你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文概述了 Azure Linux 与 OS Guard,这是 Azure Linux 的强化、不可变变体。 它为 AKS 上的容器主机提供强大的运行时完整性、防篡改性和企业级安全性。 OS Guard 基于 Azure Linux 添加了内核和运行时功能,这些功能强制实施代码完整性,保护根文件系统免受未经授权的更改,并应用强制访问控制。 如果需要提升容器主机和工作负荷运行时的保证,请使用 OS Guard。
主要功能
下表概述了具有 OS Guard 的 Azure Linux 的主要功能:
| 功能 / 特点 | Description |
|---|---|
| 不可变性 | /usr 目录被挂载为只读卷,并由 dm-verity 机制保护。 在运行时,内核会验证已签名的根哈希,以检测和阻止篡改。 |
| 代码完整性 | OS Guard 集成了 完整性策略强制(IPE)Linux 安全模块 ,以确保只允许来自受信任签名卷的二进制文件执行。 这有助于防止篡改或不受信任的代码执行,包括在容器映像中。 注意:IPE 在公共预览版期间以审核模式运行。 |
| 强制访问控制 | OS Guard 集成 SELinux,以限制哪些进程可以访问系统中的敏感资源。 注意:SELinux 在公共预览版期间以宽松模式运行。 |
| 测量启动和可信启动 | OS Guard 支持测量启动,并与受信任启动集成,以提供启动组件的加密度量,这些度量结果存储在虚拟 TPM (vTPM) 中。 这是通过使用统一内核映像(UKI)实现的,该映像将内核、initramfs 和内核命令行捆绑成一个已签名的单个工件。 启动时,UKI 会被测量并记录在 vTPM 中,从而确保从一开始就具备完整性。 |
| 已验证的容器层 | 容器映像和层使用已签名的 dm-verity 哈希进行验证。 这可确保在运行时仅使用经过验证的层,从而降低容器逃逸或被篡改的风险。 IPE 功能扩展到容器映像,确保仅可执行与信任签名匹配的二进制文件,即使它们存在于已验证的层中也是如此。 注意:IPE 在公共预览版期间以审核模式运行。 |
| 主权供应链安全 | OS Guard 继承 Azure Linux 的安全生成管道、签名的统一内核映像(UKIs)和软件材料清单(SBOM)。 |
主要优势
下表概述了将 Azure Linux 与 OS Guard 配合使用的主要优势:
| 优点 | Description |
|---|---|
| 强大的运行时完整性保证 | 内核强制执行的不可变性和 IPE 可防止执行被篡改或不受信任的代码。 |
| 减少攻击面 | 只读 /usr 目录、减少的包计数和 SELinux 策略限制了攻击者安装持久后门或更改系统二进制文件的机会。 |
| 供应链信任 | 基于 Azure Linux 的签名映像和供应链流程构建,明确溯源系统组件的来源。 |
| 与 Azure 安全功能集成 | 对受信任启动和安全启动的原生支持,可提供测量启动保护和证明功能。 |
| 开源透明度 | 许多基础技术(dm-verity、SELinux、IPE)都是上游或开源技术,Microsoft具有支持这些功能的工具和贡献。 |
| 合规性继承 | OS Guard 从 Azure Linux 继承符合性属性(例如,适用于 Azure Linux 的加密模块和认证),从而更轻松地在受管制环境中采用。 |
注意事项和限制
请务必注意以下使用 OS Guard 的 Azure Linux 注意事项和限制:
- 使用 OS Guard 的 Azure Linux 需要 Kubernetes 版本 1.32.0 或更高版本。
- 所有带操作系统防护的 Azure Linux 均已启用联邦信息处理标准 (FIPS) 和受信任启动。
- 在 AKS 上的 Azure Linux,只有 Azure CLI 和 ARM 模板这两种部署方法受支持,并且 OS Guard 目前处于预览状态。 不支持 PowerShell 和 Terraform。
- 在预览版中,带操作系统防护的 Azure Linux 在 AKS 上不支持 Arm64 映像。
-
对于 AKS 上带操作系统防护的 Azure Linux,唯一支持的 OS 升级通道是
NodeImage和None。 由于 /usr 目录不可变,Unmanaged和SecurityPatch与带操作系统防护的 Azure Linux 不兼容。 - 不支持工件流式传输。
- 不支持Pod 沙盒功能。
- 不支持机密虚拟机(CVM)。
- 不支持第 1 代虚拟机(VM)。
如何选择 Azure Linux 容器主机选项
使用 OS Guard 的 Azure Linux 基于 Azure Linux 构建,受益于相同的供应链保护和签名映像。 这两种 OS 变体都可以根据您的安全性、合规性和操作要求来选择适用:
| 容器主机选项 | Azure Linux 容器主机 | 使用 OS Guard 的 Azure Linux |
|---|---|---|
| 安全优势 | Azure Linux 提供 Microsoft 认为对 AKS 工作负荷至关重要的安全优势。 | Azure Linux 的所有优势以及上述额外安全优势。 |
| 用户熟悉性 | 对于使用其他 Linux 发行版(如 Ubuntu)的用户来说,这很熟悉。 客户使用的操作和工具将会显得很熟悉。 | 对来自其他容器优化发行版的客户来说很熟悉。 |
| 目标受众 | 目标用户为进行直接迁移、系统迁移或从其他 Linux 发行版迁移而来的客户。 | 目标用户为云原生客户,即专为云构建的用户,或正在寻求实现现代化的用户。 |
| 安全控制 | 如有必要,可为重视安全的客户启用 AppArmor 的选项。 | 默认情况下,SELinux 和 IPE 等安全开关是许可的。 |
后续步骤
若要开始使用适用于 AKS 的 Azure Linux OS Guard,请参阅以下资源: