Gestion des vulnérabilités pour Azure Kubernetes Service (AKS)
La gestion des vulnérabilités implique la détection des failles de sécurité qui existent dans les systèmes et les logiciels d’une organisation, leur évaluation, leur atténuation et la création de rapports les concernant. La gestion des vulnérabilités est une responsabilité partagée entre vous et Microsoft.
Cet article décrit la manière dont Microsoft gère les failles de sécurité et les mises à jour de sécurité (également appelées correctifs) pour les clusters Azure Kubernetes Service (AKS).
Détection des vulnérabilités
Microsoft identifie et corrige les vulnérabilités et les mises à jour de sécurité manquantes des composants suivants :
Images conteneur Azure Kubernetes Service (AKS)
Nœuds Worker du système d’exploitation Ubuntu 18.04 et 22.04 : Canonical fournit à Microsoft des builds de système d’exploitation auxquelles toutes les mises à jour de sécurité disponibles ont été appliquées.
Nœuds Worker du système d’exploitation Windows Server 2022 : le système d’exploitation Windows Server est corrigé le deuxième mardi de chaque mois. Les contrats SLA doivent être identiques à ceux de leur contrat de support et de leur gravité.
Nœuds du système d’exploitation Azure Linux : Azure Linux fournit à AKS des builds de système d’exploitation auxquelles toutes les mises à jour de sécurité disponibles ont été appliquées.
Images conteneur Azure Kubernetes Service (AKS)
Alors que Cloud Native Computing Foundation (CNCF) possède et gère la majeure partie des exécutions de code dans Azure Kubernetes Service (AKS), Microsoft est responsable de la création des packages open source que nous déployons sur AKS. Cette responsabilité comprend la maîtrise totale des processus de construction, d’analyse, de signature, de validation et de correction, ainsi que le contrôle des binaires contenus dans les images conteneurs. Le fait d’être responsable de la construction des logiciels libres déployés sur AKS nous permet d’établir une chaîne d’approvisionnement en logiciels binaires et de corriger les logiciels en fonction des besoins.
Microsoft est actif dans l’écosystème élargi Kubernetes afin d’aider à construire le futur du calcul natif Cloud au sein de la communauté étendue CNCF. Ce travail garantit non seulement la qualité de chaque version Kubernetes dans le monde, mais il permet également à Azure Kubernetes Service (AKS) de mettre rapidement en production de nouvelles versions de Kubernetes pendant plusieurs années. Dans certains cas, en devançant de plusieurs mois d’autres fournisseurs de services cloud. Microsoft collabore avec d’autres partenaires du secteur d’activité dans l’organisation de la sécurité Kubernetes. Par exemple, le Comité de réponse aux problèmes de sécurité (SRC) reçoit, hiérarchise et corrige les vulnérabilités de sécurité sous embargo avant qu’elles ne soient annoncées au public. Cet engagement garantit que Kubernetes est sécurisé pour tout le monde et permet à Azure Kubernetes Service (AKS) de corriger et de répondre plus rapidement aux vulnérabilités afin de veiller à la sécurité de nos clients. Outre Kubernetes, Microsoft s’est inscrit pour recevoir des notifications de préversion pour les vulnérabilités logicielles de produits tels qu’Envoy, les runtimes de conteneurs et de nombreux autres projets open source.
Microsoft analyse les images conteneur à l’aide d’une analyse statique pour détecter les vulnérabilités et les mises à jour manquantes dans Kubernetes et des conteneurs gérés par Microsoft. Si des correctifs sont disponibles, le scanneur démarre automatiquement le processus de mise à jour et de mise en production.
En complément à l’analyse automatisée, Microsoft détecte et met à jour des vulnérabilités inconnues des scanneurs des manières suivantes :
Microsoft effectue ses propres audits, tests d’intrusion et découverte des vulnérabilités sur toutes les plateformes Azure Kubernetes Service (AKS). Des équipes spécialisées au sein de Microsoft et des fournisseurs de sécurité tiers de confiance mènent leurs propres recherches sur les attaques.
Microsoft collabore activement avec la communauté de la recherche dans le domaine de la sécurité via plusieurs programmes de récompense liés aux vulnérabilités. Un programme Microsoft Azure Bounty dédié fournit des primes significatives chaque année récompensant les meilleures détections de vulnérabilité cloud.
