Azure Kubernetes Service (AKS) için güvenlik açığı yönetimi
Güvenlik açığı yönetimi, bir kuruluşun sistemlerinde ve yazılımlarında bulunan güvenlik açıklarını algılamayı, değerlendirmeyi, azaltmayı ve raporlamayı içerir. Güvenlik açığı yönetimi, sizinle Microsoft arasında paylaşılan bir sorumluluktur.
Bu makalede, Microsoft'un Azure Kubernetes Service (AKS) kümeleri için güvenlik açıklarını ve güvenlik güncelleştirmelerini (düzeltme eki olarak da adlandırılır) nasıl yönettiği açıklanır.
Güvenlik açıkları nasıl keşfedilir?
Microsoft, aşağıdaki bileşenler için güvenlik açıklarını ve eksik güvenlik güncelleştirmelerini tanımlar ve yamaları yapar:
AKS Kapsayıcı Görüntüleri
Ubuntu işletim sistemi 18.04 ve 22.04 çalışan düğümleri: Canonical, Microsoft'a tüm kullanılabilir güvenlik güncelleştirmelerinin uygulandığı işletim sistemi derlemeleri sağlar.
Windows Server 2022 işletim sistemi çalışan düğümleri: Windows Server işletim sistemine her ayın ikinci Salı günü düzeltme eki uygulanır. SLA'lar, destek sözleşmeleri ve önem dereceleriyle aynı olmalıdır.
Azure Linux İşletim Sistemi Düğümleri: Azure Linux, AKS'ye tüm kullanılabilir güvenlik güncelleştirmelerinin uygulandığı işletim sistemi derlemeleri sağlar.
AKS Kapsayıcı Görüntüleri
Cloud Native Computing Foundation (CNCF), AKS çalıştırma kodunun çoğuna sahip olur ve bunların bakımını üstlenirken, AKS'de dağıttığımız açık kaynak paketlerinin oluşturulması microsoft tarafından üstlenildi. Bu sorumluluk derleme, tarama, imzalama, doğrulama ve düzeltme işleminin tam sahipliğini ve kapsayıcı görüntülerindeki ikili dosyalar üzerinde denetimi içerir. AKS'de dağıtılan açık kaynak paketlerini oluşturma sorumluluğunun olması, ikili üzerinden bir yazılım tedarik zinciri oluşturmamıza ve yazılıma gerektiği şekilde düzeltme eki uygulamamıza olanak tanır.
Microsoft, daha geniş BIR CNCF topluluğunda buluta özel işlem geleceğini oluşturmaya yardımcı olmak için daha geniş Kubernetes ekosisteminde etkindir. Bu çalışma yalnızca dünya için her Kubernetes sürümünün kalitesini sağlamakla kalmaz, aynı zamanda AKS'nin birkaç yıl boyunca yeni Kubernetes sürümlerini hızla üretime almasına da olanak tanır. Bazı durumlarda, diğer bulut sağlayıcılarının birkaç ay önünde. Microsoft, Kubernetes güvenlik kuruluşundaki diğer sektör iş ortaklarıyla birlikte çalışmaktadır. Örneğin, Güvenlik Yanıt Komitesi (SRC) ambargo altındaki güvenlik açıklarını halka duyurulmadan önce alır, önceliklendirir ve düzeltme eki uygular. Bu taahhüt Kubernetes'in herkes için güvenli olmasını sağlar ve AKS'nin müşterilerimizi güvende tutmak için güvenlik açıklarına daha hızlı düzeltme eki uygulama ve bunlara daha hızlı yanıt vermesine olanak tanır. Microsoft, Kubernetes'e ek olarak Envoy, kapsayıcı çalışma zamanları ve diğer birçok açık kaynak projesi için yazılım güvenlik açıklarına yönelik yayın öncesi bildirimleri almak üzere kaydolmş.
Microsoft, Kubernetes ve Microsoft tarafından yönetilen kapsayıcılardaki güvenlik açıklarını ve eksik güncelleştirmeleri keşfetmek için statik analiz kullanarak kapsayıcı görüntülerini tarar. Düzeltmeler varsa, tarayıcı güncelleştirme ve yayın işlemini otomatik olarak başlatır.
Microsoft, otomatik taramaya ek olarak tarayıcılar tarafından bilinmeyen güvenlik açıklarını aşağıdaki yollarla bulur ve güncelleştirir:
Microsoft, tüm AKS platformlarında kendi denetimlerini, sızma testlerini ve güvenlik açığı bulma işlemlerini gerçekleştirir. Microsoft içindeki özel ekipler ve güvenilen üçüncü taraf güvenlik satıcıları kendi saldırı araştırmalarını yürütür.
Microsoft, birden çok güvenlik açığı ödül programı aracılığıyla güvenlik araştırması topluluğuyla etkin bir şekilde etkileşim kurar. Ayrılmış bir Microsoft Azure Bounty programı , her yıl bulunan en iyi bulut güvenlik açığı için önemli ödül sağlar.
