Что такое Azure Linux с OS Guard для Azure Kubernetes Service (AKS) (предварительная версия)?

Note

Azure Container Linux (ACL) приходит на смену Azure Linux с OS Guard (предварительная версия) в качестве долгосрочно поддерживаемой, иммутабельной, оптимизированной для контейнеров операционной системы Linux для Azure Kubernetes Service (AKS). Она обеспечивает безопасную, минималистичную и операционно согласованную хостовую ОС, предназначенную для запуска контейнеризованных рабочих нагрузок в большом масштабе. Дополнительные сведения см. в обзоре Azure Container Linux (ACL).

В этой статье представлен обзор Azure Linux с OS Guard, который является усиленным, неизменяемым вариантом версии Azure Linux. Она обеспечивает высокую надежность целостности среды выполнения, защиту от несанкционированных изменений и безопасность уровня предприятия для узлов контейнеров в AKS. На основе Azure Linux OS Guard добавляет функции ядра и среды выполнения, которые обеспечивают целостность кода, защищают корневую файловую систему от несанкционированных изменений и применяют обязательные элементы управления доступом. Используйте OS Guard, если вам нужны повышенные гарантии о узле контейнера и среде выполнения рабочей нагрузки.

Ключевые особенности

В следующей таблице описаны основные функции Azure Linux с OS Guard:

Функция Description Notes
Неизменность Каталог /usr смонтирован как том только для чтения, защищенный с помощью dm-verity. Во время выполнения ядро проверяет подписанный корневой хэш для обнаружения и блокировки изменения. N/A
Целостность кода OS Guard интегрирует модуль безопасности политики целостности (IPE) для Linux, чтобы обеспечить выполнение только двоичных файлов из доверенных подписанных томов. Это помогает предотвратить выполнение подделанного или ненадежного кода, включая внутри образов контейнеров. IPE работает в режиме аудита на этапе предварительного просмотра.
Обязательный контроль доступа OS Guard интегрирует SELinux, чтобы ограничить доступ к конфиденциальным ресурсам в системе. SELinux работает в разрешительном режиме во время предварительной версии.
Измеряемая загрузка и доверенный запуск OS Guard поддерживает измеряемую загрузку и интегрируется с доверенным запуском , чтобы обеспечить криптографические измерения компонентов загрузки, хранящихся в виртуальном TPM (vTPM). Это достигается с помощью единого образа ядра (UKI), который объединяет ядро, initramfs и командную строку ядра в один подписанный артефакт. Во время загрузки UKI измеряется и записывается в vTPM, обеспечивая целостность с самого раннего этапа. N/A
Проверенные слои контейнеров Образы контейнеров и слои проверяются с помощью подписанных хэшей dm-verity. Это гарантирует, что во время выполнения используются только проверенные слои, что снижает риск вылазки из контейнера или подделки. IPE также расширяется в образах контейнеров, обеспечивая выполнение только двоичных файлов, соответствующих доверенной подписи, даже если они существуют в проверенном слое. IPE работает в режиме аудита в режиме предварительного просмотра.
Безопасность цепочки независимых поставок OS Guard наследует безопасные конвейеры сборки Azure Linux, подписанные унифицированные образы ядра (UKIs), а также (SBOM) подписанные списки материалов программного обеспечения. N/A

Ключевые преимущества

В следующей таблице описаны основные преимущества использования Azure Linux с OS Guard:

Benefit Description
Надежная гарантия целостности среды выполнения Неизменяемость ядра и IPE препятствуют выполнению незаконного или ненадежного кода.
Снижение уровня атак Каталог /usr доступен только для чтения, сокращенное количество пакетов и политики SELinux ограничивают возможности для злоумышленника устанавливать постоянные бэкдоры или изменять системные двоичные файлы.
Доверие к цепочке поставок Создает на основе подписанных образов и процессов цепочки поставок Azure Linux, обеспечивая четкое происхождение для системных компонентов.
Интеграция с функциями безопасности Azure Встроенная поддержка доверенного запуска и безопасной загрузки обеспечивает измеряемую защиту загрузки и аттестацию.
Прозрачность с открытым кодом Многие базовые технологии (dm-verity, SELinux, IPE) являются вышестоящими или открытыми версиями, и Корпорация Майкрософт имеет инструменты и вклады в поддержку этих функций.
Наследование соответствия требованиям OS Guard наследует свойства соответствия от Azure Linux (например, криптографические модули и сертификаты, доступные в Azure Linux), что упрощает внедрение в регулируемых средах.

Рекомендации и ограничения

При использовании Azure Linux с OS Guard для AKS следует учитывать следующие рекомендации и ограничения.

  • Для работы с Azure Linux и OS Guard требуется версия Kubernetes 1.32.0 или выше.
  • Все образы Azure Linux с OS Guard включают в себя Федеральный стандарт обработки информации (FIPS) и доверенный запуск.
  • Azure CLI и шаблоны ARM являются единственными поддерживаемыми методами развертывания для Azure Linux с OS Guard в AKS в предварительной версии. PowerShell и Terraform не поддерживаются.
  • Образы Arm64 не поддерживаются в Azure Linux с OS Guard на AKS в режиме предварительной версии.
  • NodeImage и None являются единственными поддерживаемыми каналами обновления операционной системы (ОС) для Azure Linux с OS Guard в AKS. Unmanaged и SecurityPatch несовместимы с Azure Linux с OS Guard из-за неизменяемого каталога /usr.
  • Потоковая передача артефактов не поддерживается.
  • Песочница Pod не поддерживается.
  • Конфиденциальные виртуальные машины (CVM) не поддерживаются.
  • Виртуальные машины 1-го поколения не поддерживаются.

Как выбрать опцию хоста контейнера Linux в Azure

Azure Linux с OS Guard основана на Azure Linux и использует те же функции защиты цепочки поставок и подписанных образов. Оба варианта ОС могут быть подходящими в зависимости от требований к безопасности, соответствию требованиям и операционным требованиям:

Параметр узла контейнера Хост контейнеров Azure Linux Azure Linux с OS Guard
Преимущества безопасности Azure Linux предоставляет функции безопасности, которые Майкрософт считает критически важными для рабочих нагрузок AKS. Все преимущества Azure Linux и дополнительные преимущества безопасности, упомянутые выше.
Знакомство с пользователем Принципы работы и инструменты знакомы пользователям, переходящим с других дистрибутивов Linux, таких как Ubuntu. Знакомые клиенты, поступающие из других оптимизированных для контейнеров дистрибутивов.
Целевая аудитория Предназначено для клиентов, осуществляющих lift-and-shift-миграции, выполняющих миграции и переходящих с других дистрибутивов Linux. Предназначено для облачных клиентов, которые рождены в облаке или которые хотят модернизировать.
Элементы управления безопасностью Возможность включить AppArmor, если это необходимо для ориентированных на безопасность клиентов. Переключатели безопасности, такие как SELinux и IPE, по умолчанию находятся в разрешающем режиме.

Дополнительные сведения об Azure Linux OS Guard для AKS см. в следующих материалах: