Considérations relatives à la sécurité pour Red Hat Enterprise Linux sur Azure
Cet article décrit les considérations et recommandations relatives à l’implémentation de la sécurité dans votre environnement Red Hat Enterprise Linux (RHEL). Pour assurer la sécurité de vos systèmes RHEL, utilisez une approche qui cible plusieurs domaines. La sécurité nécessite que toutes les équipes travaillent ensemble pour sécuriser vos charges de travail. Les produits ou plateformes que vous déployez ne peuvent pas garantir uniquement la sécurité de votre environnement.
Implémentez et respectez un processus rigoureux qui englobe les composantes comportementales, administratives et d’ingénierie. Lorsque vous déployez RHEL dans une zone d’atterrissage Azure, vous devez évaluer plusieurs facteurs de sécurité. Pour créer un environnement cloud sécurisé et résilient, implémentez une approche stratégique qui applique à la fois les mécanismes de sécurité Azure et Red Hat.
Considérations sur la conception
Pour assurer la sécurité des systèmes RHEL, dans Azure ou ailleurs, veillez à commencer par du contenu vérifié et validé. Dans les environnements cloud modernes, les binaires et le code peuvent provenir d’un large éventail de sources. La première considération pour votre déploiement est de sécuriser votre chaîne d’approvisionnement logicielle.
Renforcer les images
Vous trouverez des images dans Azure Marketplace et dans des sections d’offres de produits privés dans lesquelles Red Hat ou Red Hat Limited en Europe, au Moyen-Orient et en Afrique (EMEA), publie l’enregistrement. Red Hat et Microsoft vérifient et valident ces images pour garantir l’intégrité de la source et fournir des configurations par défaut sécurisées pour les instances de système d’exploitation RHEL.
Pour répondre aux exigences de sécurité du runtime de votre organisation pour la charge de travail cible, configurez correctement les instances que vous générez à partir de ces images. Pour simplifier vos mesures de sécurité, utilisez des images publiées par Red Hat à partir d’Azure Marketplace pour déployer vos systèmes RHEL. Suivez les instructions de Red Hat pour les spécifications de système et d’image de votre charge de travail. Pour réduire la surface d’attaque, commencez par une image RHEL minimale optimisée par Azure. Vous n’avez pas besoin de créer et de configurer toutes les instances depuis cette image de base. Pour répondre à différentes exigences de renforcement, nous vous recommandons d’utiliser des composants composables pour créer des images spécifiques à la charge de travail.
Vous pouvez également utiliser des pratiques GitOps pour développer des pipelines d’images. Cette approche est une méthodologie supérieure. Ces pipelines forment des couches de composants composables, définis en tant que codes de configuration, sur l’image initiale afin de produire les images de charge de travail.
Pour utiliser des images de manière efficace, implémentez les considérations suivantes :
Créez une image de base renforcée qui respecte le modèle des privilèges minimaux afin de fournir une base solide.
Formez des couches avec configuration logicielle et la configuration de sécurité pour promouvoir la réutilisation tout en suivant les bonnes pratiques d’environnement d’exploitation standard et DevSecOps.
Utilisez des modèles de composition pour les images afin de réduire les efforts de test et de qualification et de réduire les coûts de maintenance.
Utilisez des modèles de composition pour augmenter la flexibilité et accélérer la livraison des nouvelles charges de travail.
Automatisez le processus de conception, de test et de livraison des images pour le modèle.
Mettre à jour des images
Vous devez également mettre à jour vos images régulièrement. Les instances éphémères ont probablement une image plus à jour, car vous les déployez généralement à partir d’une image actuelle. Toutefois, vous devez régulièrement mettre à jour les instances plus pérennes à l’aide d’un système de mise à jour corrective centralisée. Cette étape vous aide à examiner la condition des systèmes corrigés dans votre environnement. Lorsque vous minimisez la variabilité du déploiement, le bruit de surveillance est réduit et vous pouvez identifier les anomalies plus précisément et rapidement. Cette approche augmente le taux de réussite des efforts de détection et de correction automatisés.
Pour maintenir des contrôles d’accès stricts, envisagez d’implémenter un système centralisé. De nombreux projets open source et applications commerciales prêts à l’emploi fournissent des exemples de déploiement simples qui utilisent des comptes locaux ou des clés publiques déployées localement. Ces exemples peuvent fournir une configuration sécurisée, mais à mesure que l’empreinte cloud s’étend, l’effort de maintenance de la configuration localisée peut devenir problématique, même avec l’automatisation. La charge d’automatisation augmente linéairement avec chaque instance, mais la journalisation de la sécurité et la charge de surveillance peuvent augmenter à un rythme exponentiel. Ces modifications entraînent une charge excessive sur les ressources de calcul, de stockage et d’analyse. Le contrôle d’accès centralisé réduit les points de configuration, ce qui réduit la charge d’automatisation et de journalisation, diminue les modifications et simplifie l’audit tout en conservant des contrôles stricts sur l’accès aux ressources.
Dans les domaines où votre charge de travail doit être conforme aux normes de chiffrement et aux bases de référence en matière de conformité, envisagez l’utilisation des fonctionnalités de plateforme intégrées qui prennent en charge les normes ouvertes pour garantir la compatibilité avec les charges de travail cloud. Red Hat et Microsoft adhèrent aux organismes mondiaux de gestion des normes et fournissent des outils appropriés. Par exemple, de nombreux fichiers de configuration sur une instance individuelle ont une configuration de chiffrement destinée aux services système et aux applications. Des écarts peuvent facilement se produire entre les systèmes au sein d’une charge de travail cible et dans une flotte. Pour définir vos mesures de conformité, envisagez d’utiliser des normes ouvertes. Les outils Red Hat et Microsoft consomment des formats de fichiers standardisés pour fournir les dernières données en matière de vulnérabilité et de configuration. Red Hat fournit des flux OVAL (Open Vulnerability and Assessment Language) à jour de l’équipe Red Hat Product Security pour les composants de la plateforme Red Hat.
Azure présente des opportunités uniques d’utiliser des fonctionnalités spécifiques au cloud et de conserver les bonnes pratiques en matière de sécurité et de conformité. Les fonctionnalités et services de sécurité au sein de l’infrastructure Azure sont les suivants :
Lancement fiable pour les machines virtuelles : instance sécurisée BIOS et configuration. Vous pouvez utiliser le lancement fiable pour les machines virtuelles afin de sécuriser le processus de démarrage, ce qui garantit que les machines virtuelles démarrent avec du code vérifié.
Azure Disk Encryption dans Azure Key Vault : chiffrer les données au repos. Pour sécuriser les données au repos, utilisez Azure Disk Encryption dans Key Vault afin de gérer les clés de chiffrement et les secrets. Key Vault prend en charge deux types de conteneurs : les coffres et les pools HSM (modules de sécurité matériels) managés. Vous pouvez stocker des logiciels, des clés sauvegardées par HSM, des secrets et des certificats dans des coffres.
Microsoft Defender pour le cloud : permet d’assurer un audit centralisé du système. Defender pour le cloud peut fournir une fenêtre d’affichage centralisée pour une gestion unifiée de la sécurité et de la protection contre les menaces.
Recommandations de conception
Lorsque vous concevez des environnements RHEL sur Azure, tirez parti des fonctionnalités de sécurité natives de Red Hat et des fonctionnalités de sécurité cloud d’Azure pour garantir un déploiement robuste, sécurisé et efficace. Commencez par une image que vous renforcez et générez avec des fichiers binaires validés connus. Les images RHEL dans Azure Marketplace sont simplifiées pour les performances et la sécurité du cloud. Si vous avez des exigences de sécurité spécifiques pour votre entreprise, vous devez commencer avec votre propre image personnalisée et renforcée que vous générez à partir de binaires fournies par Red Hat. Red Hat Satellite peut conserver et gérer le code Red Hat, Microsoft et le code partenaire, ainsi que votre code d’application personnalisé. Satellite peut valider le code via des informations d’identification et des signatures de contenu managé. RHEL vérifie la cohérence et l’authenticité des logiciels de la source jusqu’au disque.
Lorsque vous utilisez des outils de gestion Azure et Red Hat pour développer des flux de travail automatisés, Red Hat vous recommande d’utiliser des collections Ansible Automation Platform certifiées.
Vérifiez que vos flux de travail sont les suivants :
- Générez, gérez et testez les images de référence et de charge de travail.
- Testez et déployez des instances éphémères.
- Corrigez des cycles de test et distribuez des instances de machines virtuelles persistantes.
- Utilisez des pipelines d’automatisation. Les pipelines d’automatisation réduisent considérablement les efforts de gestion, garantissent une mise en œuvre cohérente des stratégies, améliorent la détection des anomalies et accélèrent la correction dans les zones d’atterrissage RHEL.
Envisagez également d’utiliser Azure Compute Gallery. Vous pouvez créer votre image Red Hat avec tous les mécanismes de sécurité requis que vous utilisez dans votre organisation puis créer une image de cette machine virtuelle. Vous pouvez ensuite partager des images conformes en matière de sécurité entre les abonnements et les régions de votre environnement Azure. Vous pouvez également utiliser le contrôle de version pour un contrôle granulaire plus efficace des images de machine virtuelle. Cette approche vous aide à unifier les correctifs de sécurité d’instance de calcul et les outils que vous utilisez dans votre environnement.
Envisagez d’implémenter Azure Update Manager dans le cadre de votre processus de gestion des mises à jour. Update Manager est un service unifié que vous pouvez utiliser pour surveiller les mises à jour sur vos déploiements. Utilisez Update Manager pour examiner l’ensemble de votre flotte de machines dans Azure, localement et dans d’autres clouds.
Gérer les identités et les accès
Pour appliquer de manière centralisée des stratégies d’accès strictes, intégrez Red Hat Identity Management (IdM). IdM utilise des approbations et des intégrations OpenID Connect pour consolider l’implémentation native de Linux avec les fonctionnalités suivantes dans un modèle de sécurité d’entreprise sans synchronisation des informations d’identification.
- Contrôle d’accès en fonction du rôle (RBAC)
- Contrôle d’accès en fonction de l’hôte
- Stratégie d’élévation des privilèges
- Stratégie de mappage utilisateur SELinux
- Autres service critiques Linux
Par rapport aux déploiements Linux traditionnels, cette approche génère plusieurs avantages, tels que les suivants :
- Contrôle des modifications simplifié via une réduction des points tactiles d’automatisation
- Réduction de la charge liée à la journalisation et à l’analyse
- Conformité aux exigences d’audit d’authentification
- Cohérence des stratégies
L’iIdM offre plusieurs avantages pour la gestion de la stratégie de sécurité centralisée de Linux.
Red Hat vous recommande d’activer et d’exécuter SELinux sur toutes les instances RHEL, notamment les environnements de développement, de test et de production. Toutes les images et installations produites par Red Hat peuvent exécuter SELinux en mode appliqué par défaut. Lorsque vous concevez des déploiements de charge de travail, vous pouvez exécuter SELinux en mode permissif pour l’ensemble de l’instance ou pour des services individuels au sein de l’instance. Ensuite, les équipes de développement, de sécurité et d’opérations peuvent déterminer les caractéristiques d’accès des applications et utiliser les données du journal d’audit avec les outils SELinux afin de générer une stratégie SELinux appropriée pour la charge de travail cible.
Les outils de génération de stratégie SELinux peuvent générer des fichiers de stratégie RPM à inclure dans des référentiels de contenu pour un déploiement d’images standardisé. Les équipes de développement, de sécurité et d’opérations peuvent fournir des artefacts en amont de manière itérative au sein du pipeline. Une fois que les tests on déterminé qu’aucune violation SELinux n’a été générée, vous pouvez définir la configuration SELinux en mode forcé. Les violations SELinux générées pendant la production indiquent un écart significatif du comportement d’application acceptable. Vous devez marquer et examiner ces violations. Utilisez SELinux pour fournir une visibilité complète et une gestion proactive des menaces.
Pour définir les rôles RBAC que vous affectez aux machines RHEL, comprenez les rôles et responsabilités de votre équipe. Les équipes pertinentes peuvent nécessiter un accès avec élévation de privilèges aux machines virtuelles. Pour accéder aux machines virtuelles, envisagez d’utiliser le contributeur de machine virtuelle, le lecteur de machine virtuelle et les rôles similaires. Vous pouvez utiliser l’accès juste-à-temps si vous n’avez pas besoin d’un accès permanent. Prenez en compte les identités managées si le système RHEL doit s’authentifier auprès d’Azure. Les identités managées affectées par le système offrent plus de sécurité que les principaux de service. De plus, elles sont associées à la ressource de machine virtuelle. En plus des rôles RBAC, envisagez un accès conditionnel pour les personnes qui ont besoin d’accéder à votre environnement Azure. Utilisez l’accès conditionnel pour restreindre l’accès utilisateur à votre environnement Azure en fonction de l’emplacement, de l’adresse IP et d’autres critères.
Utiliser un logiciel antivirus
Vérifiez que vous disposez du logiciel antivirus approprié sur votre machine RHEL. Envisagez d’intégrer Microsoft Defender for Endpoint sur Linux pour protéger votre machine contre les dernières vulnérabilités. N’oubliez pas que vous ne devez pas activer Defender pour le cloud Standard sur les machines RHEL que vous utilisez pour héberger des bases de données SAP. Vérifiez que chaque machine RHEL et que chaque charge de travail peuvent exécuter votre logiciel de protection de point de terminaison.
Gérer les secrets
Red Hat vous recommande de définir une stratégie de chiffrement à l’échelle du système sur toutes les instances possibles. Les déploiements cloud peuvent être caractérisés par leur diversité. Les équipes de charge de travail choisissent leurs propres bibliothèques, langages, utilitaires et fournisseurs de chiffrement pour répondre aux besoins de leurs solutions particulières. L’implémentation des normes, la factorisation des composants d’application, la composabilité et d’autres techniques peuvent réduire la variabilité, mais vous configurez des paramètres de chiffrement pour les applications et les services dans plusieurs emplacements au sein d’une instance donnée.
La configuration raisonnable de nouveaux composants, demande un travail considérable et, souvent, des connaissances approfondies en chiffrement. Les stratégies de chiffrement obsolètes ou mal configurées créent des risques. Une stratégie de chiffrement à l’échelle du système aligne la configuration des sous-systèmes de chiffrement principaux. Elle couvre les protocoles TLS (Transport Layer Security), IPSec (Internet Protocol Security), DNSSEC (extensions de sécurité DNS) et Kerberos. Une stratégie de chiffrement PAR DÉFAUT à l’échelle du système RHEL implémente une configuration conservatrice qui élimine toute une classe de menaces en désactivant les protocoles de communication hérités, tels que TLS v1.1 et versions antérieures. Les stratégies FUTURE et FIPS fournissent des configurations plus strictes. Vous pouvez également créer des stratégies personnalisées.
Vous pouvez incorporer un audit système RHEL et des outils conformité de sécurité. Concentrez-vous sur l’analyse et la correction automatisées qui s’alignent sur les normes du secteur.
Le démon d’audit RHEL est auditd et le démon de journalisation centrale est journald. Azure Monitor peut ingérer des données provenant de auditd et de journald pour surveiller les événements de sécurité du système RHEL et alimenter Microsoft Sentinel ou d’autres services SIEM (Security Information and Event Management).
Les systèmes RHEL qui doivent répondre aux directives STIG DISA (Defense Information Systems Agency Security Technical Implementation Guide) nécessitent l’utilitaire Advanced Intrusion Detection Environment (AIDE). Vous devez consigner la sortie AIDE dans Azure.
Surveillez et intégrez Ansible Automation Platform pour identifier, alerter et corriger les fichiers système critiques.
Utilisez des composants complémentaires au niveau du système d’exploitation sur toutes les instances RHEL basées sur Azure.
Appliquer la stratégie d’exécution du code : utilisez le démon fapolicyd pour limiter les applications qui peuvent s’exécuter dans l’instance RHEL.
Gérer le trafic d’entrée et de sortie d’instance : utilisez firewalld avec des groupes de sécurité réseau Azure (NSG) pour gérer efficacement le trafic northbound et southbound vers les machines virtuelles.
Gérer la configuration de manière centralisée via l’automatisation : utilisez la méthodologie GitOps pour garantir une gestion cohérente de la configuration pendant le déploiement, et en continu via les opérations jour 2 des charges de travail RHEL.
Implémenter le mode de conformité FIPS pour les charges de travail gouvernementales : assurez-vous que les instances RHEL désignées s’exécutent en mode FIPS pour se conformer aux normes de chiffrement. Utilisez des offres de conformité Azure pour une position de conformité complète.
Toujours exécuter SELinux : utilisez SELinux en mode permissif pour identifier les profils d’accès aux charges de travail et garantir une stratégie appropriée pour exécuter SELinux en mode appliqué sur les machines virtuelles RHEL. SELinux réduit considérablement la surface d’attaque sur les applications et les services qui s’exécutent dans Azure.
Inscrivez des serveurs RHEL sur Red Hat Insights via Red Hat Satellite. Red Hat Insights tire parti de l’analyse de la base de données de résolution des problèmes de Red Hat. Insights utilise cette analyse pour identifier et générer de manière proactive des corrections aux problèmes de déploiement et de configuration avant d’affecter les opérations. Cette stratégie améliore la position de sécurité et l’efficacité opérationnelle. Chaque abonnement RHEL inclut Insights. Tous les abonnements RHEL basés sur le cloud incluent un abonnement Red Hat Satellite. Vous pouvez également acheter un abonnement Red Hat Satellite avec vos abonnements Cloud Access RHEL.
Remarque
Insights envoie des informations du système de télémétrie en dehors d’Azure.
Configurer la mise en réseau
Vous pouvez appliquer des groupes de sécurité réseau au niveau de l’interface réseau ou au niveau du sous-réseau. Nous vous recommandons le niveau du sous-réseau, sauf si des exigences spécifiques nécessitent un NSG au niveau de l’interface réseau. Cette approche simplifie la gestion des communications réseau. Vous pouvez utiliser des groupes de sécurité d’application pour autoriser la communication des applications, qui segmente de manière holistique la communication entre les sous-réseaux. Déterminez l’approche la mieux adaptée à votre scénario et assurez-vous que les machines RHEL disposent d’un accès approprié à Internet pour les référentiels requis. Vous devrez peut-être autoriser les URL de liste pour ces référentiels dans les environnements les plus verrouillés. Les points de terminaison privés garantissent que le seul trafic qu’une ressource Azure peut recevoir par défaut est le trafic provenant du réseau Azure, y compris les connexions locales si vous disposez d’une passerelle Azure.
Implémenter des outils SIEM ou SOAR
Envisagez Microsoft Sentinel pour l’orchestration, l’automatisation et la réponse de sécurité (SOAR) des outils, ou des outils SIEM pour vos systèmes RHEL. Microsoft Sentinel utilise l’IA pour adapter sa façon de détecter les menaces du système. Vous pouvez automatiser les réponses aux attaques via des runbooks. Utilisez Microsoft Sentinel pour la détection proactive des menaces, la chasse aux menaces et la réponse aux menaces.
Envisager l’informatique confidentielle
RHEL propose une image confidentielle pour certaines options de système d’exploitation RHEL. Prenez en compte les cas d’usage sur l’informatique confidentielle.