Microsoft collabore avec d’autres partenaires du secteur d’activité et dans le domaine des logiciels open source qui partagent des vulnérabilités, des recherches sur la sécurité et des mises à jour avant la publication publique de la vulnérabilité. L’objectif de cette collaboration est de mettre à jour de grands éléments de l’infrastructure Internet avant que l’annonce de la vulnérabilité à destination du public. Dans certains cas, Microsoft contribue aux vulnérabilités détectées via cette communauté.
La collaboration en matière de sécurité de Microsoft se manifeste à plusieurs niveaux. Elle se produit parfois formellement via des programmes dans lesquels les organisations s’inscrivent pour recevoir des notifications de préversion sur des vulnérabilités logicielles pour des produits tels que Kubernetes et Docker. La collaboration se produit également de manière informelle en raison de notre engagement avec de nombreux projets open source tels que le noyau Linux, les runtimes de conteneurs, la technologie de virtualisation, etc.
Nœuds de travail
Nœuds Linux
Les correctifs de sécurité nocturnes du système d'exploitation canonique sont désactivées par défaut dans AKS. Pour les activer explicitement, utilisez le unmanagedcanal.
Si vous utilisez le unmanagedcanal, les mises à jour de sécurité canoniques nocturnes sont appliquées au système d’exploitation sur le nœud. L’image de nœud utilisée pour créer des nœuds pour votre cluster reste inchangée. Si un nouveau nœud Linux est ajouté à votre cluster, l’image d’origine est utilisée pour créer ce nœud. Ce nouveau nœud reçoit toutes les mises à jour de sécurité et de noyau disponibles pendant l’évaluation automatique effectuée chaque nuit, mais reste non corrigé jusqu’à ce que toutes les vérifications et tous les redémarrages soient terminés. Vous pouvez utiliser la mise à niveau d’image de nœud pour vérifier et mettre à jour les images de nœud utilisées par votre cluster. Pour plus d’informations sur la mise à niveau des images de nœud, consultez Mise à niveau des images de nœud Azure Kubernetes Service (AKS).
Pour les clusters AKS utilisant un canal autre que unmanaged, le processus de mise à niveau sans assistance est désactivé.
Nœuds Windows Server
Pour les nœuds Windows Server, Windows Update n’exécute pas et n’applique pas automatiquement les dernières mises à jour. Planifiez les mises à niveau des pools de nœuds Windows Server dans votre cluster Azure Kubernetes Service (AKS) autour du cycle de publication de Windows Update normal et de votre propre processus de gestion des mises à jour. Ce processus de mise à niveau crée des nœuds qui exécutent la dernière image et les derniers correctifs de Windows Server, puis supprime les anciens nœuds. Pour plus d’informations sur ce processus, consultez Mettre à niveau un pool de nœuds dans AKS.
Classification des vulnérabilités
Microsoft réalise d’importants investissements dans le durcissement de la sécurité de l’ensemble de la pile, y compris le système d’exploitation, les conteneurs, Kubernetes et les couches réseau, en plus de définir de bonnes valeurs par défaut et de fournir des configurations et des composants gérés durcis sur le plan de la sécurité. Combinés, ces efforts permettent de réduire l’incidence et la probabilité de vulnérabilités.
L’équipe Azure Kubernetes Service (AKS) classifie les vulnérabilités en fonction du système de scoring des vulnérabilités de Kubernetes. Les classifications prennent en compte de nombreux facteurs, notamment la configuration Azure Kubernetes Service (AKS) et le renforcement de la sécurité. En raison de cette approche et des investissements effectués par Azure Kubernetes Service (AKS) dans la sécurité, les classifications de vulnérabilités AKS peuvent différer des autres sources de classification.
Le tableau suivant décrit les catégories de gravité des vulnérabilités :
| Gravité | Description |
|---|---|
| Critique | Vulnérabilité aisément exploitable dans tous les clusters par un attaquant distant non authentifié qui conduit à une compromission complète du système. |
| Élevé | Vulnérabilité aisément exploitable pour de nombreux clusters qui entraîne une perte de confidentialité, d’intégrité ou de disponibilité. |
| Moyenne | Vulnérabilité exploitable pour certains clusters dans lesquels la perte de confidentialité, d’intégrité ou de disponibilité est limitée par les configurations courantes, la difficulté de l’exploit lui-même, l’accès requis ou l’interaction de l’utilisateur. |
| Faible | Toute autre vulnérabilité. L’exploitation est peu probable ou les conséquences de l’exploitation sont limitées. |
Mise à jour des vulnérabilités
AKS corrige les vulnérabilités et les expositions courantes (CVE) qui ont un correctif fournisseur chaque semaine. Tous les CVE qui n’ont pas été corrigés sont en attente d’un correctif du fournisseur avant de pouvoir être corrigés. Les images conteneur fixes sont mises en cache dans la build de disque dur virtuel (VHD) suivante correspondante, qui contient également les CVE corrigés Ubuntu/Azure Linux/Windows mis à jour. Tant que vous exécutez le disque dur virtuel mis à jour, vous ne devez pas exécuter de CVE d’image conteneur avec un correctif fournisseur datant de plus de 30 jours.
Pour les vulnérabilités basées sur le système d’exploitation dans le VHD, AKS s’appuie également sur les mises à jour du VHD de l’image de nœud par défaut. Par conséquent, toutes les mises à jour de sécurité sont fournies avec les versions hebdomadaires de l’image de nœud. Les mises à niveau sans assistance sont désactivées, sauf si vous passez au mode non managé, qui n’est pas recommandé parce que sa version est globale.
Chronologies de mise en production des mises à jour
L’objectif de Microsoft est d’atténuer les vulnérabilités détectées dans une période appropriée aux risques qu’elles représentent. L’autorisation provisoire d’exploitation (P-ATO) FedRAMP High de Microsoft Azure inclut Azure Kubernetes Service (AKS) dans l’étendue de l’audit et a été autorisé. Le Guide de stratégie de surveillance continue FedRAMP et les bases de référence du contrôle de sécurité faible, modéré et élevé de FedRAMP nécessitent une correction des vulnérabilités connues sur une période spécifique en fonction de leur niveau de gravité. Tel que spécifié dans FedRAMP RA-5d.
Modalités de communication des vulnérabilités et des mises à jour
En général, Microsoft ne communique pas largement concernant la publication de nouvelles versions correctives pour Azure Kubernetes Service (AKS). Toutefois, Microsoft surveille et valide constamment les correctifs du CVE disponibles afin de les prendre en charge dans Azure Kubernetes Service (AKS) en temps utile. Si un correctif critique est trouvé ou qu’une action de l’utilisateur est requise, Microsoft publie et met à jour les détails du problème du CVE sur GitHub.
Rapports sur la sécurité
Vous pouvez signaler un problème de sécurité au Centre de réponse aux problèmes de sécurité Microsoft (MSRC) en créant un rapport de vulnérabilité.
Si vous préférez envoyer un rapport sans vous connecter à l’outil, envoyez un e-mail à secure@microsoft.com. Si possible, chiffrez votre message avec notre clé PGP que vous pouvez télécharger à partir de la page Clé PGP du Centre de réponse aux problèmes de sécurité Microsoft.
Vous devez recevoir une réponse dans les 24 heures. Si vous ne le faites pas pour une raison quelconque, veuillez nous adresse un e-mail de suivi pour vous assurer que nous avons bien reçu votre message original. Pour obtenir plus d’informations, accédez au Centre de réponse aux problèmes de sécurité Microsoft.
Incluez les informations demandées suivantes (le plus possible) pour nous aider à mieux comprendre la nature et l’étendue du problème potentiel :
- Type de problème (par exemple, dépassement de mémoire tampon, injection SQL, script intersites, etc.)
- Chemins complets du ou des fichiers sources liés à la manifestation du problème
- Emplacement du code source affecté (balise/branche/commit ou URL directe)
- Toute configuration spéciale requise pour reproduire le problème
- Instructions pas à pas pour reproduire le problème
- Preuve de concept ou code d’exploitation (si possible)
- Incidence du problème, notamment comment un attaquant peut exploiter le problème.
Ces informations nous permettent de trier plus rapidement votre problème de sécurité signalé.
Si vous signalez une faille dans le cadre d’une prime aux bogues, des rapports plus complets peuvent contribuer à une récompense plus élevée. Pour obtenir plus d’informations sur nos programmes actifs, consultez le Programme de primes aux bogues Microsoft.
Stratégie
Microsoft suit le principe de la Divulgation coordonnée des vulnérabilités.
Étapes suivantes
Consultez la vue d’ensemble sur la Mise à niveau Azure Kubernetes Service clusters et pools de nœuds.