この記事では、Azure Linux と OS Guard の概要について説明します。これは、Azure Linux の堅牢で不変のバリアントです。 AKS 上のコンテナー ホストに対して、強力なランタイム整合性、改ざん防止、エンタープライズ レベルのセキュリティが提供されます。 Azure Linux 上に構築された OS Guard は、コードの整合性を適用し、承認されていない変更からルート ファイル システムを保護し、必須のアクセス制御を適用するカーネル機能とランタイム機能を追加します。 コンテナー ホストとワークロード ランタイムに関する昇格された保証が必要な場合は、OS Guard を使用します。
主な機能
次の表は、OS Guard を使用した Azure Linux の主な機能の概要を示しています。
| 特徴 | Description |
|---|---|
| 不変 | /usr ディレクトリは、dm-verity によって保護された読み取り専用ボリュームとしてマウントされます。 カーネルは実行時に、署名されたルート ハッシュを検証して改ざんを検出してブロックします。 |
| コードの整合性 | OS Guard は 、整合性ポリシー適用 (IPE) Linux セキュリティ モジュール を統合して、信頼された署名されたボリュームからのバイナリのみが実行できるようにします。 これにより、コンテナー イメージ内を含め、改ざんされたコードや信頼されていないコードが実行されるのを防ぐことができます。 注: IPE は、パブリック プレビュー中に監査モードで実行されています。 |
| 必須のアクセス制御 | OS Guard は SELinux を統合して、システム内の機密性の高いリソースにアクセスできるプロセスを制限します。 注: SELinux は、パブリック プレビュー中に許容モードで動作しています。 |
| メジャー ブートとトラステッド起動 | OS Guard は、測定されたブートをサポートし、 トラステッド起動 と統合して、仮想 TPM (vTPM) に格納されているブート コンポーネントの暗号化測定を提供します。 これは、カーネル、initramfs、およびカーネル コマンド ラインを 1 つの署名付き成果物にバンドルする Unified Kernel Image (UKI) を使用して実現されます。 起動時に、UKI が測定され、vTPM に記録され、最も早い段階からの整合性が確保されます。 |
| 検証済みコンテナー レイヤー | コンテナー イメージとレイヤーは、署名された dm-verity ハッシュを使用して検証されます。 これにより、検証済みのレイヤーのみが実行時に使用され、コンテナーのエスケープや改ざんのリスクが軽減されます。 また、IPE はコンテナー イメージ内で拡張されるため、検証済みレイヤーに存在する場合でも、信頼できる署名に一致するバイナリのみを実行できます。 注: IPE は、パブリック プレビュー中に監査モードで実行されています。 |
| 主権サプライチェーンのセキュリティ | OS Guard は、Azure Linux のセキュリティで保護されたビルド パイプライン、署名された統合カーネル イメージ (UKI)、およびソフトウェア部品表 (SBOM) を継承します。 |
主な利点
次の表は、OS Guard で Azure Linux を使用する主な利点の概要を示しています。
| 長所 | Description |
|---|---|
| 強力なランタイム整合性の保証 | カーネルによって強制される不変性と IPE は、改ざんされたコードまたは信頼されていないコードの実行を防ぎます。 |
| 攻撃対象領域の減少 | 読み取り専用の /usr ディレクトリ、パッケージ数の削減、SELinux ポリシーにより、攻撃者が永続的なバックドアをインストールしたり、システム バイナリを変更したりする機会が制限されます。 |
| サプライ チェーンの信頼 | Azure Linux の署名済みイメージとサプライ チェーン プロセスに基づいて構築され、システム コンポーネントに明確な実証を提供します。 |
| Azure セキュリティ機能との統合 | トラステッド起動とセキュア ブートのネイティブ サポートは、測定されたブート保護と構成証明を提供します。 |
| オープン ソースの透過性 | 基になるテクノロジ (dm-verity、SELinux、IPE) の多くはアップストリームまたはオープン ソースであり、Microsoft にはこれらの機能をサポートするためのツールと貢献があります。 |
| コンプライアンスの継承 | OS Guard は、Azure Linux からコンプライアンス プロパティ (Azure Linux で使用できる暗号化モジュールや認定など) を継承するため、規制された環境での導入が容易になります。 |
考慮事項と制限事項
OS Guard を使用する Azure Linux の次の考慮事項と制限事項に注意することが重要です。
- Os Guard を使用する Azure Linux には、Kubernetes バージョン 1.32.0 以降が必要です。
- OS Guard イメージを使用するすべての Azure Linux では、 Federal Information Process Standard (FIPS) と Trusted Launch が有効になっています。
- Azure CLI と ARM テンプレートは、プレビュー段階の AKS 上の OS Guard を使用する Azure Linux でサポートされている唯一のデプロイ方法です。 PowerShell と Terraform はサポートされていません。
- Arm64 イメージは、プレビュー段階の AKS 上の OS Guard を使用した Azure Linux ではサポートされていません。
-
NodeImageとNoneは、AKS 上の OS Guard を使用する Azure Linux でサポートされている唯一の OS アップグレード チャネル です。UnmanagedおよびSecurityPatchは、変更できない /usr ディレクトリのため、OS Guard を使用する Azure Linux と互換性がありません。 - アーティファクト ストリーミング はサポートされていません。
- ポッドサンドボックス はサポートされていません。
- Confidential Virtual Machines (CVM) は サポートされていません。
- Gen 1 仮想マシン (VM) は サポートされていません。
Azure Linux コンテナー ホスト オプションを選択する方法
OS Guard を使用した Azure Linux は Azure Linux 上に構築されており、同じサプライ チェーン保護と署名付きイメージの利点があります。 どちらの OS バリアントも、セキュリティ、コンプライアンス、運用要件に応じて適切です。
| コンテナー ホスト オプション | Azure Linux コンテナー ホスト | OS Guard を使用した Azure Linux |
|---|---|---|
| セキュリティ上の利点 | Azure Linux は、AKS ワークロードにとって重要と見なされるセキュリティ上の利点を提供します。 | Azure Linux のすべての利点と、上記の追加のセキュリティ上の利点。 |
| ユーザーの親しみやすさ | Ubuntu などの他の Linux ディストリビューションからのユーザーにはなじみがあります。 お客様が使用する操作とツールは、使い慣れていると感じるでしょう。 | 他のコンテナー最適化ディストリビューションを利用していたお客様にはなじみがあります。 |
| 対象ユーザー | リフト アンド シフト、移行、その他の Linux ディストリビューションからの移行を行うお客様を対象としています。 | クラウドで生まれた、または最新化を検討しているクラウドネイティブのお客様を対象としています。 |
| セキュリティ コントロール | セキュリティに配慮した顧客に必要に応じて AppArmor を有効にするオプション。 | SELinux や IPE などのセキュリティ トグルは、既定では許可されています。 |
次のステップ
AKS 用 Azure Linux OS Guard の使用を開始するには、次のリソースを参照してください。