Dela via


Säkerhetsöverväganden för Red Hat Enterprise Linux i Azure

Den här artikeln beskriver överväganden och rekommendationer för att implementera säkerhet i din Red Hat Enterprise Linux-miljö (RHEL). För att tillhandahålla säkerhet för dina RHEL-system använder du en metod som riktar sig mot flera områden. Säkerhet kräver att alla team arbetar tillsammans för att skydda dina arbetsbelastningar. Produkter eller plattformar som du distribuerar kan inte bara garantera säkerheten för din miljö.

Implementera och följ en rigorös process som omfattar beteendemässiga, administrativa och tekniska komponenter. När du distribuerar RHEL i en Azure-landningszon måste du utvärdera flera säkerhetsfaktorer. För att skapa en säker och elastisk molnmiljö implementerar du en strategisk metod som tillämpar både Azure- och Red Hat-säkerhetsmekanismer.

Utformningsbeaktanden

För att tillhandahålla säkerhet för RHEL-system, i Azure eller någon annanstans, se till att du börjar med verifierat och verifierat innehåll. I moderna molnmiljöer kan binärfiler och kod komma från en mängd olika källor. Som ditt första övervägande för distributionen bör du skydda din leverantörskedja för programvara.

Härda bilder

Du kan hitta bilder i Azure Marketplace och privata produkterbjudandeavsnitt där Red Hat- eller Red Hat Limited-regioner i Regionerna Europa, Mellanöstern och Afrika (EMEA) publicerar posten. Red Hat och Microsoft verifierar och verifierar dessa avbildningar för att säkerställa källintegriteten och tillhandahålla säkra standardkonfigurationer för RHEL-operativsysteminstanser.

För att uppfylla organisationens krav på körningssäkerhet för målarbetsbelastningen konfigurerar du korrekt instanser som du skapar från dessa avbildningar. För att effektivisera dina säkerhetsåtgärder använder du Red Hat-publicerade avbildningar från Azure Marketplace för att distribuera dina RHEL-system. Följ Red Hat-vägledningen för system- och bildspecifikationer för din arbetsbelastning. För att minska attackytan börjar du med en minimal, Azure-optimerad RHEL-avbildning. Du behöver inte skapa och konfigurera alla instanser från den här basavbildningen. För att uppfylla olika härdningskrav rekommenderar vi att du använder komposterbara komponenter för att skapa arbetsbelastningsspecifika avbildningar.

Du kan också använda GitOps-metoder för att utveckla avbildningspipelines. Den här metoden är en överlägsen metodik. Dessa pipelines lagrar de sammansättningsbara komponenterna, definierade som konfigurationskod, på den första avbildningen för att skapa arbetsbelastningsbilderna.

Implementera följande överväganden för att effektivt använda avbildningar:

  • Skapa en härdad basavbildning som följer modellen med minsta möjliga behörighet för att ge en solid grund.

  • Lagerprogramvara och säkerhetskonfiguration tillsammans för att främja återanvändning och följa bästa praxis för standardoperativmiljö och DevSecOps.

  • Använd kompositionsmodeller för bilder för att minska test- och kvalificeringsarbetet och minska underhållskostnaderna.

  • Använd kompositionsmodeller för att öka flexibiliteten och påskynda leveranstiden för nya arbetsbelastningar.

  • Automatisera bygg-, testnings- och leveransprocessen för avbildningar för modellen.

Uppdatera avbildningar

Du bör också uppdatera dina bilder regelbundet. Tillfälliga instanser har förmodligen en mer uppdaterad avbildning eftersom du vanligtvis distribuerar dem från en aktuell avbildning. Men du bör regelbundet uppdatera långvariga instanser med hjälp av ett centralt korrigeringssystem. Det här steget hjälper dig att undersöka tillståndet för korrigerade system i din miljö. När du minimerar distributionsavvikelsen minskar övervakningsbruset och du kan identifiera avvikelser mer exakt och snabbt. Den här metoden ökar antalet lyckade automatiserade identifierings- och reparationsåtgärder.

Överväg att implementera ett centraliserat system för att upprätthålla strikta åtkomstkontroller. Många projekt med öppen källkod och kommersiella program som inte är färdiga tillhandahåller enkla distributionsexempel som använder lokala konton eller lokalt distribuerade offentliga nycklar. De här exemplen kan ge en säker konfiguration, men i takt med att molnfotavtrycket ökar kan det bli problematiskt att upprätthålla lokaliserad konfiguration, även med automatisering. Automation-belastningen ökar linjärt med varje instans, men säkerhetsloggning och övervakningsbelastning kan eskalera exponentiellt. Dessa ändringar genererar en överdriven belastning på beräknings-, lagrings- och analysresurser. Centraliserad åtkomstkontroll minskar konfigurationsplatserna, vilket minskar automatiserings- och loggningsbelastningen, minimerar ändringar och förenklar granskningsbarheten samtidigt som strikta kontroller för resursåtkomst upprätthålls.

I områden där din arbetsbelastning kräver kompatibilitet med kryptografiska standarder och efterlevnadsbaslinjer bör du överväga att använda integrerade plattformsfunktioner som stöder öppna standarder för att säkerställa kompatibilitet med molnarbetsbelastningarna. Red Hat och Microsoft följer och deltar i globala standardiseringsorgan och tillhandahåller lämpliga verktyg. Många konfigurationsfiler i en enskild instans har till exempel kryptografisk chifferkonfiguration för systemtjänster och program. Varians kan enkelt förekomma mellan system i en målarbetsbelastning och i en flotta. Om du vill definiera dina efterlevnadsmätningar bör du överväga att använda öppna standarder. Både Red Hat- och Microsoft-verktyg använder standardiserade filformat för att tillhandahålla de senaste sårbarhets- och konfigurationsdata. Red Hat tillhandahåller uppdaterade OVAL-feeds (Open Vulnerability and Assessment Language) från Red Hat Product Security-teamet för Red Hat-plattformskomponenter.

Azure erbjuder unika möjligheter att använda molnspecifika funktioner och upprätthålla bästa praxis för säkerhet och efterlevnad. Säkerhetsfunktioner och tjänster i Azure-infrastrukturen omfattar:

  • Betrodd start för virtuella datorer: SÄKER instans-BIOS och konfiguration. Du kan använda betrodd start för virtuella datorer för att skydda startprocessen, vilket säkerställer att virtuella datorer startar med verifierad kod.

  • Azure-diskkryptering i Azure Key Vault: Kryptera vilande data. Om du vill skydda vilande data använder du Azure-diskkryptering i Key Vault för att hantera krypteringsnycklar och hemligheter. Key Vault stöder två typer av containrar: valv och HSM-pooler (Managed Hardware Security Module). Du kan lagra programvara, HSM-säkerhetskopierade nycklar, hemligheter och certifikat i valv.

  • Microsoft Defender för molnet: Kontrollera centraliserad systemgranskning. Defender for Cloud kan tillhandahålla en centraliserad vyport för enhetlig säkerhetshantering och skydd mot hot.

Designrekommendationer

När du utformar RHEL-miljöer i Azure kan du dra nytta av Red Hat-inbyggda säkerhetsfunktioner och Azure-molnsäkerhetsfunktioner för att säkerställa en robust, säker och effektiv distribution. Börja med en avbildning som du härdar och skapar med kända verifierade binärfiler. RHEL-avbildningar på Azure Marketplace effektiviseras för molnprestanda och säkerhet. Om du har specifika säkerhetskrav för ditt företag bör du börja med din egen anpassade, härdade avbildning som du skapar från Binärfiler med Red Hat-källa. Red Hat Satellite kan underhålla och hantera Red Hat, Microsoft och partnerkod eller din anpassade programkod. Satellit kan verifiera koden via autentiseringsuppgifter och signaturer för hanterat innehåll. RHEL verifierar konsekvensen och äktheten hos programvara från källan till disken.

När du använder Azure- och Red Hat-hanteringsverktyg för att utveckla automatiserade arbetsflöden rekommenderar Red Hat att du använder certifierade Ansible Automation Platform-samlingar.

Kontrollera att dina arbetsflöden:

  • Generera, underhålla och testa baslinje- och arbetsbelastningsbilder.
  • Testa och distribuera tillfälliga instanser.
  • Testa korrigeringscykeln och leverera beständiga VM-instanser.
  • Använd automationspipelines. Automation-pipelines minskar avsevärt hanteringsarbetet, säkerställer konsekvent principframtvingande, förbättrar avvikelseidentifieringen och påskyndar reparationen i RHEL-landningszoner.

Överväg också att använda Azure Compute Gallery. Du kan skapa din Red Hat-avbildning med alla nödvändiga säkerhetsmekanismer som du använder i din organisation och skapa en avbildning av den virtuella datorn. Sedan kan du dela säkerhetskompatibla avbildningar mellan prenumerationer och regioner i din Azure-miljö. Du kan också använda versionshantering för större detaljerad kontroll över VM-avbildningar. Den här metoden hjälper dig att förena säkerhetskorrigeringar och verktyg för beräkningsinstanser som du använder i din miljö.

Överväg att implementera Azure Update Manager som en del av uppdateringshanteringsprocessen. Update Manager är en enhetlig tjänst som du kan använda för att övervaka uppdateringar i dina distributioner. Använd Update Manager för att undersöka hela din maskinpark i Azure, lokalt och i andra moln.