Microsoft, güvenlik açığının genel kullanıma açıklanmasından önce güvenlik açıklarını, güvenlik araştırmalarını ve güncelleştirmeleri paylaşan diğer sektör ve açık kaynak yazılım iş ortaklarıyla işbirliği içindedir. Bu işbirliğinin amacı, güvenlik açığı herkese duyurulmadan önce büyük internet altyapısı parçalarını güncelleştirmektir. Bazı durumlarda, Microsoft bu topluluğa bulunan güvenlik açıklarına katkıda bulunur.
Microsoft'un güvenlik işbirliği birçok düzeyde gerçekleşir. Bazen, kuruluşların Kubernetes ve Docker gibi ürünler için yazılım güvenlik açıkları hakkında yayın öncesi bildirimler almak üzere kaydolduğu programlar aracılığıyla resmi olarak gerçekleşir. Linux çekirdeği, kapsayıcı çalışma zamanları, sanallaştırma teknolojisi ve diğerleri gibi birçok açık kaynak projesiyle etkileşimimiz nedeniyle de işbirliği gayri resmi olarak gerçekleşir.
Çalışan Düğümleri
Linux düğümleri
Aks'de gece kurallı işletim sistemi güvenlik güncelleştirmeleri varsayılan olarak kapalıdır. Bunları açıkça etkinleştirmek için kanalı kullanın unmanaged .
Kanalı kullanıyorsanız, düğümdeki unmanaged işletim sistemine gecelik kurallı güvenlik güncelleştirmeleri uygulanır. Kümeniz için düğüm oluşturmak için kullanılan düğüm görüntüsü değişmeden kalır. Kümenize yeni bir Linux düğümü eklenirse, düğümü oluşturmak için özgün görüntü kullanılır. Bu yeni düğüm, her gece gerçekleştirilen otomatik değerlendirme sırasında kullanılabilen tüm güvenlik ve çekirdek güncelleştirmelerini alır, ancak tüm denetimler ve yeniden başlatmalar tamamlanana kadar eşleşmeyen kalır. Kümeniz tarafından kullanılan düğüm görüntülerini denetlemek ve güncelleştirmek için düğüm görüntüsü yükseltmeyi kullanabilirsiniz. Düğüm görüntüsü yükseltme hakkında daha fazla bilgi için bkz . Azure Kubernetes Service (AKS) düğüm görüntüsü yükseltme.
dışında unmanagedbir kanal kullanan AKS kümeleri için katılımsız yükseltme işlemi devre dışı bırakılır.
Windows Server düğümleri
Windows Server düğümleri için Windows Update otomatik olarak çalışmaz ve en son güncelleştirmeleri uygulamaz. AKS kümenizde normal Windows Update yayın döngüsü ve kendi güncelleştirme yönetimi süreciniz etrafında Windows Server düğüm havuzu yükseltmeleri zamanlayın. Bu yükseltme işlemi, en son Windows Server görüntüsünü ve düzeltme eklerini çalıştıran düğümler oluşturur ve ardından eski düğümleri kaldırır. Bu işlem hakkında daha fazla bilgi için bkz . AKS'de düğüm havuzunu yükseltme.
Güvenlik açıkları nasıl sınıflandırılır?
Microsoft, işletim sistemi, kapsayıcı, Kubernetes ve ağ katmanları dahil olmak üzere tüm yığının güvenliğini sağlamlaştırmaya, iyi varsayılanları ayarlamaya ve güvenlikle sağlamlaştırılmış yapılandırmalar ve yönetilen bileşenler sağlamaya ek olarak büyük yatırımlar yapar. Bu çabalar bir araya gelerek güvenlik açıklarının etkisini ve olasılığını azaltmaya yardımcı olur.
AKS ekibi, güvenlik açıklarını Kubernetes güvenlik açığı puanlama sistemine göre sınıflandırır. Sınıflandırmalar AKS yapılandırması ve güvenlik sağlamlaştırma dahil olmak üzere birçok faktörü dikkate alır. Bu yaklaşımın ve AKS'nin güvenlikle ilgili yatırımlarının bir sonucu olarak AKS güvenlik açığı sınıflandırmaları diğer sınıflandırma kaynaklarından farklı olabilir.
Aşağıdaki tabloda güvenlik açığı önem derecesi kategorileri açıklanmaktadır:
| Önem Derecesi | Açıklama |
|---|---|
| Kritik | Kimliği doğrulanmamış bir uzak saldırgan tarafından tüm kümelerde kolayca yararlanılabilen ve tam sistem güvenliğinin aşılmasına neden olan bir güvenlik açığı. |
| Yüksek | Gizlilik, bütünlük veya kullanılabilirlik kaybına yol açan birçok küme için güvenlik açığından kolayca yararlanılabilir. |
| Orta | Gizlilik, bütünlük veya kullanılabilirlik kaybının yaygın yapılandırmalar, açıklardan yararlanma zorluğu, gerekli erişim veya kullanıcı etkileşimi ile sınırlı olduğu bazı kümeler için güvenlik açığından yararlanılabilir. |
| Düşük | Diğer tüm güvenlik açıkları. Sömürü olası değildir veya sömürü sonuçları sınırlıdır. |
Güvenlik açıkları nasıl güncelleştirilir?
