Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Linux e Azure Container Linux (ACL) condividono una pipeline cve (Common Vulnerabilities and Exposures) dedicata, avvisi pubblicati e contratti di servizio definiti, in modo da poter gestire le vulnerabilità nella flotta con sicurezza. Questo articolo illustra come i CVE vengono identificati, corretti e distribuiti ai sistemi, a seconda dell'opzione di distribuzione di Azure Linux o ACL in uso.
Annotazioni
Azure Linux 4.0 è ora disponibile in preview ed è strettamente limitato a scopi di valutazione e test. Non è adatto per l'uso in produzione.
Aggiornare e verificare le correzioni CVE
- Applicare gli aggiornamenti della sicurezza più recenti per l'opzione di distribuzione.
- Confermare le versioni aggiornate dei pacchetti, i log delle modifiche o le versioni dell'immagine del nodo.
Infrastruttura CVE e contratti di servizio
Microsoft è responsabile dello stack completo Azure Linux e Azure Container Linux (ACL), dal kernel Linux all'infrastruttura CVE, al supporto e alla convalida end-to-end. Ciò significa che non è necessario tenere traccia delle vulnerabilità e applicare patch a una distribuzione di terze parti. Azure Linux gestisce l'individuazione delle CVE pertinenti, la pubblicazione delle correzioni e il rispetto degli SLA per le correzioni dei pacchetti in produzione.
Il team di Azure Linux analizza i pacchetti che distribuisce per individuare vulnerabilità di sicurezza due volte al giorno confrontandoli con il National Vulnerability Database (NVD). Quando viene confermata una vulnerabilità, il team di Azure Linux collabora con il Microsoft Security Response Center (MSRC) per valutare, applicare patch e contribuire alle correzioni di backstream.
Distribuzione dei CVE per opzione di distribuzione
Le correzioni CVE vengono distribuite in modo diverso a seconda che si utilizzi Azure Linux per utilizzo generico, Azure Linux Container Host per AKS o Azure Container Linux (ACL) per AKS. Nella tabella seguente viene riepilogato il modo in cui vengono propagate le correzioni CVE a ogni opzione di distribuzione:
| Opzione di distribuzione | Meccanismo di distribuzione delle correzioni per le vulnerabilità |
|---|---|
| Azure Linux per uso generico (macchine virtuali (VM), set di scalabilità di macchine virtuali, immagini personalizzate) | Le correzioni CVE vengono recapitate come aggiornamenti del pacchetto. Applicali con dnf update. |
| Host del contenitore Linux di Azure per il servizio Azure Kubernetes | Le correzioni per le vulnerabilità CVE vengono distribuite come aggiornamenti dei pacchetti raggruppati nei rilasci mensili delle immagini del nodo. Le CVE ad alta priorità e critiche potrebbero essere distribuite fuori ciclo tramite un aggiornamento del pacchetto prima della successiva immagine del nodo prevista, in modo che la correzione possa essere applicata ai nodi prima che sia disponibile una nuova immagine. Le CVE di livello medio e basso sono incluse nella successiva versione regolare dell'immagine del nodo. |
| Azure Container Linux per il servizio Azure Kubernetes | L'ACL è un sistema operativo non modificabile basato su immagini; i singoli pacchetti non vengono aggiornati sul posto. Le correzioni CVE vengono invece distribuite tramite i rilasci settimanali dell'immagine del nodo AKS, che includono le patch di sicurezza più recenti. Il SecurityPatch canale di aggiornamento del sistema operativo del nodo non è supportato nell'ACL, quindi usare il NodeImage canale per raccogliere gli aggiornamenti della sicurezza. Per informazioni dettagliate su ACL, vedere la panoramica di Azure Container Linux. |
Avvisi pubblicati
Annotazioni
I contratti di servizio relativi alle CVE per Azure Linux 4.0 non sono applicabili durante la fase di anteprima.
Gli avvisi di sicurezza di Azure Linux e di Azure Container Linux (ACL) vengono pubblicati nel formato Vulnerability Exploitability eXchange (VEX) tramite Microsoft Security Response Center (MSRC). Gli avvisi VEX consentono di determinare se una vulnerabilità influisce effettivamente sulla configurazione specifica anziché solo se è installato un pacchetto.
Le CVE di Azure Linux e ACL vengono pubblicate anche tramite l'API CVRF della Microsoft Security Update Guide (SUG), così da poter acquisire a livello di codice gli aggiornamenti di sicurezza Microsoft insieme ad altri avvisi sui prodotti Microsoft.
Applicare gli aggiornamenti della sicurezza
Mantenere aggiornato il sistema per ricevere correzioni di sicurezza. Il meccanismo corretto dipende dall'opzione di distribuzione.
In Azure Linux per utilizzo generico applicare gli aggiornamenti della sicurezza aggiornando i pacchetti con dnf:
sudo dnf update -y
In Azure Container Linux usare gli aggiornamenti delle immagini del nodo del servizio Azure Kubernetes nel canale NodeImage e non tentare di aggiornare singoli pacchetti nel sistema operativo non modificabile.
Convalidare le correzioni
In Azure Linux per utilizzo generico verificare le versioni dei pacchetti in base alle esigenze:
dnf info <PACKAGE_NAME>
In Azure Container Linux verificare che la versione dell'immagine del nodo in esecuzione (ad esempio, con az aks nodepool list --query '[].nodeImageVersion') corrisponda alla versione prevista.
Coordinarsi con gli scanner di vulnerabilità
Azure Linux e Azure Container Linux supportano strumenti comuni di analisi delle vulnerabilità. Per l'elenco degli scanner supportati, vedi soluzioni partner Azure Linux.
Dopo la pubblicazione degli avvisi VEX per Azure Linux e ACL, gli scanner che usano VEX possono segnalare con precisione se un pacchetto installato è effettivamente esposto a un determinato CVE in queste piattaforme, riducendo i falsi positivi.
Segnalare un problema di sicurezza
Segnalare le vulnerabilità di sicurezza sospette in Azure Linux o Azure Container Linux all'Microsoft Security Response Center (MSRC). Non segnalare le vulnerabilità di sicurezza tramite issue pubbliche su GitHub.