Hantera identitet och åtkomst

Om du vill tillämpa strikta åtkomstprinciper centralt integrerar du Red Hat Identity Management (IdM). IdM använder förtroenden och OpenID Connect-integreringar för att konsolidera den interna Linux-implementeringen av följande funktioner till en företagssäkerhetsmodell utan synkronisering av autentiseringsuppgifter.

  • Rollbaserad åtkomstkontroll (RBAC)
  • Värdbaserad åtkomstkontroll
  • Eskaleringsprincip för privilegier
  • SELinux-användarmappningsprincip
  • Andra kritiska Linux-tjänster

Jämfört med traditionella Linux-distributioner genererar den här metoden fördelar, till exempel:

  • Effektiviserad ändringskontroll genom minskad automatiseringstouchpunkter.
  • Minskad loggning och analysrelaterad belastning.
  • Efterlevnad av granskningskrav för autentisering.
  • Principkonsekvens.

IdM ger fördelar med att hantera centraliserad Linux-säkerhetsprincip.

Red Hat rekommenderar att du aktiverar och kör SELinux på alla RHEL-baserade instanser, inklusive utvecklings-, test- och produktionsmiljöer. Alla Red Hat-producerade avbildningar och installationer kan köra SELinux i framtvingande läge som standard. När du utformar arbetsbelastningsdistributioner kan du köra SELinux i tillåtande läge för hela instansen eller för enskilda tjänster i instansen. Sedan kan utvecklings-, säkerhets- och driftteam fastställa åtkomstegenskaper för program och använda granskningsloggdata med SELinux-verktyg för att generera lämplig SELinux-princip för målarbetsbelastningen.

VERKTYG för SELinux-principgenerering kan generera RPM-baserade principfiler som ska inkluderas i innehållslagringsplatser för standardiserad avbildningsdistribution. Utvecklings-, säkerhets- och driftteam kan leverera artefakter uppströms på ett iterativt sätt i pipelinen. När testningen har fastställt att inga SELinux-överträdelser genereras kan du ställa in SELinux-konfigurationen på att framtvinga läge. SELinux-överträdelser som genereras under produktionen anger en betydande avvikelse från acceptabelt programbeteende. Du bör flagga och undersöka dessa överträdelser. Använd SELinux för att ge omfattande synlighet och proaktiv hothantering.

Om du vill definiera de RBAC-roller som du tilldelar till RHEL-datorer kan du förstå rollerna och ansvarsområdena för ditt team. Relevanta team kan kräva förhöjd åtkomst till virtuella datorer (VM). Överväg Virtuell datordeltagare, Virtual Machine Reader och liknande roller för att få åtkomst till virtuella datorer. Överväg just-in-time-åtkomst om du inte behöver stående åtkomst. Överväg hanterade identiteter om RHEL-systemet måste autentisera med Azure. Systemtilldelade hanterade identiteter ger mer säkerhet än tjänstens huvudnamn och är associerade med den virtuella datorresursen. Utöver RBAC-roller bör du överväga villkorlig åtkomst för personer som behöver åtkomst till din Azure-miljö. Använd villkorlig åtkomst för att begränsa användaråtkomsten till din Azure-miljö baserat på plats, IP-adress och andra kriterier.

Använda antivirusprogram

Kontrollera att du har rätt antivirusprogram på RHEL-datorn. Överväg att registrera Microsoft Defender za krajnju tačku på Linux för skydd mot de senaste säkerhetsriskerna. Tänk på att du inte bör aktivera Defender for Cloud Standard på RHEL-datorer som du använder för att vara värd för SAP-databaser. Se till att varje RHEL-dator och arbetsbelastning kan köra slutpunktsskyddsprogrammet.

Hantera hemligheter

Red Hat rekommenderar att du anger en systemomfattande kryptografisk princip på alla instanser där det är möjligt. Du kan karakterisera molndistributioner efter mångfald. Arbetsbelastningsteamen väljer sina egna bibliotek, språk, verktyg och kryptografiska leverantörer för att uppfylla behoven i sina specifika lösningar. Implementering av standarder, faktorisering av programkomponenter, sammansättning och andra tekniker kan minska variabiliteten, men du konfigurerar kryptografiska inställningar för program och tjänster på flera platser inom en viss instans.

För att konfigurera nya komponenter på ett förnuftigt sätt krävs betydande arbete och ofta djup kryptografisk kunskap. Inaktuella eller felaktigt konfigurerade kryptografiska principer skapar risk. En systemomfattande kryptografisk princip justerar konfigurationen av de centrala kryptografiska undersystemen, som omfattar TLS (Transport Layer Security), IpSec (Internet Protocol Security), DNSSEC (Domain Name System Security Extensions) och Kerberos-protokoll. En rhel-systemomfattande kryptografisk standardprincip implementerar en konservativ konfiguration som eliminerar en hel klass av hot genom att inaktivera äldre kommunikationsprotokoll, till exempel TLS v1.1 och tidigare versioner. FUTURE- och FIPS-principer tillhandahåller striktare konfigurationer. Du kan också skapa anpassade principer.

Du kan använda RHEL-systemgranskning och säkerhetsefterlevnadsverktyg. Fokusera på automatisk genomsökning och reparation som överensstämmer med branschstandarder.

  • RHEL-granskningsdaemonen granskas och den centrala loggningsdaemonen är journalförd. Azure Monitor kan mata in data från granskade och journalförda för att övervaka RHEL-systemsäkerhetshändelser och mata in Microsoft Sentinel eller andra SIEM-tjänster (säkerhetsinformation och händelsehantering).

  • RHEL-system som behöver uppfylla efterlevnaden av Defense Information Systems Agency Security Technical Implementation Guide (DISA-STIG) kräver verktyget Advanced Intrusion Detection Environment (AIDE). Du bör logga AIDE-utdata till Azure.

Övervaka och integrera med Ansible Automation Platform för att identifiera, avisera om och åtgärda kritiska systemfiler.

Använd kostnadsfria komponenter på operativsystemnivå på alla Azure-baserade RHEL-instanser.

  • Tillämpa kodkörningsprincipen: Använd fapolicyd daemon för att begränsa de program som kan köras i RHEL-instansen.

  • Hantera inkommande och utgående instanstrafik: Använd brandvägg med Azure-nätverkssäkerhetsgrupper (NSG:er) för att effektivt hantera trafik i norrgående och södergående trafik till virtuella datorer.

  • Hantera konfiguration centralt via automatisering: Använd GitOps-metoden för att säkerställa konsekvent konfigurationshantering under distributionen och kontinuerligt genom dag-2-åtgärder för RHEL-arbetsbelastningar.

  • Implementera FIPS-efterlevnadsläge för myndighetsarbetsbelastningar: Se till att avsedda RHEL-instanser körs i FIPS-läge för att uppfylla kryptografiska standarder. Använd Azures efterlevnadserbjudanden för en omfattande efterlevnadsstatus.

  • Kör alltid SELinux: Använd SELinux i tillåtande läge för att identifiera åtkomstprofiler för arbetsbelastningar och säkerställa rätt princip för att köra SELinux i framtvingande läge på virtuella RHEL-datorer. SELinux minskar angreppsytan avsevärt på program och tjänster som körs i Azure.

Registrera RHEL-servrar till Red Hat Insights via Red Hat Satellite. Red Hat Insights drar nytta av analysen av Red Hats problemlösningsdatabas. Insights använder den här analysen för att proaktivt identifiera och generera åtgärder för distributions- och konfigurationsproblem innan de påverkar åtgärderna. Den här strategin förbättrar säkerhetsstatusen och drifteffektiviteten. Varje RHEL-prenumeration innehåller Insikter. Alla RHEL-molnbaserade prenumerationer innehåller en Red Hat Satellite-prenumeration. Eller så kan du köpa en Red Hat Satellite-prenumeration med dina RHEL-prenumerationer för Cloud Access.

Kommentar

Insights skickar telemetrisysteminformation utanför Azure.

Konfigurera nätverksfunktioner

Du kan använda NSG:er på nätverksgränssnittsnivå eller undernätsnivå. Vi rekommenderar undernätsnivån om inte specifika krav kräver en NSG på nätverksgränssnittsnivå. Den här metoden förenklar nätverkskommunikationshanteringen. Du kan använda programsäkerhetsgrupper för att tillåta programkommunikation, vilket holistiskt segmentar kommunikationen mellan undernät. Bestäm vilken metod som passar bäst för ditt scenario och se till att RHEL-datorer har lämplig åtkomst till Internet för nödvändiga lagringsplatser. Du kan behöva tillåtalist-URL:er för dessa lagringsplatser i de mest låsta miljöerna. Privata slutpunkter ser till att den enda trafik som en Azure-resurs kan ta emot som standard är trafik som kommer från Azure-nätverket, inklusive anslutningar från en lokal plats om du har en Azure-gateway.

Implementera SIEM- eller SOAR-verktyg

Överväg Microsoft Sentinel för verktyg för säkerhetsorkestrering, automatisering och svar (SOAR) eller SIEM-verktyg för dina RHEL-system. Microsoft Sentinel använder AI för att anpassa hur det identifierar hot mot systemet. Du kan automatisera svar på attacker via runbooks. Använd Microsoft Sentinel för proaktiv hotidentifiering, hotjakt och hotsvar.

Överväg konfidentiell databehandling

RHEL har en konfidentiell avbildning för vissa RHEL-operativsystemalternativ. Överväg användningsfall för konfidentiell databehandling.

Nästa steg