Gestione delle vulnerabilità per servizio Azure Kubernetes (servizio Azure Kubernetes)
La gestione delle vulnerabilità comporta il rilevamento, la valutazione, la mitigazione e la creazione di report su eventuali vulnerabilità di sicurezza presenti nei sistemi e nel software di un'organizzazione. La gestione delle vulnerabilità è una responsabilità condivisa tra l'utente e Microsoft.
Questo articolo descrive in che modo Microsoft gestisce le vulnerabilità di sicurezza e gli aggiornamenti della sicurezza (detti anche patch), per i cluster servizio Azure Kubernetes (servizio Azure Kubernetes).
Come vengono individuate le vulnerabilità
Microsoft identifica e applica patch alle vulnerabilità e agli aggiornamenti della sicurezza mancanti per i componenti seguenti:
Immagini del contenitore del servizio Azure Kubernetes
Sistema operativo Ubuntu 18.04 e 22.04 nodi di lavoro: Canonical fornisce a Microsoft le build del sistema operativo con tutti gli aggiornamenti della sicurezza disponibili applicati.
Nodi di lavoro del sistema operativo Windows Server 2022: il sistema operativo Windows Server viene patchato il secondo martedì di ogni mese. I contratti di servizio devono essere gli stessi in base al contratto di supporto e alla gravità.
Nodi del sistema operativo Linux di Azure: Azure Linux fornisce il servizio Azure Kubernetes con build del sistema operativo con tutti gli aggiornamenti della sicurezza disponibili applicati.
Immagini del contenitore del servizio Azure Kubernetes
Anche se CLOUD Native Computing Foundation (CNF) possiede e gestisce la maggior parte delle esecuzioni del servizio Azure Kubernetes di codice, Microsoft si assume la responsabilità di creare i pacchetti open source distribuiti nel servizio Azure Kubernetes. Con tale responsabilità, include la proprietà completa del processo di compilazione, analisi, firma, convalida e hotfix e controllo sui file binari nelle immagini del contenitore. Con la responsabilità di creare i pacchetti open source distribuiti nel servizio Azure Kubernetes, è possibile stabilire una supply chain software sul file binario e applicare patch al software in base alle esigenze.
Microsoft è attiva nell'ecosistema Kubernetes più ampio per contribuire a creare il futuro dell'ambiente di calcolo nativo del cloud nella più ampia community DELF. Questo lavoro non solo garantisce la qualità di ogni versione di Kubernetes per il mondo, ma consente anche al servizio Azure Kubernetes di ottenere rapidamente nuove versioni di Kubernetes nell'ambiente di produzione per diversi anni. In alcuni casi, prima di altri provider di servizi cloud di diversi mesi. Microsoft collabora con altri partner del settore nell'organizzazione di sicurezza Kubernetes. Ad esempio, il Security Response Committee (SRC) riceve, assegna priorità e applica patch alle vulnerabilità di sicurezza embargo prima che vengano annunciate al pubblico. Questo impegno garantisce che Kubernetes sia sicuro per tutti e consenta al servizio Azure Kubernetes di applicare patch e rispondere alle vulnerabilità più velocemente per garantire la sicurezza dei clienti. Oltre a Kubernetes, Microsoft ha effettuato l'iscrizione per ricevere notifiche di versione non definitive per le vulnerabilità software per prodotti come Envoy, runtime dei contenitori e molti altri progetti open source.
Microsoft analizza le immagini del contenitore usando l'analisi statica per individuare le vulnerabilità e gli aggiornamenti mancanti nei contenitori kubernetes e gestiti da Microsoft. Se sono disponibili correzioni, lo scanner avvia automaticamente il processo di aggiornamento e rilascio.
Oltre all'analisi automatizzata, Microsoft individua e aggiorna le vulnerabilità sconosciute agli scanner nei modi seguenti:
Microsoft esegue controlli, test di penetrazione e individuazione delle vulnerabilità in tutte le piattaforme del servizio Azure Kubernetes. Team specializzati all'interno di Microsoft e fornitori di sicurezza di terze parti attendibili eseguono la propria ricerca sugli attacchi.
Microsoft interagisce attivamente con la community di ricerca sulla sicurezza tramite più programmi di ricompensa per la vulnerabilità. Un programma Dedicato di Microsoft Azure Bounty offre tagli significativi per la migliore vulnerabilità del cloud rilevata ogni anno.
Microsoft collabora con altri partner software di settore e open source che condividono vulnerabilità, ricerche sulla sicurezza e aggiornamenti prima del rilascio pubblico della vulnerabilità. L'obiettivo di questa collaborazione è aggiornare grandi parti dell'infrastruttura Internet prima che la vulnerabilità venga annunciata al pubblico. In alcuni casi, Microsoft contribuisce alle vulnerabilità rilevate in questa community.
La collaborazione per la sicurezza di Microsoft avviene su molti livelli. A volte si verifica formalmente tramite programmi in cui le organizzazioni si iscrive per ricevere notifiche di versione non definitiva sulle vulnerabilità software per prodotti come Kubernetes e Docker. La collaborazione avviene in modo informale anche a causa del nostro impegno con molti progetti open source, ad esempio il kernel Linux, i runtime dei contenitori, la tecnologia di virtualizzazione e altri.
Nodi di lavoro
Nodi Linux
Gli aggiornamenti della sicurezza del sistema operativo canonici notturni sono disattivati per impostazione predefinita nel servizio Azure Kubernetes. Per abilitarli in modo esplicito, usare il unmanagedcanale.
Se si usa il unmanagedcanale, gli aggiornamenti della sicurezza canonici notturni vengono applicati al sistema operativo nel nodo. L'immagine del nodo usata per creare nodi per il cluster rimane invariata. Se viene aggiunto un nuovo nodo Linux al cluster, l'immagine originale viene usata per creare il nodo. Questo nuovo nodo riceve tutti gli aggiornamenti della sicurezza e del kernel disponibili durante la valutazione automatica eseguita ogni notte, ma rimane senza patch fino al completamento di tutti i controlli e i riavvii. È possibile usare l'aggiornamento dell'immagine del nodo per verificare e aggiornare le immagini del nodo usate dal cluster. Per altre informazioni sull'aggiornamento delle immagini del nodo, vedere aggiornamento dell'immagine del nodo servizio Azure Kubernetes (servizio Azure Kubernetes).
Per i cluster del servizio Azure Kubernetes che usano un canale diverso da unmanaged, il processo di aggiornamento automatico è disabilitato.
Nodi di Windows Server
Per i nodi di Windows Server, Windows Update non viene eseguito automaticamente e non applica gli aggiornamenti più recenti. Pianificare gli aggiornamenti del pool di nodi di Windows Server nel cluster del servizio Azure Kubernetes intorno al normale ciclo di rilascio Windows Update e al processo di gestione degli aggiornamenti. Questo processo di aggiornamento crea nodi che eseguono la versione più recente dell'immagine e delle patch di Windows Server e quindi rimuove i nodi precedenti. Per altre informazioni su questo processo, vedere Aggiornare un pool di nodi nel servizio Azure Kubernetes.
Classificazione delle vulnerabilità
Microsoft effettua grandi investimenti nella protezione avanzata dell'intero stack, inclusi il sistema operativo, il contenitore, Kubernetes e i livelli di rete. Oltre a impostare impostazioni predefinite valide, configurazioni con protezione avanzata e componenti gestiti. In combinazione, questi sforzi contribuiscono a ridurre l'impatto e la probabilità di vulnerabilità.
Il team del servizio Azure Kubernetes classifica le vulnerabilità in base al sistema di assegnazione dei punteggi delle vulnerabilità di Kubernetes. Le classificazioni considerano molti fattori, tra cui la configurazione del servizio Azure Kubernetes e la protezione avanzata della sicurezza. A seguito di questo approccio e gli investimenti effettuati dal servizio Azure Kubernetes nella sicurezza, le classificazioni delle vulnerabilità del servizio Azure Kubernetes potrebbero differire da altre origini di classificazione.
La tabella seguente descrive le categorie di gravità della vulnerabilità:
| Gravità | Descrizione |
|---|---|
| Critico | Una vulnerabilità facilmente sfruttabile in tutti i cluster da un utente malintenzionato remoto non autenticato che porta a una compromissione completa del sistema. |
| Alto | Una vulnerabilità facilmente sfruttabile per molti cluster che causano la perdita di riservatezza, integrità o disponibilità. |
| Medio | Una vulnerabilità sfruttabile per alcuni cluster in cui la perdita di riservatezza, integrità o disponibilità è limitata da configurazioni comuni, difficoltà dell'exploit stesso, accesso richiesto o interazione dell'utente. |
| Basso | Tutte le altre vulnerabilità. Lo sfruttamento è improbabile o le conseguenze dello sfruttamento sono limitate. |
Come vengono aggiornate le vulnerabilità
Il servizio Azure Kubernetes applica patch alle CVE che hanno una correzione fornitore ogni settimana. Le cve senza correzione sono in attesa di una correzione del fornitore prima che possa essere risolta. Le immagini dei contenitori fisse vengono memorizzate nella cache nella successiva build VHD (Virtual Hard Disk) corrispondente, che contiene anche le cve con patch per Ubuntu/Azure Linux/Windows aggiornate. Se si esegue il disco rigido virtuale aggiornato, non è consigliabile eseguire cve di immagini del contenitore con una correzione del fornitore superiore a 30 giorni.
Per le vulnerabilità basate sul sistema operativo nel disco rigido virtuale, il servizio Azure Kubernetes usa l'aggiornamento automatico per impostazione predefinita, quindi tutti gli aggiornamenti della sicurezza devono essere applicati quotidianamente ai dischi rigidi virtuali esistenti. Se l'aggiornamento automatico è disabilitato, è consigliabile applicare un aggiornamento dell'immagine del nodo a cadenza regolare per assicurarsi che vengano applicati gli aggiornamenti più recenti della sicurezza del sistema operativo e delle immagini.
Aggiornare le sequenze temporali delle versioni
L'obiettivo di Microsoft è ridurre le vulnerabilità rilevate entro un periodo di tempo appropriato per i rischi che rappresentano. L'autorizzazione provvisoria per il funzionamento (P-ATO) di Microsoft Azure FedRAMP High include il servizio Azure Kubernetes nell'ambito di controllo ed è stata autorizzata. La Guida alla strategia di monitoraggio continuo FedRAMP e le baseline fedRAMP Low, Moderate e High Security Control richiedono la correzione di vulnerabilità note entro un periodo di tempo specifico in base al livello di gravità. Come specificato in FedRAMP RA-5d.
Modalità di comunicazione di vulnerabilità e aggiornamenti
In generale, Microsoft non comunica ampiamente la versione delle nuove versioni delle patch per il servizio Azure Kubernetes. Tuttavia, Microsoft monitora e convalida costantemente le patch CVE disponibili per supportarle nel servizio Azure Kubernetes in modo tempestivo. Se viene trovata una patch critica o è necessaria un'azione dell'utente, Microsoft invia e aggiorna i dettagli del problema CVE in GitHub.
Segnalazioni per la sicurezza
È possibile segnalare un problema di sicurezza a Microsoft Security Response Center (MSRC) creando un report sulle vulnerabilità.
Se si preferisce inviare un report senza accedere allo strumento, inviare un messaggio di posta elettronica a secure@microsoft.com. Se possibile, crittografare il messaggio con la chiave PGP scaricandolo dalla pagina Chiave PGP di Microsoft Security Response Center.
La risposta viene inviata in genere entro 24 ore. Se per qualche motivo non lo fai, segui un messaggio di posta elettronica per assicurarti che il messaggio originale sia stato ricevuto. Per altre informazioni, vedere Microsoft Security Response Center.
Includere le informazioni richieste seguenti (per quanto possibile) per aiutarci a comprendere meglio la natura e l'ambito del problema possibile:
- Tipo di problema (ad esempio, overflow del buffer, sql injection, scripting tra siti e così via)
- Percorsi completi dei file di origine correlati alla manifestazione del problema
- Posizione del codice sorgente interessato (tag/ramo/commit o URL diretto)
- Qualsiasi configurazione speciale necessaria per riprodurre il problema
- Istruzioni dettagliate per riprodurre il problema
- Codice proof-of-concept o exploit (se possibile)
- Impatto del problema, incluso il modo in cui un utente malintenzionato potrebbe sfruttare il problema.
Queste informazioni consentono di valutare più rapidamente il problema di sicurezza segnalato.
Se si sta segnalando una taglia di bug, i report più completi possono contribuire a un premio di ricompensa più elevato. Per altre informazioni sui programmi attivi, vedere Microsoft Bug Bounty Program.
Criteri
Microsoft segue il principio della divulgazione della vulnerabilità coordinata.
Passaggi successivi
Vedere la panoramica sull'aggiornamento servizio Azure Kubernetes cluster e pool di nodi.