Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Linux ve Azure Container Linux (ACL), filonuzdaki güvenlik açıklarını güvenle yönetebilmeniz için ayrılmış bir Ortak Güvenlik Açıkları ve Açığa Çıkarmalar (CVE) işlem hattı, yayımlanan öneriler ve tanımlı hizmet düzeyi sözleşmelerini (SLA) paylaşır. Bu makalede, kullandığınız Linux veya ACL dağıtım seçeneğine Azure bağlı olarak CVE'lerin nasıl tanımlandığı, düzeltme eki uygulandığı ve sistemlerinize nasıl teslim edildiği açıklanmaktadır.
Note
Azure Linux 4.0 artık preview içindedir ve kesinlikle değerlendirme ve test amaçlarıyla sınırlıdır. Üretim kullanımı için uygun değildir.
CVE düzeltmelerini güncelleştirme ve doğrulama
- Dağıtım seçeneğiniz için en son güvenlik güncelleştirmelerini uygulayın.
- Güncelleştirilmiş paket sürümlerini, değişiklik günlüklerini veya düğüm görüntüsü sürümlerini onaylayın.
CVE altyapısı ve SLA'lar
Microsoft, Linux çekirdeğinden CVE altyapısına, desteğe ve uçtan uca doğrulamaya kadar tüm Azure Linux ve Azure Container Linux (ACL) yığınından sorumludur. Bu, üçüncü taraf dağıtımdan güvenlik açıklarını izlemenize ve düzeltme eki uygulamanıza gerek olmadığı anlamına gelir. Azure Linux, uygulanabilir CVE'leri belirlemeyi, düzeltmeleri yayımlamayı ve üretim paketlerine yönelik düzeltmeler için SLA'leri karşılamayı üstlenir.
Azure Linux ekibi, dağıttığı paketleri güvenlik açıkları açısından günde iki kezNational Vulnerability Database (NVD) veritabanına göre tarar. Bir güvenlik açığı doğrulandığında Azure Linux ekibi, Microsoft Güvenlik Yanıt Merkezi (MSRC) ile işbirliği yaparak düzeltmeleri değerlendirir, yamaları uygular ve bu düzeltmeleri kaynak projeye geri katkı olarak sunar.
Dağıtıma göre CVE teslimi seçeneği
CVE düzeltmeleri, genel amaçlı Azure Linux, AKS için Azure Linux Container Host veya AKS için Azure Container Linux’u (ACL) çalıştırıp çalıştırmadığınıza bağlı olarak farklı şekillerde sağlanır. Aşağıdaki tabloda CVE düzeltmelerinin her dağıtım seçeneğine nasıl yayılımı özetlenir:
| Dağıtım seçeneği | CVE düzeltme teslim mekanizması |
|---|---|
| Genel amaçlı Azure Linux (Sanal Makineler (VM), Sanal Makine Ölçek Kümeleri, özel imajlar) | CVE düzeltmeleri paket güncelleştirmeleri olarak teslim edilir. Bunları dnf update ile uygulayın. |
| AKS için Azure Linux Container Host | CVE düzeltmeleri, aylık düğüm görüntüsü sürümlerine dahil edilen paket güncelleştirmeleriyle sağlanır. Yüksek ve kritik CVE'ler , bir sonraki zamanlanmış düğüm görüntüsünden önce bant dışında paket güncelleştirmesi olarak yayınlanabilir, böylece bir düzeltme yeni bir görüntüden önce düğümlerinize ulaşabilir. Orta ve düşük önem derecesine sahip CVE’ler bir sonraki düzenli düğüm görüntüsü sürümüne dahil edilir. |
| Azure Container Linux (ACL) AKS için | ACL sabit, görüntü tabanlı bir işletim sistemidir (OS); tek tek paketler yerinde güncelleştirilmez. Bunun yerine CVE düzeltmeleri, en son güvenlik yamalarını içeren haftalık AKS düğüm görüntüsü sürümleri aracılığıyla sunulur.
SecurityPatch düğüm işletim sistemi yükseltme kanalı ACL tarafından desteklenmez, bu nedenle güvenlik güncelleştirmelerini almak için NodeImage kanalını kullanın. ACL ayrıntıları için bkz. Azure Container Linux'a genel bakış. |
Yayımlanan danışmanlıklar
Note
Azure Linux 4.0 CVE SLA'ları önizleme sırasında geçerli değildir.
Azure Linux ve Azure Container Linux (ACL) güvenlik önerileri Microsoft Güvenlik Yanıt Merkezi (MSRC) aracılığıyla Vulnerability Exploitability eXchange (VEX) biçiminde yayımlanmaktadır. VEX önerileri, bir güvenlik açığının yalnızca bir paketin yüklü olup olmadığını değil, kendi yapılandırmanızı gerçekten etkileyip etkilemediğini belirlemenize yardımcı olur.
Azure Linux ve ACL CVE'leri de Microsoft Güvenlik Güncelleştirme Kılavuzu (SUG) CVRF API aracılığıyla yayımlanır, böylece Microsoft güvenlik güncelleştirmelerini diğer Microsoft ürün önerileriyle birlikte program aracılığıyla alabilirsiniz.
Güvenlik güncelleştirmelerini uygulama
Güvenlik düzeltmelerini almak için sisteminizi güncel tutun. Doğru mekanizma , dağıtım seçeneğinize bağlıdır.
Genel amaçlı Azure Linux'ta, dnf ile paketleri güncelleştirerek güvenlik güncelleştirmelerini uygulayın:
sudo dnf update -y
Azure Container Linux'ta NodeImage kanalında Azure Kubernetes Service (AKS) düğüm görüntüsü yükseltmelerini kullanın; sabit işletim sistemindeki paketleri tek tek güncelleştirmeye kalkışmayın.
Düzeltmeleri doğrulama
Genel amaçlı Azure Linux'ta, gerektiğinde paket sürümlerini doğrulayın:
dnf info <PACKAGE_NAME>
Azure Container Linux'ta, çalışan düğüm görüntüsü sürümünün (örneğin, az aks nodepool list --query '[].nodeImageVersion' ile) beklenen sürümle eşleştiğinden emin olun.
Güvenlik açığı tarayıcılarıyla eşgüdüm
Linux ve Azure Container Linux Azure yaygın güvenlik açığı tarama araçlarını destekler. Desteklenen tarayıcıların listesi için bkz. Azure Linux iş ortağı çözümleri.
Azure Linux ve ACL için VEX güvenlik bildirimleri yayımlandıktan sonra, VEX kullanan tarayıcılar bu platformlarda yüklü bir paketin belirli bir CVE'den gerçekten etkilenip etkilenmediğini doğru şekilde raporlayabilir ve böylece yanlış pozitifleri azaltabilir.
Güvenlik sorunu bildirin
Azure Linux veya Azure Container Linux'taki güvenlik açıklarından şüphelenilen güvenlik açıklarını Microsoft Güvenlik Yanıt Merkezi (MSRC) bildirin. Lütfen genel GitHub sorunları aracılığıyla güvenlik açıklarını bildirmeyin.
İlgili içerik
- Azure Linux güvenliğinin Genel bakış