Azure Linux は、ブート、ランタイム、更新の各ワークフローにわたって、既定でセキュリティで保護されたベースライン保護と階層型保護を使用して構築されています。 この記事では、セキュリティ モデル、主要な機能、および Azure Linux でセキュリティ設定を検証するための推奨事項について説明します。
Note
Azure Linux 4.0 は現在、preview であり、評価とテストの目的に厳密に限定されています。 運用環境での使用には適していません。
セキュリティ モデル
次の表は、Azure Linux の設計をガイドする主要なセキュリティ原則と、それらがプラットフォーム全体でどのように実装されるかをまとめたものです。
| セキュリティの原則 | Azure Linux での実装 |
|---|---|
| デフォルトで安全が確保されています | 最小パッケージ セット、キーのみの SSH 認証、ファイアウォールが有効 |
| 多層防御 | SELinux の必須アクセス制御、ネットワークのセキュリティ強化 |
| 最小特権 | SELinux ポリシー、カーネル機能の制限 |
コア セキュリティ機能
既定のベースラインでセキュリティ保護
- 強化されたカーネル: ASLR、スタック カナリア、およびポインターの制限を使用します。
- 最小パッケージ セット: コア オペレーティング システム (OS) 機能に不可欠なパッケージのみ。 基本イメージには、レガシ プロトコル、開発ツール、または重要でないデーモンはありません。
- 既定では、外部ネットワーク接続なし: ファイアウォールによって、SSH を除くすべての受信トラフィックが拒否されます。
- キーのみの SSH 認証: パスワード認証が無効になっています。
- パッケージの整合性: すべてのパッケージとリポジトリのメタデータが GPG 署名されています。
ランタイム保護
- SELinux: Enforcing モードです。 事前にラベル付けされたパッケージを含む対象ポリシー。
- eBPF のセキュリティ強化: 特権のない BPF が無効で、インタープリターが JIT を優先して無効になっています。
ネットワークのセキュリティ
- firewalld: nftables バックエンドで既定で有効になっています。
- ネットワーク sysctl のセキュリティ強化: 厳密な逆パス フィルター処理、ICMP リダイレクトが無効、SYN Cookie が有効。
- IPv6: セキュリティ強化設定が適用された状態で有効になります。
ID とアクセス
- SSSD/realmd: Active Directoryと LDAP を使用したハイブリッド ID シナリオで、Azure Linux リポジトリから使用できます。
暗号技術
- FIPS 140-3: シンプルな有効化メカニズムを使用して検証された暗号化モジュール。
- 量子後暗号化: ハイブリッド キー交換のサポート ML-KEM。
- システム暗号化ライブラリ: アプリケーションは OS レベルの暗号化を使用できます。
ログ記録、監査、監視
- auditd: 既定で有効になっています。ルール プロファイルは /usr/share/audit-rules/ に付属しており、必要なプロファイルを /etc/audit/rules.d/ にコピーすることでアクティブ化できます。
- journald: 構造化された JSON 出力を持つ永続的なストレージ。
脆弱性スキャンの統合
Azure Linux では、一般的な脆弱性スキャンとセキュリティ ツールとの統合がサポートされています。 サポートされているツールの一覧については、「Azure Linux パートナー ソリューションを参照してください。
関連するコンテンツ
Azure Linux および Azure Container Linux (ACL) - Azure Linux 機能ロードマップ