AKS, her hafta bir satıcı düzeltmesi olan Yaygın Güvenlik Açıkları ve Açığa Çıkarmalar (CVE) düzeltme eki ekler. Düzeltmesi olmayan tüm CVE'ler, düzeltilmeden önce bir satıcı düzeltmesi bekler. Sabit kapsayıcı görüntüleri, güncelleştirilmiş Ubuntu/Azure Linux/Windows düzeltme eki uygulamalı CVE'leri de içeren bir sonraki sanal sabit disk (VHD) derlemesinde önbelleğe alınır. Güncelleştirilmiş VHD'yi çalıştırdığınız sürece, 30 günden eski bir satıcı düzeltmesiyle hiçbir kapsayıcı görüntüsü CV'sini çalıştırmamanız gerekir.
VHD'deki işletim sistemi tabanlı güvenlik açıkları için AKS, varsayılan olarak düğüm görüntüsü vhd güncelleştirmelerini de kullanır, bu nedenle tüm güvenlik güncelleştirmeleri haftalık düğüm görüntüsü sürümleriyle birlikte gelir. Yönetilmeyen sürüme geçmediğiniz sürece katılımsız yükseltmeler devre dışı bırakılır ve bu sürüm genel olduğundan önerilmez.
Yayın zaman çizelgelerini güncelleştirme
Microsoft'un amacı, algılanan güvenlik açıklarını temsil ettikleri risklere uygun bir süre içinde azaltmaktır. Microsoft Azure FedRAMP Çalışma Için Geçici Yetkilendirme (P-ATO), denetim kapsamında AKS'yi içerir ve yetkilendirilmiştir. FedRAMP Sürekli İzleme Stratejisi Kılavuzu ve FedRAMP Düşük, Orta ve Yüksek Güvenlik Denetimi temelleri, belirli bir süre içinde bilinen güvenlik açıklarının önem düzeyine göre düzeltilmesi gerekir. FedRAMP RA-5d'de belirtildiği gibi.
Güvenlik açıkları ve güncelleştirmeler nasıl iletilir?
Genel olarak, Microsoft AKS için yeni düzeltme eki sürümlerinin yayınlanmasını geniş bir şekilde iletmez. Ancak Microsoft, AKS'de bunları zamanında desteklemek için kullanılabilir CVE yamalarını sürekli izler ve doğrular. Kritik bir düzeltme eki bulunursa veya kullanıcı eylemi gerekiyorsa, Microsoft, GitHub'da CVE sorununun ayrıntılarını gönderir ve güncelleştirir.
Güvenlik Raporlama
Bir güvenlik açığı raporu oluşturarak bir güvenlik sorununu Microsoft Güvenlik Yanıt Merkezi'ne (MSRC) bildirebilirsiniz.
Araçta oturum açmadan bir rapor göndermeyi tercih ediyorsanız adresine e-posta secure@microsoft.comgönderin. Mümkünse, iletiyi Microsoft Güvenlik Yanıt Merkezi PGP Anahtarı sayfasından indirerek PGP anahtarımızla şifreleyin.
Size 24 saat içerisinde yanıt verilecektir. Bir nedenden dolayı bunu kullanmıyorsanız, özgün iletinizi aldığımızdan emin olmak için bir e-posta ile takip edin. Daha fazla bilgi için Microsoft Güvenlik Yanıt Merkezi'ne gidin.
Olası sorunun doğasını ve kapsamını daha iyi anlamamıza yardımcı olmak için aşağıdaki istenen bilgileri (sağlayabileceğiniz kadar) ekleyin:
- Sorun türü (örneğin, arabellek taşması, SQL ekleme, siteler arası betik oluşturma vb.)
- Sorunun ortaya çıkmasıyla ilgili kaynak dosyalarının tam yolları
- Etkilenen kaynak kodunun konumu (etiket/branş/işleme veya doğrudan URL)
- Sorunu yeniden oluşturmak için gereken özel yapılandırmalar
- Sorunu yeniden oluşturmak için adım adım yönergeler
- Kavram kanıtlama veya koddan yararlanma (mümkünse)
- Bir saldırganın bu sorundan nasıl yararlanabileceği de dahil olmak üzere sorunun etkisi
Bu bilgiler, bildirilen güvenlik sorununuzu daha hızlı önceliklendirmemize yardımcı olur.
Hata ödülü için rapor veriyorsanız daha eksiksiz raporlar daha yüksek ödül ödülüne katkıda bulunabilir. Etkin programlarımız hakkında daha fazla bilgi için bkz . Microsoft Bug Bounty Program.
İlke
Microsoft, Eşgüdümlü Güvenlik Açığı Bildirimi ilkesini izler.
Sonraki adımlar
Azure Kubernetes Service kümelerini ve düğüm havuzlarını yükseltme hakkında genel bakışa bakın.
Azure Kubernetes Service
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin