Lancement fiable (préversion) pour Azure Kubernetes Service (AKS)

lancement fiable (préversion) améliore la sécurité des machines virtuelles de génération 2 en protégeant les techniques avancées et persistantes d’attaque. Il permet aux administrateurs de déployer des nœuds AKS, qui contiennent les machines virtuelles sous-jacentes, avec des chargeurs de démarrage vérifiés et signés, des noyaux de système d’exploitation et des pilotes. En utilisant un démarrage sécurisé et mesuré, les administrateurs ont une meilleure connaissance et une plus grande confiance dans l’intégrité de l’ensemble de la chaîne de démarrage.

Cet article vous permet de comprendre cette nouvelle fonctionnalité et de l’implémenter.

Vue d’ensemble

Le lancement fiable se compose de plusieurs technologies d’infrastructure coordonnées qui peuvent être activées indépendamment. Chaque technologie offre une couche de défense supplémentaire contre les menaces sophistiquées.

• vTPM – Le lancement fiable présente une version virtualisée d’un module matériel du module de lancement fiable (TPM), conforme à la spécification TPM 2.0. Il sert de coffre sécurisé dédié pour les clés et les mesures. Le lancement fiable permet à votre machine virtuelle d’utiliser sa propre instance TPM dédiée, s’exécutant dans un environnement sécurisé en dehors de la portée de toute machine virtuelle. Le module vTPM permet d’effectuer l’attestation en mesurant la chaîne de démarrage complète de votre machine virtuelle (UEFI, système d’exploitation, système et pilotes). Le lancement fiable utilise le module vTPM pour effectuer l’attestation distante par le cloud. Il est utilisé pour les contrôles d’intégrité de la plateforme et pour permettre de prendre des décisions basées sur la confiance. En guise de contrôle d’intégrité, le lancement fiable peut certifier par chiffrement que votre machine virtuelle a démarré correctement. Si le processus échoue, par exemple parce que votre machine virtuelle exécute un composant non autorisé, Microsoft Defender pour le cloud émet des alertes d’intégrité. Les alertes incluent des détails sur les composants concernés par l’échec des contrôles d’intégrité.

• Démarrage sécurisé – À la racine du lancement fiable, on trouve le démarrage sécurisé pour votre machine virtuelle. Ce mode, qui est implémenté dans le microprogramme de la plateforme, protège contre l’installation de rootkits et kits de démarrage basés sur des programmes malveillants. Le démarrage sécurisé garantit que seuls les systèmes d’exploitation et pilotes signés peuvent démarrer. Il établit une « racine de confiance » pour la pile logicielle de votre machine virtuelle. Quand le démarrage sécurisé est activé, tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. Le démarrage sécurisé est pris en charge par Windows et certaines distributions Linux. Si le démarrage sécurisé ne parvient pas à authentifier une image signée par un éditeur de confiance, la VM n’est pas autorisée à démarrer. Pour plus d'informations, voir Démarrage sécurisé.

Avant de commencer

• Azure CLI version 2.44.1 ou ultérieure. Exécutez az --version pour rechercher la version, puis exécutez az upgrade pour mettre à niveau la version. Si vous devez installer ou mettre à niveau, voir Installer Azure CLI.

• L’extension Azure CLI aks-preview version 1.0.0b6 ou ultérieure.

• Enregistrer la fonctionnalité TrustedLaunchPreview dans votre abonnement Azure.

• AKS prend en charge le lancement fiable (préversion) à partir de la version 1.25.2.

• Le lancement fiable prend uniquement en charge machines virtuelles Azure Generation 2.

• Le démarrage sécurisé nécessite des chargeurs de démarrage signés, des noyaux de système d’exploitation et des pilotes.

Installer l’extension Azure CLI aks-preview

Important

Les fonctionnalités d’évaluation AKS sont disponibles en libre-service et font l’objet d’un abonnement. Les préversions sont fournies « en l’état » et « en fonction des disponibilités », et sont exclues des contrats de niveau de service et de la garantie limitée. Les préversions AKS sont, dans la mesure du possible, partiellement couvertes par le service clientèle. Telles quelles, ces fonctionnalités ne sont pas destinées à une utilisation en production. Pour plus d’informations, consultez les articles de support suivants :

• Stratégies de support AKS
• FAQ du support Azure

Exécutez la commande suivante pour installer l’extension aks-preview :

az extension add --name aks-preview

Exécutez la commande suivante pour effectuer la mise à jour vers la dernière version de l’extension publiée :

az extension update --name aks-preview

Enregistrer le drapeau de la fonctionnalité TrustedLaunchPreview

Inscrivez l’indicateur de fonctionnalité TrustedLaunchPreview à l’aide de la commande az feature register, comme indiqué dans l’exemple suivant :

az feature register --namespace "Microsoft.ContainerService" --name "TrustedLaunchPreview"

Quelques minutes sont nécessaires pour que l’état s’affiche Registered (Inscrit). Vérifiez l’état de l’inscription à l’aide de la commande az feature show :

az feature show --namespace "Microsoft.ContainerService" --name "TrustedLaunchPreview"

Quand l’état reflète Inscrit, actualisez l’inscription du fournisseur de ressources Microsoft.ContainerService à l’aide de la commande az provider register :

az provider register --namespace "Microsoft.ContainerService"

Limites

• Les nœuds de cluster exécutant le système d’exploitation Windows Server ne sont pas pris en charge.
• Le lancement fiable (préversion) ne prend pas en charge les pools de nœuds avec FIPS activé ou basé sur ARM64.
• Les groupes à haute disponibilité ne sont pas pris en charge, seuls les Virtual Machine Scale Sets le sont.
• Pour activer le démarrage sécurisé sur les pools de nœuds GPU, vous devez ignorer l’installation du pilote GPU. Pour plus d’informations, consultez Ignorer l’installation du pilote GPU.
• Les disques d’OS éphémères peuvent être créés avec le lancement fiable et toutes les régions sont prises en charge. Toutefois, toutes les tailles de machines virtuelles ne sont pas prises en charge. Pour plus d’informations, consultez Lancement fiable tailles OS éphémères.

Déployer un nouveau cluster

Effectuez les étapes suivantes pour déployer un cluster AKS au moyen d’Azure CLI.

1. Créez un cluster AKS avec la commande az aks create. Avant d’exécuter la commande, passez en revue les paramètres suivants :

   • --nome : entrez un nom unique pour le cluster AKS, tel que myAKSCluster.
   • --groupe de ressources : Entrez le nom d’un groupe de ressources existant pour héberger la ressource du cluster AKS.
   • --activer le démarrage sécurisé : permet au démarrage sécurisé d’authentifier une image signée par un éditeur approuvé.
   • --activer-vtpm : Active le vTPM et effectue une attestation en mesurant la chaîne de démarrage complète de votre VM.

   Remarque

   Le démarrage sécurisé nécessite des chargeurs de démarrage signés, des noyaux de système d’exploitation et des pilotes. Si, après avoir activé le démarrage sécurisé, vos nœuds ne démarrent pas, vous pouvez vérifier quels composants de démarrage sont responsables des échecs du démarrage sécurisé au sein d’une machine virtuelle Azure Linux. Consulter Vérification des échecs de démarrage sécurisé.

   L’exemple suivant crée un cluster à un nœud nommé myAKSCluster avec un nœud dans myResourceGroup et active le démarrage sécurisé et vTPM :

   az aks create --name myAKSCluster --resource-group myResourceGroup --node-count 1 --enable-secure-boot --enable-vtpm --enable-managed-identity --generate-ssh-keys
   

2. Exécutez la commande suivante pour obtenir les informations d'identification d'accès au cluster Kubernetes. Utilisez la commande az aks get-credentials et remplacez les valeurs pour le nom du cluster et le nom du groupe de ressources.

   az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
   

Ajouter un pool de nœuds avec le lancement fiable activé

Déployez un pool de nœuds avec le lancement fiable activé à l’aide de la commande az aks nodepool add. Avant d’exécuter la commande, passez en revue les paramètres suivants :

• --nom de cluster: entrez le nom du cluster AKS.
• --groupe de ressources : Entrez le nom d’un groupe de ressources existant pour héberger la ressource du cluster AKS.
• --nom : entrez un nom unique pour le pool de code. Le nom d’un pool de nœuds ne peut contenir que des caractères alphanumériques minuscules et doit commencer par une lettre minuscule. Pour les pools de nœuds Linux, la longueur doit être comprise entre 1 et 11 caractères.
• --décompte de nœuds : nombre de nœuds dans le pool d’agents Kubernetes. La valeur par défaut est 3.
• --activer le démarrage sécurisé : permet au démarrage sécurisé d’authentifier une image signée par un éditeur approuvé.
• --activer-vtpm : Active le vTPM et effectue une attestation en mesurant la chaîne de démarrage complète de votre VM.

Remarque

Le démarrage sécurisé nécessite des chargeurs de démarrage signés, des noyaux de système d’exploitation et des pilotes. Si, après avoir activé le démarrage sécurisé, vos nœuds ne démarrent pas, vous pouvez vérifier quels composants de démarrage sont responsables des échecs du démarrage sécurisé au sein d’une machine virtuelle Azure Linux. Consulter Vérification des échecs de démarrage sécurisé.

L’exemple suivant déploie un pool de nœuds avec vTPM activé sur un cluster nommé myAKSCluster avec trois nœuds :

az aks nodepool add --resource-group myResourceGroup -–cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm  

L’exemple suivant déploie un pool de nœuds avec vTPM et le démarrage sécurisé activé sur un cluster nommé myAKSCluster avec trois nœuds :

az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm --enable-secure-boot

Mettre à jour le cluster et activer le lancement fiable

Mettez à jour un pool de nœuds avec le lancement fiable activé à l’aide de la commande az aks nodepool update. Avant d’exécuter la commande, passez en revue les paramètres suivants :

• --groupe de ressource : Saisissez le nom d’un groupe de ressources existant qui héberge votre cluster AKS existant.
• --cluster-name : saisissez un nom unique pour le cluster AKS, comme myAKSCluster.
• --nom : entrez le nom de votre pool de nœuds, par exemple mynodepool.
• --activer le démarrage rapide : Active le démarrage sécurisé pour authentifier que l’image a été signée par un éditeur de confiance.
• --activer-vtpm : Active le vTPM et effectue une attestation en mesurant la chaîne de démarrage complète de votre VM.

Remarque

Le pool de nœuds existant doit utiliser une image de lancement fiable afin d’activer sur un pool de nœuds existant. Par conséquent, pour les pools de nœuds créés avant d’inscrire la fonctionnalité TrustedLaunchPreview, vous ne pouvez pas les mettre à jour avec le lancement approuvé activé.

Par défaut, la création d’un pool de nœuds avec une configuration compatible TL et l’indicateur de fonctionnalité enregistré donne lieu à une image de lancement fiable. Sans spécifier de paramètres --enable-vtpm ou --enable-secure-boot , ils sont désactivés par défaut et vous pouvez l’activer ultérieurement à l’aide de az aks nodepool update commande.

Remarque

Le démarrage sécurisé nécessite des chargeurs de démarrage signés, des noyaux de système d’exploitation et des pilotes. Si, après avoir activé le démarrage sécurisé, vos nœuds ne démarrent pas, vous pouvez vérifier quels composants de démarrage sont responsables des échecs du démarrage sécurisé au sein d’une machine virtuelle Azure Linux. Consulter Vérification des échecs de démarrage sécurisé.

L’exemple suivant met à jour le pool de nœuds mynodepool sur le cluster myAKSCluster dans le groupe myResourceGroup, et active le démarrage sécurisé et vTPM :

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-secure-boot --enable-vtpm 

Affecter des pods à des nœuds avec lancement fiable activé

Vous pouvez limiter un pod et le restreindre pour s’exécuter sur un nœud ou des nœuds spécifiques, ou la préférence pour les nœuds avec le lancement fiable activé. Vous pouvez contrôler cela à l’aide du sélecteur de pool de nœuds suivant dans le manifeste de votre pod.

Pour un pool de nœuds exécutant vTPM, appliquez les éléments suivants :

spec:
  nodeSelector:
        kubernetes.azure.com/trusted-launch: true

Pour un pool de nœuds exécutant le démarrage sécurisé, appliquez les éléments suivants :

spec:
  nodeSelector:
        kubernetes.azure.com/secure-boot: true

Désactiver le démarrage sécurisé

Pour désactiver le démarrage sécurisé sur un cluster AKS, exécutez la commande suivante :

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-secure-boot 

Remarque

Les mises à jour lancent automatiquement une nouvelle image de nœud et cette opération peut prendre plusieurs minutes par nœud.

Désactiver vTPM

Pour désactiver le vTPM sur un cluster AKS, exécutez la commande suivante :

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-vtpm

Étapes suivantes

Dans cet article, vous avez appris à activer le lancement fiable. En savoir plus sur le lancement fiable.