Управление уязвимостями для службы Kubernetes Azure (AKS)

Управление уязвимостями включает обнаружение, оценку, устранение и отчеты о любых уязвимостях безопасности, существующих в системах и программном обеспечении организации. Ответственность за управление уязвимостями несете как вы сами, так и корпорация Майкрософт.

Для большинства рабочих нагрузок в производственной среде AKS Automatic является рекомендуемым вариантом кластера по умолчанию. AKS Automatic сокращает эксплуатационные расходы, предоставляя пулы узлов управляемой системы, автоматическое обновление образов кластера и узлов, встроенные средства защиты и готовые к работе значения по умолчанию. Если вам нужен более прямой контроль над конфигурацией кластера, AKS Standard остается доступным для специализированных сценариев.

В этой статье описывается, как Microsoft управляет уязвимостями системы безопасности и обновлениями безопасности, которые также называются исправлениями для кластеров AKS. Общие сведения о возможностях AKS Automatic см. в статье "Введение в AKS Automatic службы Azure Kubernetes Service (AKS)".

Это важно

Начиная с 30 ноября 2025 г. служба Azure Kubernetes (AKS) больше не поддерживает или предоставляет обновления безопасности для Azure Linux 2.0. Образ узла Linux 2.0 Azure заморожен в выпуске 202512.06.0. Начиная с 31 марта 2026 г. образы узлов будут удалены, и вы не сможете масштабировать пулы узлов. Выполните миграцию в поддерживаемую версию Linux Azure, обновив пулы узлов до поддерживаемой версии Kubernetes или переключив ее на osSku AzureLinux3. Для получения дополнительной информации см. запись GitHub об окончании поддержки и объявление о прекращении обновлений Azure. Чтобы быть в курсе объявлений и обновлений, ознакомьтесь с заметками о выпуске AKS.

Автоматизация и управление уязвимостями в AKS

AKS Automatic создан как готовый к промышленной эксплуатации вариант по умолчанию для новых рабочих нагрузок AKS. Она включает значения по умолчанию, которые укрепляют уровень безопасности кластера и сокращают объем ручной работы, необходимой для поддержания текущей рабочей нагрузки, например:

  • Управляемые пулы системных узлов, которые AKS создает, масштабирует и обновляет.
  • Azure Linux для пула системных узлов.
  • Автоматическое обновление образа кластера и узла.
  • Azure: управление доступом на основе ролей (RBAC) для авторизации Kubernetes.
  • Поддержка идентификации рабочих нагрузок и эмитента OIDC.
  • Защита развертывания и базовые стандарты безопасности Pod.
  • Очистка изображения для удаления неиспользуемых изображений.
  • Управляемые сети по умолчанию, которые снижают потребность в настройке пользовательской инфраструктуры.

Эти параметры по умолчанию помогают Microsoft и клиентам сократить время подверженности известным уязвимостям и упростить процесс поддержания кластеров в актуальном состоянии. AKS Standard по-прежнему доступен, если вам нужна более ручная или настраиваемая операционная модель.

Обнаружение уязвимостей

Корпорация Майкрософт выявляет и устраняет уязвимости и отсутствующие обновления безопасности для следующих компонентов:

  • Образы контейнеров AKS: Microsoft создает и поддерживает образы контейнеров, используемые в AKS, которые включают компоненты Kubernetes и другое программное обеспечение с открытым исходным кодом. Microsoft проверяет эти образы на наличие уязвимостей и применяет исправления по мере необходимости.
  • Рабочие узлы с Ubuntu 18.04 и 22.04: Canonical предоставляет Microsoft сборки ОС, на которые установлены все доступные обновления безопасности.
  • Рабочие узлы ОС Windows Server 2022: Операционная система Windows Server обновляется во второй вторник каждого месяца. SLA должны быть одинаковыми в соответствии с их договором на поддержку и уровнем серьезности.
  • Узлы ОС Azure Linux: Azure Linux предоставляет AKS сборки ОС, в которые включены все доступные обновления безопасности.

Для автоматических кластеров AKS пул узлов управляемой системы использует Azure Linux по умолчанию, что соответствует кластеру с защищенной и управляемой операционной системой платформы. Это по умолчанию сокращает объем управления исправлениями на уровне узла, которые необходимо сделать самостоятельно.

Образы контейнеров AKS

Хотя Cloud Native Computing Foundation (CNCF) владеет и поддерживает большинство запусков кода AKS, корпорация Майкрософт отвечает за создание пакетов с открытым кодом, которые мы развертываем в AKS. Эта ответственность включает полное владение сборкой, сканированием, подписью, проверкой и исправлением и контролем над двоичными файлами в образах контейнеров. Ответственность за создание пакетов с открытым исходным кодом, развернутых в AKS, позволяет нам установить цепочку поставок программного обеспечения по двоичному файлу и исправить программное обеспечение по мере необходимости.  

Корпорация Майкрософт активно работает в более широкой экосистеме Kubernetes, чтобы помочь построить будущее облачных вычислений в более широком сообществе CNCF. Эта работа не только обеспечивает качество каждого релиза Kubernetes для всего мира, но и позволяет AKS на протяжении нескольких лет быстро выводить новые релизы Kubernetes в промышленную эксплуатацию. В некоторых случаях впереди других поставщиков облачных служб на несколько месяцев. Корпорация Майкрософт сотрудничает с другими отраслевыми партнерами в организации безопасности Kubernetes. Например, Комитет по реагированию на безопасность (SRC) получает, определяет приоритеты и исправляет уязвимости безопасности, введенные в эмбарго, прежде чем они будут объявлены общественности. Это обязательство гарантирует безопасность Kubernetes для всех пользователей и позволяет AKS исправлять и реагировать на уязвимости быстрее, чтобы обеспечить безопасность наших клиентов. Помимо Kubernetes, Microsoft подписалась на получение предварительных уведомлений об уязвимостях программного обеспечения в таких продуктах и проектах с открытым исходным кодом, как Envoy, среды выполнения контейнеров и многие другие.

Корпорация Майкрософт сканирует образы контейнеров с помощью статического анализа для обнаружения уязвимостей и отсутствия обновлений в Kubernetes и управляемых Корпорацией Майкрософт контейнерах. Если доступны исправления, сканер автоматически начинает процесс обновления и развертывания.

Помимо автоматического сканирования корпорация Майкрософт обнаруживает и обновляет уязвимости, неизвестные сканерам, следующим образом:

  • Корпорация Майкрософт выполняет собственные аудиты, тестирование на проникновение и обнаружение уязвимостей на всех платформах AKS. Специализированные команды корпорации Майкрософт и доверенные сторонние поставщики безопасности проводят собственные исследования атак.
  • Корпорация Майкрософт активно взаимодействует с сообществом исследований безопасности с помощью нескольких программ вознаграждения уязвимостей. Специальная программа Microsoft Azure Bounty предусматривает крупные вознаграждения за наиболее значимую облачную уязвимость, обнаруженную в течение года.
  • Microsoft сотрудничает с другими партнёрами из отрасли и сообщества программного обеспечения с открытым исходным кодом, которые обмениваются сведениями об уязвимостях, результатами исследований в области безопасности и обновлениями до публичного раскрытия информации об уязвимости. Цель этой совместной работы — обновить большие части инфраструктуры Интернета, прежде чем уязвимость будет объявлена общественности. В некоторых случаях корпорация Майкрософт вносит уязвимости, обнаруженные в этом сообществе.
  • Совместная работа майкрософт по обеспечению безопасности выполняется на многих уровнях. Иногда это происходит официально через программы, в рамках которых организации подписываются на получение предварительных уведомлений об уязвимостях программного обеспечения в таких продуктах, как Kubernetes и Docker. Совместная работа также происходит неофициально из-за нашего взаимодействия с множеством открытый код проектов, таких как ядро Linux, среда выполнения контейнеров, технология виртуализации и другие.

