Gestione delle vulnerabilità per servizio Azure Kubernetes (servizio Azure Kubernetes)
La gestione delle vulnerabilità comporta il rilevamento, la valutazione, la mitigazione e la creazione di report su eventuali vulnerabilità di sicurezza presenti nei sistemi e nel software di un'organizzazione. La gestione delle vulnerabilità è una responsabilità condivisa tra l'utente e Microsoft.
Questo articolo descrive in che modo Microsoft gestisce le vulnerabilità di sicurezza e gli aggiornamenti della sicurezza (detti anche patch) per i cluster servizio Azure Kubernetes (servizio Azure Kubernetes).
Come vengono individuate le vulnerabilità
Microsoft identifica e applica patch alle vulnerabilità e agli aggiornamenti della sicurezza mancanti per i componenti seguenti:
Immagini del contenitore del servizio Azure Kubernetes
Sistema operativo Ubuntu 18.04 e 22.04 nodi di lavoro: Canonical fornisce a Microsoft le build del sistema operativo con tutti gli aggiornamenti della sicurezza disponibili applicati.
Nodi di lavoro del sistema operativo Windows Server 2022: il sistema operativo Windows Server viene patchato il secondo martedì di ogni mese. I contratti di servizio devono essere gli stessi in base al contratto di supporto e alla gravità.
Nodi del sistema operativo Linux di Azure: Azure Linux fornisce il servizio Azure Kubernetes con build del sistema operativo con tutti gli aggiornamenti della sicurezza disponibili applicati.
Immagini del contenitore del servizio Azure Kubernetes
Mentre cloud Native Computing Foundation (CNF) possiede e gestisce la maggior parte delle esecuzioni del servizio Azure Kubernetes di codice, Microsoft si assume la responsabilità di creare i pacchetti open source distribuiti nel servizio Azure Kubernetes. Tale responsabilità include la proprietà completa del processo di compilazione, analisi, firma, convalida e hotfix, nonché il controllo sui file binari nelle immagini del contenitore. Avere la responsabilità di creare i pacchetti open source distribuiti nel servizio Azure Kubernetes consente di stabilire una supply chain software sul file binario e di applicare patch al software in base alle esigenze.
Microsoft è attiva nell'ecosistema Kubernetes più ampio per contribuire a creare il futuro del calcolo nativo del cloud nella più ampia community DIF. Questo lavoro non solo garantisce la qualità di ogni versione di Kubernetes per il mondo, ma consente anche al servizio Azure Kubernetes di ottenere rapidamente nuove versioni di Kubernetes in produzione per diversi anni. In alcuni casi, prima di altri provider di servizi cloud di diversi mesi. Microsoft collabora con altri partner del settore nell'organizzazione di sicurezza Kubernetes. Ad esempio, il Security Response Committee (SRC) riceve, assegna priorità alle vulnerabilità di sicurezza e applica patch alle vulnerabilità di sicurezza con embargo prima che vengano annunciate al pubblico. Questo impegno garantisce che Kubernetes sia sicuro per tutti e consenta al servizio Azure Kubernetes di applicare patch e rispondere più rapidamente alle vulnerabilità per garantire la sicurezza dei clienti. Oltre a Kubernetes, Microsoft ha effettuato l'iscrizione per ricevere notifiche non definitive per le vulnerabilità software per prodotti come Envoy, runtime dei contenitori e molti altri progetti open source.
Microsoft analizza le immagini dei contenitori usando l'analisi statica per individuare le vulnerabilità e gli aggiornamenti mancanti in Kubernetes e nei contenitori gestiti da Microsoft. Se sono disponibili correzioni, lo scanner avvia automaticamente il processo di aggiornamento e rilascio.
Oltre all'analisi automatizzata, Microsoft individua e aggiorna le vulnerabilità sconosciute agli scanner nei modi seguenti:
Microsoft esegue controlli, test di penetrazione e individuazione delle vulnerabilità in tutte le piattaforme del servizio Azure Kubernetes. Team specializzati all'interno di Microsoft e fornitori di sicurezza di terze parti attendibili eseguono la propria ricerca sugli attacchi.
Microsoft interagisce attivamente con la community di ricerca sulla sicurezza tramite più programmi di ricompensa delle vulnerabilità. Un programma di Microsoft Azure Bounty dedicato offre notevoli vantaggi per la migliore vulnerabilità del cloud rilevata ogni anno.
Microsoft collabora con altri partner software open source e del settore che condividono vulnerabilità, ricerche sulla sicurezza e aggiornamenti prima del rilascio pubblico della vulnerabilità. L'obiettivo di questa collaborazione è aggiornare grandi parti dell'infrastruttura Internet prima che la vulnerabilità venga annunciata al pubblico. In alcuni casi, Microsoft contribuisce alle vulnerabilità rilevate in questa community.
La collaborazione per la sicurezza di Microsoft avviene a molti livelli. A volte si verifica formalmente tramite programmi in cui le organizzazioni si iscrive per ricevere notifiche non definitive sulle vulnerabilità software per prodotti come Kubernetes e Docker. La collaborazione avviene in modo informale anche a causa del coinvolgimento di molti progetti open source, ad esempio il kernel Linux, i runtime dei contenitori, la tecnologia di virtualizzazione e altri ancora.
Nodi di lavoro
Nodi Linux
Gli aggiornamenti della sicurezza del sistema operativo canonici notturni vengono disattivati per impostazione predefinita nel servizio Azure Kubernetes. Per abilitarli in modo esplicito, usare il unmanagedcanale .
Se si usa il unmanagedcanale, gli aggiornamenti della sicurezza canonici notturni vengono applicati al sistema operativo nel nodo. L'immagine del nodo usata per creare nodi per il cluster rimane invariata. Se viene aggiunto un nuovo nodo Linux al cluster, l'immagine originale viene usata per creare il nodo. Questo nuovo nodo riceve tutti gli aggiornamenti della sicurezza e del kernel disponibili durante la valutazione automatica eseguita ogni notte, ma rimane senza patch finché non vengono completati tutti i controlli e i riavvii. È possibile usare l'aggiornamento dell'immagine del nodo per verificare la presenza e aggiornare le immagini del nodo usate dal cluster. Per altre informazioni sull'aggiornamento dell'immagine del nodo, vedere aggiornamento dell'immagine del nodo servizio Azure Kubernetes (servizio Azure Kubernetes).
Per i cluster del servizio Azure Kubernetes che usano un canale diverso da unmanaged, il processo di aggiornamento automatico è disabilitato.
Nodi di Windows Server
Per i nodi di Windows Server, Windows Update non esegue automaticamente e applica gli aggiornamenti più recenti. Pianificare gli aggiornamenti del pool di nodi di Windows Server nel cluster del servizio Azure Kubernetes per il normale ciclo di rilascio di Windows Update e il proprio processo di gestione degli aggiornamenti. Il processo di aggiornamento crea nodi che eseguono l'immagine e le patch di Windows Server più recenti, successivamente rimuove i nodi meno recenti. Per altre informazioni su questo processo, vedere Aggiornare un pool di nodi nel servizio Azure Kubernetes.
Classificazione delle vulnerabilità
Microsoft fa grandi investimenti nella protezione avanzata dell'intero stack, tra cui il sistema operativo, il contenitore, Kubernetes e i livelli di rete, oltre a impostare impostazioni predefinite valide e fornire configurazioni e componenti gestiti con protezione avanzata. In combinazione, questi sforzi aiutano a ridurre l'impatto e la probabilità di vulnerabilità.
Il team del servizio Azure Kubernetes classifica le vulnerabilità in base al sistema di assegnazione dei punteggi delle vulnerabilità di Kubernetes. Le classificazioni considerano molti fattori, tra cui la configurazione del servizio Azure Kubernetes e la protezione avanzata. A seguito di questo approccio e gli investimenti effettuati dal servizio Azure Kubernetes in termini di sicurezza, le classificazioni delle vulnerabilità del servizio Azure Kubernetes potrebbero differire da altre origini di classificazione.
La tabella seguente descrive le categorie di gravità della vulnerabilità:
| Gravità | Descrizione |
|---|---|
| Critico | Una vulnerabilità facilmente sfruttabile in tutti i cluster da un utente malintenzionato remoto non autenticato che porta a una compromissione completa del sistema. |
| Alto | Una vulnerabilità facilmente sfruttabile per molti cluster che causano la perdita di riservatezza, integrità o disponibilità. |
| Medio | Una vulnerabilità sfruttabile per alcuni cluster in cui la perdita di riservatezza, integrità o disponibilità è limitata da configurazioni comuni, difficoltà dell'exploit stesso, accesso richiesto o interazione dell'utente. |
| Ridotto | Tutte le altre vulnerabilità. Lo sfruttamento è improbabile o le conseguenze dello sfruttamento sono limitate. |
Modalità di aggiornamento delle vulnerabilità
Il servizio Azure Kubernetes applica patch a vulnerabilità ed esposizioni comuni (CVE) che hanno una correzione del fornitore ogni settimana. Eventuali CVE senza correzione sono in attesa di una correzione fornitore prima che possano essere risolte. Le immagini del contenitore fisse vengono memorizzate nella cache nella successiva build del disco rigido virtuale corrispondente, che contiene anche le CVE aggiornate di Ubuntu/Azure Linux/Windows. Se si esegue il disco rigido virtuale aggiornato, non è consigliabile eseguire CVE di immagini del contenitore con una correzione del fornitore superiore a 30 giorni prima.
Per le vulnerabilità basate sul sistema operativo nel disco rigido virtuale, il servizio Azure Kubernetes si basa anche sugli aggiornamenti del disco rigido virtuale dell'immagine del nodo per impostazione predefinita, in modo che tutti gli aggiornamenti della sicurezza vengano rilasciati con le versioni settimanali dell'immagine del nodo . Gli aggiornamenti automatici sono disabilitati a meno che non si passi a non gestito che non è consigliato perché la versione è globale.
Aggiornare le sequenze temporali delle versioni
L'obiettivo di Microsoft è ridurre le vulnerabilità rilevate entro un periodo di tempo appropriato per i rischi che rappresentano. L'autorizzazione provvisoria per il funzionamento (P-ATO) di Microsoft Azure FedRAMP High include il servizio Azure Kubernetes nell'ambito di controllo ed è stata autorizzata. La guida alla strategia di monitoraggio continuo di FedRAMP e le baseline fedRAMP Low, Moderate e High Security Control richiedono la correzione di vulnerabilità note entro un periodo di tempo specifico in base al livello di gravità. Come specificato in FedRAMP RA-5d.
Modalità di comunicazione di vulnerabilità e aggiornamenti
In generale, Microsoft non comunica in generale la versione delle nuove versioni delle patch per il servizio Azure Kubernetes. Tuttavia, Microsoft monitora e convalida costantemente le patch CVE disponibili per supportarle nel servizio Azure Kubernetes in modo tempestivo. Se viene trovata una patch critica o è necessaria un'azione dell'utente, microsoft pubblica e aggiorna i dettagli del problema CVE in GitHub.
Segnalazioni per la sicurezza
È possibile segnalare un problema di sicurezza a Microsoft Security Response Center (MSRC), creando un report sulla vulnerabilità.
Se si preferisce inviare un report senza accedere allo strumento, inviare un messaggio di posta elettronica a secure@microsoft.com. Se possibile, crittografare il messaggio con la chiave PGP scaricandolo dalla pagina chiave PGP del Centro sicurezza microsoft.
La risposta viene inviata in genere entro 24 ore. Se per qualche motivo non lo fai, segui un messaggio di posta elettronica per assicurarti che il messaggio originale sia stato ricevuto. Per altre informazioni, vedere Microsoft Security Response Center.
Includere le informazioni richieste seguenti (per quanto possibile) per aiutarci a comprendere meglio la natura e l'ambito del possibile problema:
- Tipo di problema (ad esempio, overflow del buffer, inserimento SQL, scripting tra siti e così via)
- Percorsi completi dei file di origine correlati alla manifestazione del problema
- La posizione del codice sorgente interessato (tag/ramo/commit o URL diretto)
- Qualsiasi configurazione speciale necessaria per riprodurre il problema
- Istruzioni dettagliate per riprodurre il problema
- Modello di verifica o codice exploit (se possibile)
- Impatto del problema, incluso il modo in cui un utente malintenzionato potrebbe sfruttare il problema.
Queste informazioni consentono di valutare più rapidamente il problema di sicurezza segnalato.
Se si segnala un bug bounty, i report più completi possono contribuire a un premio di taglia superiore. Per altre informazioni sui programmi attivi, vedere Programma Microsoft Bug Bounty.
Criteri
Microsoft segue il principio della divulgazione coordinata di vulnerabilità.
Passaggi successivi
Vedere la panoramica sull'aggiornamento servizio Azure Kubernetes cluster e pool di nodi.