Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln ger vi en översikt över Azure Linux med OS Guard, som är en härdad, oföränderlig variant av Azure Linux. Det ger stark integritet under körning, manipuleringsskydd och företagsnivåsäkerhet för containervärdar på AKS. Os Guard bygger på Azure Linux och lägger till kernel- och körningsfunktioner som framtvingar kodintegritet, skyddar rotfilsystemet från obehöriga ändringar och tillämpar obligatoriska åtkomstkontroller. Använd OS Guard när du behöver förhöjda garantier om din containervärd och körning av arbetsbelastningar.
Viktiga funktioner
I följande tabell beskrivs viktiga funktioner i Azure Linux med OS Guard:
| Feature | Description |
|---|---|
| Oföränderlighet | Katalogen /usr monteras som en skrivskyddad volym som skyddas av dm-verity. Vid körning validerar kerneln en signerad rothash för att identifiera och blockera manipulering. |
| Kodintegritet | OS Guard integrerar IPE-säkerhetsmodulen (Integrity Policy Enforcement) för att säkerställa att endast binärfiler från betrodda, signerade volymer tillåts köras. Detta förhindrar att manipulerad eller obetrodd kod körs, även i containeravbildningar. Obs! IPE körs i granskningsläge under offentlig förhandsversion. |
| Obligatorisk åtkomstkontroll | OS Guard integrerar SELinux för att begränsa vilka processer som kan komma åt känsliga resurser i systemet. Obs! SELinux fungerar i tillåtande läge under offentlig förhandsversion. |
| Mätad startsekvens och tillförlitlig startsekvens | OS Guard stöder uppmätt start och integreras med Betrodd start för att tillhandahålla kryptografiska mätningar av startkomponenter som lagras i en virtuell TPM (vTPM). Detta uppnås med hjälp av en enhetlig kernelavbildning (UKI), som buntar kernel-, initramfs- och kernelkommandoraden i en enda signerad artefakt. Under uppstart mäts och registreras UKI i vTPM, vilket säkerställer integritet från den tidigaste fasen. |
| Verifierade containerlager | Containeravbildningar och lager verifieras med hjälp av signerade dm-verity-hashar. Detta säkerställer att endast verifierade lager används vid körning, vilket minskar risken för containerflykt eller manipulering. IPE utökas också i containeravbildningar, vilket säkerställer att endast binärfiler som matchar en betrodd signatur kan köras, även om de finns i ett verifierat lager. Obs! IPE körs i granskningsläge under offentlig förhandsversion. |
| Säkerhet i statsägd leveranskedja | OS Guard ärver Azure Linuxs säkra byggpipelines, signerade Unified Kernel Images (UKIs) och Software Bill of Materials (SBOM). |
Viktiga fördelar
I följande tabell beskrivs de viktigaste fördelarna med att använda Azure Linux med OS Guard:
| Fördel | Description |
|---|---|
| Stark garanti för körningsintegritet | Kärnkontrollerad oföränderlighet och IPE förhindrar körning av förändrad eller icke-betrodd kod. |
| Minskad angreppsyta | En skrivskyddad /usr-katalog, minskat antal paket och SELinux-principer begränsar möjligheterna för en angripare att installera beständiga bakdörrar eller ändra systembinärfiler. |
| Förtroende för leveranskedjan | Bygger på Azure Linux signerade avbildningar och leveranskedjeprocesser, vilket ger tydlig härkomst för systemkomponenter. |
| Integrering med Azure-säkerhetsfunktioner | Inbyggt stöd för betrodd start och säker start ger uppmätta startskydd och attestering. |
| Transparens med öppen källkod | Många av de underliggande teknikerna (dm-verity, SELinux, IPE) är uppströms eller öppen källkod, och Microsoft har verktyg och bidrag för att stödja dessa funktioner. |
| Arv av efterlevnad | OS Guard ärver efterlevnadsegenskaper från Azure Linux (till exempel kryptografiska moduler och certifieringar som är tillgängliga för Azure Linux), vilket gör det enklare att använda i reglerade miljöer. |
Överväganden och begränsningar
Det är viktigt att vara medveten om följande överväganden och begränsningar för Azure Linux med OS Guard:
- Kubernetes version 1.32.0 eller senare krävs för Azure Linux med OS Guard.
- Alla Azure Linux med OS Guard-avbildningar har FIPS (Federal Information Process Standard) och Trusted Launch aktiverat.
- Azure CLI- och ARM-mallar är de enda distributionsmetoder som stöds för Azure Linux med OS Guard på AKS i förhandsversionen. PowerShell och Terraform stöds inte.
- Arm64-avbildningar stöds inte med Azure Linux med OS Guard på AKS i förhandsversionen.
-
NodeImageochNoneär de enda operativsystemuppgraderingskanalerna som stöds för Azure Linux med OS Guard på AKS.UnmanagedochSecurityPatchär inte kompatibla med Azure Linux med OS Guard på grund av den oföränderliga /usr-katalogen. - Artefaktströmning stöds inte.
- Poddsandboxning stöds inte.
- Konfidentiella virtuella datorer stöds inte.
- Gen 1 virtuella datorer (VM) stöds inte.
Så här väljer du ett azure Linux-containervärdalternativ
Azure Linux med OS Guard bygger på Azure Linux och drar nytta av samma leveranskedjeskydd och signerade avbildningar. Båda operativsystemvarianterna kan vara lämpliga beroende på säkerhet, efterlevnad och driftskrav:
| Alternativ för servervärd för container | Azure Linux Container Host | Azure Linux med OS Guard |
|---|---|---|
| Säkerhetsfördelar | Azure Linux ger de säkerhetsfördelar som Microsoft anser vara viktiga för AKS-arbetsbelastningar. | Alla fördelar med Azure Linux plus de extra säkerhetsfördelar som nämns ovan. |
| Användarkännadhet | Bekant för kunder som kommer från andra Linux-distributioner som Ubuntu. Åtgärder och verktyg som kunder använder kommer att kännas bekanta. | Bekant för kunder som kommer från andra containeroptimerade distributioner. |
| Målgrupp | Inriktat på kunder som genomför flytt och skift, migreringar samt kommer från andra Linux-distributioner. | Mål för molnbaserade kunder som är födda i molnet eller som vill modernisera. |
| Säkerhetskontroller | Alternativ för att aktivera AppArmor om det behövs för säkerhetsmedvetna kunder. | Säkerhetsväxlingar som SELinux och IPE är tillåtna som standard. |
Nästa steg
Information om hur du kommer igång med Azure Linux OS Guard för AKS finns i följande resurser: