Delen via

Beveiligingsoverwegingen voor Red Hat Enterprise Linux in Azure

  • Artikel

In dit artikel worden overwegingen en aanbevelingen beschreven voor het implementeren van beveiliging in uw RhEL-omgeving (Red Hat Enterprise Linux). Als u beveiliging wilt bieden voor uw RHEL-systemen, gebruikt u een benadering die gericht is op meerdere gebieden. Beveiliging vereist dat alle teams samenwerken om uw workloads te beveiligen. Producten of platforms die u implementeert, kunnen niet alleen zorgen voor beveiliging voor uw omgeving.

Implementeer en houd zich aan een strikt proces dat gedrags-, administratieve en technische onderdelen omvat. Wanneer u RHEL implementeert in een Azure-landingszone, moet u verschillende beveiligingsfactoren evalueren. Als u een veilige en tolerante cloudomgeving wilt maken, implementeert u een strategische benadering die zowel Azure- als Red Hat-beveiligingsmechanismen toepast.

Ontwerpoverwegingen

Als u beveiliging wilt bieden voor RHEL-systemen, in Azure of elders, moet u beginnen met geverifieerde en gevalideerde inhoud. In moderne cloudomgevingen kunnen binaire bestanden en code afkomstig zijn van een groot aantal bronnen. Beveilig uw software supply chain als eerste overweging voor uw implementatie.

Afbeeldingen beperken

U vindt installatiekopieën in Azure Marketplace en privéproductensecties waarin De regio's Red Hat, of Red Hat Limited in Europa, Midden-Oosten en Afrika (EMEA) de record publiceert. Red Hat en Microsoft verifiëren en valideren deze installatiekopieën om de bronintegriteit te waarborgen en veilige standaardconfiguraties te bieden voor RHEL-besturingssysteemexemplaren.

Als u wilt voldoen aan de runtimebeveiligingsvereisten van uw organisatie voor de doelworkload, configureert u exemplaren die u op basis van deze installatiekopieën bouwt. Gebruik gepubliceerde Red Hat-installatiekopieën van Azure Marketplace om uw RHEL-systemen te implementeren om uw beveiligingsmaatregelen te stroomlijnen. Volg de Red Hat-richtlijnen voor systeem- en installatiekopiespecificaties voor uw workload. Als u het kwetsbaarheid voor aanvallen wilt verminderen, begint u met een minimale, door Azure geoptimaliseerde RHEL-installatiekopieën. U hoeft niet alle exemplaren van deze basisinstallatiekopieën te maken en te configureren. Om te voldoen aan verschillende hardeningsvereisten, raden we u aan om samenstelbare onderdelen te gebruiken om workloadspecifieke installatiekopieën te bouwen.

U kunt ook GitOps-procedures gebruiken om pijplijnen voor installatiekopieën te ontwikkelen. Deze benadering is een superieure methodologie. Met deze pijplijnen worden de composeerbare onderdelen, gedefinieerd als configuratiecode, op de eerste installatiekopieën geplaatst om de workloadinstallatiekopieën te produceren.

Als u afbeeldingen effectief wilt gebruiken, moet u de volgende overwegingen implementeren:

  • Maak een beperkte basisinstallatiekopieën die voldoen aan het model van minimale bevoegdheden om een solide basis te bieden.

  • Laag software- en beveiligingsconfiguratie om hergebruik te bevorderen en de standaardbesturingssysteemomgeving en Aanbevolen procedures voor DevSecOps te volgen.

  • Gebruik samenstellingsmodellen voor afbeeldingen om test- en kwalificatie-inspanning te verminderen en de onderhoudskosten te verlagen.

  • Gebruik samenstellingsmodellen om de flexibiliteit te vergroten en de leveringstijd voor nieuwe workloads te versnellen.

  • Automatiseer het build-, test- en leveringsproces van installatiekopieën voor het model.

Installatiekopieën bijwerken

U moet uw afbeeldingen ook regelmatig bijwerken. Tijdelijke exemplaren hebben waarschijnlijk een recentere installatiekopieën, omdat u deze doorgaans implementeert vanuit een huidige installatiekopieën. Maar u moet regelmatig langer staande exemplaren bijwerken met behulp van een centraal patchsysteem. Deze stap helpt u bij het onderzoeken van de toestand van gepatchte systemen in uw omgeving. Wanneer u de variabiliteit van de implementatie minimaliseert, wordt de bewakingsruis verminderd en kunt u afwijkingen nauwkeuriger en sneller identificeren. Deze aanpak verhoogt het slagingspercentage van geautomatiseerde detectie en herstelinspanningen.