Рабочие узлы

Узлы Linux

По умолчанию в AKS отключены ночные канонические обновления безопасности ОС. Чтобы включить их явным образом, используйте unmanagedканал.

Если вы используете unmanagedканал, ночные канонические обновления безопасности применяются к ОС на узле. Образ узла, используемый для создания узлов для кластера, остается неизменным. Если в кластер добавляется новый узел Linux, для его создания используется исходный образ. Этот новый узел получает все доступные обновления системы безопасности и ядра во время автоматической оценки, выполняемой каждую ночь, но по-прежнему остается невключаемой до завершения всех проверок и перезапусков. С помощью обновления образа узла можно проверить наличие образов узла, используемых кластером, и обновить их. Дополнительные сведения об обновлении образа узла см. в статье Обновление образа узла в Службе Azure Kubernetes (AKS).

Для кластеров AKS, использующих канал, отличный от unmanaged, процесс автоматического обновления отключен.

Для AKS Automatic пул системных узлов по умолчанию управляется AKS и использует модель обновления NodeImage для поддержания текущих узлов, не требуя регулярного вмешательства вручную.

Узлы Windows Server

На узлах Windows Server Центр обновления Windows не запускается автоматически и не устанавливает последние обновления. Запланируйте обновления пула узлов Windows Server в кластере AKS в соответствии с обычным циклом выпуска обновления Windows и собственным процессом управления обновлениями. При обновлении создаются узлы, в которых запускается последняя версия образа и исправления Windows Server. Затем более старые версии узлов удаляются. Дополнительные сведения об обновлении пула узлов в AKS см. в этой статье.

Узлы Windows Server в основном используются в составе стандартного кластера или для специализированных рабочих нагрузок. AkS Automatic использует Azure Linux для пула системных узлов.

Классификация уязвимостей

Корпорация Майкрософт вносит большие инвестиции в обеспечение безопасности всего стека, включая ОС, контейнер, Kubernetes и сетевые слои, помимо настройки хороших значений по умолчанию и обеспечения конфигураций, защищенных безопасностью, и управляемых компонентов. В сочетании эти усилия помогают снизить влияние и вероятность уязвимостей.

Команда AKS классифицирует уязвимости в соответствии с системой оценки уязвимостей Kubernetes. Классификации учитывают множество факторов, включая настройку AKS и защиту безопасности. В результате этого подхода и инвестиции AKS в безопасность, классификации уязвимостей AKS могут отличаться от других источников классификации.

В следующей таблице описаны категории серьезности уязвимостей:

Серьёзность Описание
Критически важно Уязвимость легко эксплуатируется во всех кластерах неуправляемым удаленным злоумышленником, который приводит к полному компрометации системы.
Высокая Уязвимость легко используется для многих кластеров, что приводит к потере конфиденциальности, целостности или доступности.
Средняя Уязвимость, доступная для некоторых кластеров, где потеря конфиденциальности, целостности или доступности ограничена общими конфигурациями, трудностями самого эксплойта, необходимым доступом или взаимодействием с пользователем.
Низкий Все остальные уязвимости. Эксплуатация уязвимости маловероятна, или последствия эксплуатации ограничены.

Обновление уязвимостей

AKS еженедельно устраняет уязвимости CVE, для которых доступно исправление от поставщика. Любые CVE без исправлений ожидают исправления от поставщика, прежде чем их можно будет исправить. Исправленные образы контейнеров кэшируются в следующей соответствующей сборке виртуального жесткого диска (VHD), которая также содержит обновления Ubuntu, Azure Linux и Windows с исправлениями CVE. Если вы используете обновлённый VHD, то в ваших образах контейнеров не должно быть CVE, для которых исправление от поставщика доступно уже более 30 дней.

Для уязвимостей на основе ОС на виртуальном жестком диске AKS также использует обновления vhd образа узла по умолчанию, поэтому все обновления системы безопасности приходят с еженедельными выпусками образов узлов. Автоматические обновления отключены, если только вы не переключитесь в неуправляемый режим, что не рекомендуется, поскольку его развертывание выполняется глобально.

AKS Automatic сокращает объем работы по управлению исправлениями, которую нужно выполнять вручную, за счет использования управляемых системных пулов узлов и каналов автоматического обновления кластера. Это означает, что платформа отвечает за сохранение кластера ближе к текущим, поддерживаемым версиям, не требуя оркестрации каждого узла и обновления уровня управления самостоятельно.

Сроки выпуска обновлений

Цель Корпорации Майкрософт — устранить обнаруженные уязвимости в течение определенного периода времени, соответствующего рискам, которые они представляют. Microsoft Azure FedRAMP High предварительное разрешение на эксплуатацию (P-ATO) включает AKS в область аудита и авторизовано. Руководство по стратегии непрерывного мониторинга FedRAMP и базовые показатели fedRAMP Low, Moderate и High Security Control требуют исправления известных уязвимостей в течение определенного периода времени в соответствии с уровнем серьезности. Как указано в FedRAMP RA-5d.

Способы передачи сведений об уязвимостях и обновлениях

Как правило, корпорация Майкрософт широко не сообщает о выпуске новых версий исправлений для AKS. Однако корпорация Майкрософт постоянно отслеживает и проверяет доступные исправления CVE для их своевременной поддержки в AKS. Если обнаружено критически важное исправление или требуется действие пользователя, Microsoft публикует и обновляет сведения о проблеме CVE на GitHub.

Для AKS Automatic эти обновления должны выполняться с меньшим вмешательством со стороны клиентов, поскольку кластер использует модель управляемого обновления и готовые к промышленной эксплуатации параметры по умолчанию. Для AKS Standard пользователи, скорее всего, должны отслеживать и применять обновления самостоятельно.

Отчеты по безопасности

Вы можете сообщить о проблеме безопасности в Центр Майкрософт по реагированию на угрозы (MSRC), создав отчет об уязвимостях.

Если вы предпочитаете отправлять отчет без входа в средство, отправьте сообщение электронной почты secure@microsoft.com. По возможности зашифруйте сообщение с помощью ключа PGP, скачав его с страницы ключа PGP Центра безопасности Майкрософт.

Вы должны получить ответ в течение 24 часов. Если по какой-то причине вы этого не сделали, следуйте инструкциям по электронной почте, чтобы убедиться, что мы получили исходное сообщение. Дополнительные сведения см. в Центре реагирования на безопасность Майкрософт.

Включите следующие запрошенные сведения (столько, сколько вы можете предоставить), чтобы помочь нам лучше понять природу и область возможной проблемы:

  • Тип проблемы (например, переполнение буфера, внедрение SQL, междоменный скрипт и т. д.)
  • Полный путь к исходным файлам, связанным с проявлением проблемы
  • Расположение затронутого исходного кода (тег/ветвь/коммит или прямой URL-адрес)
  • Любая особая конфигурация, необходимая для воспроизведения проблемы
  • пошаговые инструкции по воспроизведению проблемы,
  • Доказательство концепции или код эксплойта (если возможно)
  • влияние проблемы, включая способ использования этой проблемы злоумышленником.

Эти сведения помогают нам быстрее устранить проблему безопасности.

Если вы отправляете отчёт в рамках программы bug bounty, более полные отчёты могут повысить размер вознаграждения. Дополнительные сведения о наших действующих программах см. в разделе Программа Microsoft Bug Bounty.

Политика

Корпорация Microsoft следует принципу согласованного раскрытия информации об уязвимостях.

Следующие шаги

Для большинства рабочих нагрузок начните с AKS Automatic.