適用於 Azure Kubernetes Service (AKS) 的弱點管理
弱點管理牽涉到偵測、評估、緩和和報告任何存在於組織系統和軟體中的安全性弱點。 弱點管理是您與 Microsoft 之間的共同責任。
本文將描述 Microsoft 如何管理 Azure Kubernetes Service (AKS) 叢集的安全性弱點和安全性更新 (也稱為修補檔)。
弱點探索方式
Microsoft 會識別並修補下列元件的弱點和遺漏的安全性更新:
AKS 容器映像
Ubuntu 作業系統 18.04 和 22.04 背景工作角色節點:Canonical 會為 Microsoft 提供已套用所有可用安全性更新的 OS 組建。
Windows Server 2022 OS 背景工作角色節點:Windows Server 作業系統會在每月的第二個星期二進行修補。 SLA 應該與其支援合約和嚴重性相同。
Azure Linux OS 節點:Azure Linux 會為 AKS 提供已套用所有可用安全性更新的 OS 組建。
AKS 容器映像
雖然雲端原生運算基金會 (CNCF) (英文) 擁有並維護大部分 AKS 執行的程式碼,但 Microsoft 會負責建置我們部署於 AKS 上的開放原始碼套件。 該責任包括擁有建置、掃描、簽署、驗證及 Hotfix 處理的完整所有權,以及控制容器映像中的二進位檔。 負責建置部署於 AKS 上的開放原始碼套件,讓我們能夠透過二進位檔建立軟體供應鏈,並視需要修補軟體。
Microsoft 積極參與更廣泛的 Kubernetes 生態系統,以協助在更廣大的 CNCF 社群中打造雲端原生計算的未來。 此工作不僅能夠確保全球每個 Kubernetes 版本的品質,還能讓 AKS 在數年內快速將新的 Kubernetes 版本投入生產。 在某些情況下,可領先其他雲端提供者數個月。 Microsoft 會與 Kubernetes 安全性組織中的其他產業合作夥伴共同作業。 例如,資安應變委員會 (SRC) 會先收到禁止傳送的安全性弱點,接著排定優先順序並加以修補,然後才會向大眾公佈。 此一承諾確保 Kubernetes 對每個人而言都是安全的,且讓 AKS 能夠更快速地修補並回應弱點,以確保客戶安全。 除了 Kubernetes 之外,Microsoft 已註冊接收 Envoy、容器執行階段及其他許多開放原始碼專案等產品軟體弱點的發行前通知。
Microsoft 使用靜態分析來掃描容器映像,以探索 Kubernetes 和 Microsoft 受控容器中的弱點和缺少的更新。 如果有可用的修正程式,掃描器就會自動開始更新並發行流程。
除了自動化掃描之外,Microsoft 還會以下列方式探索並更新掃描器未知的弱點:
Microsoft 會跨所有 AKS 平台執行自己的稽核、滲透測試和弱點探索。 Microsoft 內部的專業小組和值得信任的第三方安全性廠商都會進行自己的攻擊研究。
Microsoft 透過多個弱點獎勵計劃,積極與安全性研究社群互動。 Microsoft Azure 懸賞計劃 (英文) 專為每年找到的最佳雲端弱點提供大量賞金。
Microsoft 會與其他產業和開放原始碼軟體合作夥伴共同作業,這些合作夥伴會在公開發佈弱點之前分享弱點、安全性研究與更新。 此共同作業的目標是在向大眾宣佈弱點之前,先更新大部分的網際網路基礎結構。 在某些情況下,Microsoft 會將找到的弱點提供給此社群。
Microsoft 會在多個層級上進行安全性共同作業。 有時,是透過組織註冊以接收 Kubernetes 和 Docker 等產品軟體弱點的發行前通知的計劃來正式進行。 由於我們參與了許多開放原始碼專案 (例如,Linux 核心、容器執行階段、虛擬化技術和其他項目),因此,共同作業也會以非正式方式進行。
背景工作節點
Linux 節點
預設會在 AKS 中關閉夜間標準 OS 安全性更新。 若要明確啟用它們,請使用 unmanaged通道 (部分機器翻譯)。
如果您使用 unmanaged通道 (部分機器翻譯),則會將夜間標準安全性更新套用到節點上的 OS。 用來建立叢集節點的節點映像會保持不變。 如果將新的 Linux 節點新增至您的叢集,則會使用原始映像來建立節點。 這個新的節點會在每天晚上執行自動評量期間接收到所有可用的安全性和核心更新,但會維持未修補狀態,直到所有檢查和重新啟動都完成為止。 您可以使用節點映像升級來檢查和更新叢集所使用的節點映像。 如需節點映像升級的詳細資訊,請參閱 Azure Kubernetes Service (AKS) 節點映像升級。
針對使用 unmanaged 以外之通道 (部分機器翻譯) 的 AKS 叢集,自動升級流程已停用。
Windows Server 節點
針對 Windows Server 節點,Windows Update 不會自動執行並套用最新的更新。 在一般 Windows Update 發行週期和您自己的更新管理流程中,排程 AKS 叢集中的 Windows Server 節點集區升級。 此升級流程會建立執行最新 Windows Server 映像和修補檔的節點,然後移除舊版節點。 如需此程序的詳細資訊,請參閱在 AKS 中升級節點集區。
弱點分類方式
除了設定良好的預設值,並提供安全性強化的設定和受控元件之外,Microsoft 還會對整個堆疊進行大量安全性強化投資,包括 OS、容器、Kubernetes 和網路層。 結合這些努力,有助於降低弱點的影響和可能性。
AKS 小組會根據 Kubernetes 弱點評分系統將弱點分類。 分類會考慮許多因素,包括 AKS 設定和安全性強化。 由於這種方法,以及 AKS 在安全性方面的投資,AKS 弱點分類可能會與其他分類來源不同。
下表描述弱點嚴重性類別:
| 嚴重性 | 描述 |
|---|---|
| 重大 | 未經驗證的遠端攻擊者很容易在所有叢集中惡意探索到的弱點,會導致整個系統遭到入侵。 |
| 高 | 很容易在許多叢集中惡意探索到的弱點,會導致遺失機密性、完整性或可用性。 |
| 中 | 在某些叢集中惡意探索到的弱點,其中遺失機密性、完整性或可用性均受限於常見的設定、惡意探索本身的困難度、必要的存取權或使用者互動。 |
| 低 | 所有其他弱點。 惡意探索的可能性不大,或是惡意探索的後果有限。 |
弱點更新方式
AKS 每週都會修補有廠商修正程式的常見弱點與暴露風險 (CVE)。 所有沒有修正程式的 CVE 都在等候廠商修正程式,才能進行補救。 已修正的容器映像會快取於下一個對應的虛擬硬碟 (VHD) 組建中,此組建也包含更新的 Ubuntu/Azure Linux/Windows 修補 CVE。 只要您執行更新的 VHD,就不應該執行任何廠商修正程式已超過 30 天的容器映像 CVE。
針對 VHD 中的 OS 型弱點,AKS 預設也會依賴節點映像 VHD 更新,因此,任何安全性更新都將隨附每週的節點映像版本。 自動升級會停用,除非您切換成非受控,但不建議這麼做,因為其版本是全域。
更新發行時間軸
Microsoft 的目標是在適合其所代表之風險的一段期間內減輕偵測到的弱點。 Microsoft Azure FedRAMP High (英文) 作業佈建授權 (P-ATO) 包含稽核範圍內的 AKS,且已獲授權。 FedRAMP 持續監視策略指南和 FedRAMP Low、Moderate 和 High 安全性控制基準需要根據其嚴重性層級在特定期間內補救已知弱點。 如 FedRAMP RA-5d 中所指定。
弱點和更新的傳達方式
一般而言,Microsoft 不會廣泛地傳達 AKS 新修補檔版本的發行。 不過,Microsoft 會持續監視並驗證可用的 CVE 修補檔,以及時在 AKS 中支援這些修補檔。 如果找到重大修補檔或需要使用者動作,Microsoft 就會在 GitHub 上張貼與更新 CVE 問題詳細資料 (英文)。
安全性報告
您可以透過建立弱點報告 (英文),向 Microsoft 安全回應中心 (MSRC) 回報安全性問題。
如果您希望在不登入該工具的情況下提交報告,請將電子郵件傳送至 secure@microsoft.com。 如果可能,從 Microsoft 安全回應中心的 PGP 金鑰頁面 (英文) 下載 PGP 金鑰,以使用該金鑰來將您的訊息加密。
您應該會在 24 小時內收到回應。 如果您因為某些原因而沒有這樣做,則可透過電子郵件追蹤,以確保我們已收到您的原始郵件。 如需詳細資訊,請前往 Microsoft 安全回應中心 (英文)。
請包含下列要求的資訊 (盡可能提供),以協助我們進一步了解可能問題的本質和範圍:
- 問題類型 (例如,緩衝區溢位、SQL 插入、跨網站指令碼等)
- 與問題表現相關的原始程式檔完整路徑
- 受影響的原始程式碼位置 (標記/分支/認可或直接 URL)
- 重現問題所需的任何特殊設定
- 重現問題的逐步指示
- 概念證明或惡意探索程式碼 (如果可能)
- 問題的影響,包括攻擊者可能如何惡意探索該問題。
此資訊可協助我們更快速地將回報的安全性問題分級。
如果您是為了獲得錯誤 (Bug) 賞金而回報,則更完整的報告有助於獲得更高的賞金獎勵。 如需有關我們現行計劃的詳細資訊,請參閱 Microsoft 錯誤懸賞計劃 (英文)。
原則
Microsoft 遵循協調的弱點揭露原則。
下一步
請參閱有關升級 Azure Kubernetes Service 叢集和節點集區的概觀。