Als u strikte toegangscontroles wilt onderhouden, kunt u overwegen om een gecentraliseerd systeem te implementeren. Veel opensource-projecten en commerciële off-the-shelf-toepassingen bieden eenvoudige implementatievoorbeelden die gebruikmaken van lokale accounts of lokaal geïmplementeerde openbare sleutels. Deze voorbeelden kunnen een veilige configuratie bieden, maar naarmate de cloudvoetafdruk toebreidt, kan de inspanning om gelokaliseerde configuratie te onderhouden, zelfs met automatisering, problematisch worden. Automatiseringsbelasting neemt lineair toe bij elk exemplaar, maar de belasting van beveiligingslogboeken en bewaking kan met een exponentiële snelheid escaleren. Deze wijzigingen genereren een overmatige belasting voor reken-, opslag- en analyseresources. Gecentraliseerd toegangsbeheer vermindert configuratiepunten, wat automatiserings- en logboekbelasting vermindert, wijzigingen minimaliseert en de controlebaarheid vereenvoudigt terwijl strikte controles op de toegang tot resources worden gehandhaafd.

Op gebieden waar uw workload naleving van cryptografische standaarden en nalevingsbasislijnen vereist, kunt u overwegen geïntegreerde platformmogelijkheden te gebruiken die open standaarden ondersteunen om compatibiliteit met de cloudworkloads te garanderen. Red Hat en Microsoft houden zich aan en nemen deel aan wereldwijde standaarden en bieden passende hulpmiddelen. Veel configuratiebestanden voor een afzonderlijk exemplaar hebben bijvoorbeeld een cryptografische coderingsconfiguratie voor systeemservices en toepassingen. Variantie kan gemakkelijk optreden in systemen binnen een doelworkload en in een vloot. Als u uw nalevingsmetingen wilt definiëren, kunt u overwegen open standaarden te gebruiken. Zowel Red Hat- als Microsoft-hulpprogramma's gebruiken gestandaardiseerde bestandsindelingen om de meest recente beveiligings- en configuratiegegevens te bieden. Red Hat biedt up-to-date OVAL-feeds (Open Vulnerability and Assessment Language) van het Red Hat Product Security-team voor red hat-platformonderdelen.

Azure biedt unieke mogelijkheden voor het gebruik van cloudspecifieke functies en het onderhouden van best practices voor beveiliging en naleving. Beveiligingsfuncties en -services binnen de Azure-infrastructuur omvatten:

  • Vertrouwde start voor VM's: HET BIOS en de configuratie van het beveiligde exemplaar. U kunt een vertrouwde start voor VM's gebruiken om het opstartproces te beveiligen. Dit zorgt ervoor dat VM's worden opgestart met geverifieerde code.

  • Azure Disk Encryption in Azure Key Vault: Data-at-rest versleutelen. Als u data-at-rest wilt beveiligen, gebruikt u Azure-schijfversleuteling in Key Vault om versleutelingssleutels en geheimen te beheren. Key Vault ondersteunt twee typen containers: kluizen en HSM-pools (Managed Hardware Security Module). U kunt software, met HSM ondersteunde sleutels, geheimen en certificaten opslaan in kluizen.

  • Microsoft Defender voor Cloud: gecentraliseerde systeemcontrole garanderen. Defender voor Cloud kan een gecentraliseerde viewport bieden voor geïntegreerd beveiligingsbeheer en beveiliging tegen bedreigingen.

Ontwerpaanaanvelingen

Wanneer u RHEL-omgevingen in Azure ontwerpt, profiteert u van systeemeigen red Hat-beveiligingsmogelijkheden en azure-cloudbeveiligingsfuncties om een robuuste, veilige en efficiënte implementatie te garanderen. Begin met een installatiekopieën die u behard en bouwt met bekende gevalideerde binaire bestanden. RHEL-installatiekopieën in Azure Marketplace zijn gestroomlijnd voor cloudprestaties en -beveiliging. Als u specifieke beveiligingsvereisten voor uw bedrijf hebt, moet u beginnen met uw eigen aangepaste, beperkte installatiekopie die u bouwt op basis van binaire bestanden in Red Hat. Red Hat Satellite kan Red Hat-, Microsoft- en partnercode of uw aangepaste toepassingscode onderhouden en beheren. Satelliet kan de code valideren via referenties en handtekeningen voor beheerde inhoud. RHEL controleert de consistentie en authenticiteit van software van de bron naar de schijf.

