuestas de seguridad de Microsoft.
Debería recibir una respuesta en 24 horas. Si por algún motivo no es así, haga un seguimiento por correo electrónico para asegurarse de que se recibió el mensaje original. Para más información, vaya al Centro de respuesta de seguridad de Microsoft.
Incluya la información solicitada a continuación (toda la que pueda proporcionar) para ayudarnos a comprender mejor la naturaleza y el ámbito del posible problema:
- Tipo de problema (por ejemplo, desbordamiento de búfer, inyección de SQL, scripting entre sitios, etc.)
- Rutas de acceso completas de los archivos de origen relacionados con la manifestación del problema
- Ubicación del código fuente afectado (etiqueta, rama, confirmación o dirección URL directa)
- Cualquier configuración especial necesaria para reproducir el problema
- Instrucciones paso a paso para reproducir el problema
- Código de prueba de concepto o de vulnerabilidad (si es posible)
- Impacto del problema, incluido el modo en que un atacante podría aprovecharse de él.
Esta información nos ayuda a evaluar el problema de seguridad notificado más rápido.
Si está informando de un problema con el objetivo de recibir una recompensa por un error, tenga en cuenta que los informes más completos pueden contribuir a conseguir una recompensa mayor. Para obtener más información sobre nuestros programas activos, consulte Programa de recompensas de Microsoft por la detección de errores.
Directiva
Microsoft sigue el principio de divulgación coordinada de vulnerabilidades.
Pasos siguientes
Consulte la información general sobre la Actualización de clústeres y grupos de nodos de Azure Kubernetes Service.