Wanneer u Azure- en Red Hat-beheerhulpprogramma's gebruikt om geautomatiseerde werkstromen te ontwikkelen, raadt Red Hat u aan gecertificeerde Ansible Automation Platform-verzamelingen te gebruiken.

Zorg ervoor dat uw werkstromen:

  • Installatiekopieën voor basislijnen en workloads genereren, onderhouden en testen.
  • Tijdelijke instanties testen en implementeren.
  • Patchcyclustest en permanente VM-exemplaren leveren.
  • Automatiseringspijplijnen gebruiken. Automatiseringspijplijnen verminderen de beheerinspanningen aanzienlijk, zorgen voor consistente beleidshandhaving, verbeteren anomaliedetectie en versnellen herstel in RHEL-landingszones.

Overweeg ook om Azure Compute Gallery te gebruiken. U kunt uw Red Hat-installatiekopie bouwen met alle vereiste beveiligingsmechanismen die u in uw organisatie gebruikt en een installatiekopie van die VM maken. Vervolgens kunt u beveiligingsconforme installatiekopieën delen tussen abonnementen en regio's in uw Azure-omgeving. U kunt versiebeheer ook gebruiken voor een gedetailleerdere controle over VM-installatiekopieën. Deze aanpak helpt u bij het samenvoegen van beveiligingspatches en hulpprogramma's voor rekenexemplaren die u in uw omgeving gebruikt.

Overweeg om Azure Update Manager te implementeren als onderdeel van uw updatebeheerproces. Update Manager is een geïntegreerde service die u kunt gebruiken om updates in uw implementaties te bewaken. Gebruik Update Manager om uw hele vloot machines in Azure, on-premises en in andere clouds te onderzoeken.

Identiteit en toegang beheren

Integreer Red Hat Identity Management (IdM) om strikt toegangsbeleid centraal af te dwingen. IdM maakt gebruik van vertrouwensrelaties en OpenID Connect-integraties om de systeemeigen Linux-implementatie van de volgende functies te consolideren in een bedrijfsbeveiligingsmodel zonder referentiesynchronisatie.

  • Op rollen gebaseerd toegangsbeheer (RBAC)
  • Toegangsbeheer op basis van host
  • Escalatiebeleid voor bevoegdheden
  • SELinux-beleid voor gebruikerstoewijzing
  • Andere kritieke Linux-services

In vergelijking met traditionele Linux-implementaties genereert deze benadering voordelen, zoals:

  • Gestroomlijnd wijzigingsbeheer via gereduceerde contactpunten voor automatisering.
  • Verminderde belasting van logboekregistratie en analyse.
  • Naleving van verificatiecontrolevereisten.
  • Beleidsconsistentie.

IdM biedt voordelen voor het beheren van gecentraliseerd Linux-beveiligingsbeleid.

Red Hat raadt u aan SELinux in te schakelen en uit te voeren op alle RHEL-exemplaren, waaronder ontwikkel-, test- en productieomgevingen. Alle door Red Hat geproduceerde installatiekopieën en installaties kunnen SELinux standaard uitvoeren in de afdwingingsmodus. Wanneer u workloadimplementaties ontwerpt, kunt u SELinux uitvoeren in de permissieve modus voor het hele exemplaar of voor afzonderlijke services binnen het exemplaar. Vervolgens kunnen ontwikkel-, beveiligings- en operationele teams de toegangskenmerken van toepassingen bepalen en auditlogboekgegevens gebruiken met SELinux-hulpprogramma's om geschikt SELinux-beleid te genereren voor de doelworkload.

SELinux-hulpprogramma's voor het genereren van beleid kunnen op RPM gebaseerde beleidsbestanden genereren die moeten worden opgenomen in inhoudsopslagplaatsen voor gestandaardiseerde implementatie van installatiekopieën. Ontwikkel-, beveiligings- en operationele teams kunnen artefacten upstream leveren op een iteratieve manier binnen de pijplijn. Nadat het testen heeft vastgesteld dat er geen SELinux-schendingen worden gegenereerd, kunt u de SELinux-configuratie instellen op het afdwingen van de modus. SELinux-schendingen die tijdens de productie worden gegenereerd, geven een aanzienlijke afwijking aan van acceptabel toepassingsgedrag. U moet deze schendingen markeren en onderzoeken. Gebruik SELinux om uitgebreide zichtbaarheid en proactief bedreigingsbeheer te bieden.

Als u de RBAC-rollen wilt definiëren die u aan RHEL-machines toewijst, begrijpt u de rollen en verantwoordelijkheden in uw team. Relevante teams hebben mogelijk verhoogde toegang tot virtuele machines (VM's) nodig. Overweeg inzender voor virtuele machines, lezer van virtuele machines en vergelijkbare rollen voor toegang tot VM's. Overweeg Just-In-Time-toegang als u geen permanente toegang nodig hebt. Overweeg beheerde identiteiten als het RHEL-systeem moet worden geverifieerd met Azure. Door het systeem toegewezen beheerde identiteiten bieden meer beveiliging dan service-principals en zijn gekoppeld aan de VM-resource. Naast RBAC-rollen kunt u voorwaardelijke toegang overwegen voor personen die toegang nodig hebben tot uw Azure-omgeving. Gebruik voorwaardelijke toegang om de toegang van gebruikers tot uw Azure-omgeving te beperken op basis van de locatie, het IP-adres en andere criteria.

Antivirussoftware gebruiken

Zorg ervoor dat u de juiste antivirussoftware op uw RHEL-computer hebt. Overweeg onboarding Microsoft Defender voor Eindpunt op Linux voor bescherming tegen de nieuwste beveiligingsproblemen. Houd er rekening mee dat u Defender voor Cloud Standard niet moet inschakelen op RHEL-machines die u gebruikt om SAP-databases te hosten. Zorg ervoor dat elke RHEL-machine en -workload uw Endpoint Protection-software kan uitvoeren.

Geheimen beheren

Red Hat raadt u aan om waar mogelijk een cryptografisch beleid voor het hele systeem in te stellen op alle exemplaren. U kunt cloudimplementaties op diversiteit karakteriseren. Workloadteams kiezen hun eigen bibliotheken, talen, hulpprogramma's en cryptografische providers om te voldoen aan de behoeften van hun specifieke oplossingen. Implementatie van standaarden, factoring van toepassingsonderdelen, composabiliteit en andere technieken kunnen de variabiliteit verminderen, maar u configureert cryptografische instellingen voor toepassingen en services op meerdere plaatsen binnen een bepaald exemplaar.

Voor het gevoelig configureren van nieuwe onderdelen zijn aanzienlijke inspanningen en vaak diepgaande cryptografische kennis vereist. Verouderde of onjuist geconfigureerde cryptografische beleidsregels maken risico's. Een cryptografisch beleid voor het hele systeem is afgestemd op de configuratie van de cryptografische kernsubsystemen, die betrekking hebben op de Protocollen Transport Layer Security (TLS), Internet Protocol Security (IPSec), Domain Name System Security Extensions (DNSSEC) en Kerberos-protocollen. Een CRYPTOGRAFISCH STANDAARDbeleid voor RHEL implementeert een conservatieve configuratie die een hele klasse bedreigingen elimineert door verouderde communicatieprotocollen, zoals TLS v1.1 en eerdere versies, uit te schakelen. FUTURE- en FIPS-beleid bieden strengere configuraties. U kunt ook aangepaste beleidsregels maken.

U kunt RHEL-systeemcontrole- en beveiligingsnalevingshulpprogramma's opnemen. Richt u op geautomatiseerd scannen en herstel dat overeenkomt met industriestandaarden.

  • De RHEL-controledaemon wordt gecontroleerd en de centrale logboekregistratie-daemon wordt vastgelegd. Azure Monitor kan gegevens opnemen uit gecontroleerde en logboeken voor het bewaken van beveiligingsgebeurtenissen van het RHEL-systeem en het invoeren van Microsoft Sentinel of andere SIEM-services (Security Information and Event Management).

  • RHEL-systemen die moeten voldoen aan de COMPLIANCE van Defense Information Systems Agency Security Technical Implementation Guide (DISA-STIG) vereisen het hulpprogramma Advanced Intrusion Detection Environment (AIDE). U moet AIDE-uitvoer vastleggen in Azure.

Bewaak en integreer met Ansible Automation Platform om kritieke systeembestanden te identificeren, erop te waarschuwen en te herstellen.

Gebruik gratis onderdelen op besturingssysteemniveau op alle RHEL-exemplaren op basis van Azure.

  • Het uitvoeringsbeleid voor code afdwingen: gebruik de fapolicyd-daemon om de toepassingen te beperken die kunnen worden uitgevoerd in het RHEL-exemplaar.

  • Beheer inkomend en uitgaand verkeer van exemplaren: gebruik firewalls met Azure-netwerkbeveiligingsgroepen (NSG's) om verkeer van noord- en zuidwaartse verbindingen naar VM's effectief te beheren.

  • Configuratie centraal beheren via automatisering: gebruik de GitOps-methodologie om consistent configuratiebeheer te garanderen tijdens de implementatie en continu door dagelijkse bewerkingen van RHEL-workloads.

  • FIPS-nalevingsmodus implementeren voor overheidsworkloads: Zorg ervoor dat aangewezen RHEL-exemplaren worden uitgevoerd in de FIPS-modus om te voldoen aan cryptografische standaarden. Gebruik Azure-nalevingsaanbiedingen voor een uitgebreid nalevingspostuur.

  • Voer SELinux altijd uit: Gebruik SELinux in de permissieve modus om toegangsprofielen voor workloads te identificeren en ervoor te zorgen dat het juiste beleid wordt uitgevoerd om SELinux uit te voeren in de modus voor het afdwingen van RHEL-VM's. SELinux vermindert de kwetsbaarheid voor aanvallen aanzienlijk op toepassingen en services die worden uitgevoerd in Azure.

Registreer RHEL-servers bij Red Hat Insights via Red Hat Satellite. Red Hat Insights maakt gebruik van de analyse van de probleemoplossingsdatabase van Red Hat. Inzichten gebruiken deze analyse om proactief herstelbewerkingen te identificeren en te genereren voor implementatie- en configuratieproblemen voordat ze van invloed zijn op bewerkingen. Deze strategie verbetert de beveiligingspostuur en operationele efficiëntie. Elk RHEL-abonnement bevat Inzichten. Alle RHEL-cloudabonnementen omvatten een Red Hat Satellite-abonnement. U kunt ook een Red Hat Satellite-abonnement aanschaffen met uw Cloud Access RHEL-abonnementen.

Notitie

Insights verzendt telemetriesysteemgegevens buiten Azure.

Netwerken configureren

U kunt NSG's toepassen op het niveau van de netwerkinterface of het subnetniveau. We raden het subnetniveau aan, tenzij specifieke vereisten een NSG vereisen op netwerkinterfaceniveau. Deze aanpak vereenvoudigt het beheer van netwerkcommunicatie. U kunt toepassingsbeveiligingsgroepen gebruiken om toepassingscommunicatie toe te staan, waardoor de communicatie tussen subnetten holistisch wordt gesegmenteerd. Bepaal welke benadering het beste past bij uw scenario en zorg ervoor dat RHEL-machines over de juiste toegang tot internet beschikken voor vereiste opslagplaatsen. Mogelijk moet u url's voor deze opslagplaatsen in de meest vergrendelde omgevingen toestaan. Privé-eindpunten zorgen ervoor dat het enige verkeer dat een Azure-resource standaard kan ontvangen, verkeer is dat afkomstig is van het Azure-netwerk, inclusief verbindingen van on-premises als u een Azure-gateway hebt.

SIEM- of SOAR-hulpprogramma's implementeren

Overweeg Microsoft Sentinel voor hulpprogramma's voor beveiligingsindeling, automatisering en respons (SOAR) of SIEM-hulpprogramma's voor uw RHEL-systemen. Microsoft Sentinel maakt gebruik van AI om aan te passen hoe bedreigingen voor het systeem worden gedetecteerd. U kunt reacties op aanvallen automatiseren via runbooks. Gebruik Microsoft Sentinel voor proactieve detectie van bedreigingen, opsporing van bedreigingen en reactie op bedreigingen.

Vertrouwelijke computing overwegen

RHEL bevat een vertrouwelijke installatiekopieën voor bepaalde OPTIES van het RHEL-besturingssysteem. Overweeg gebruiksvoorbeelden voor confidential computing.

Volgende stappen