Az Azure Kubernetes Service (AKS) biztonsági réseinek kezelése
A biztonsági rések kezelése magában foglalja a szervezet rendszereiben és szoftvereiben meglévő biztonsági rések észlelését, értékelését, kezelését és jelentését. A biztonságrés-kezelés az Ön és a Microsoft megosztott felelősségébe tartozik.
Ez a cikk azt ismerteti, hogyan kezeli a Microsoft az Azure Kubernetes Service-fürtök biztonsági réseit és biztonsági frissítéseit (más néven javításokat).
A biztonsági rések felderítettsége
A Microsoft a következő összetevők biztonsági réseit és hiányzó biztonsági frissítéseit azonosítja és javítja:
AKS-tárolórendszerképek
Ubuntu operációs rendszer 18.04 és 22.04 munkavégző csomópontok: A Canonical olyan operációsrendszer-buildeket biztosít a Microsoft számára, amelyek minden elérhető biztonsági frissítést alkalmaznak.
Windows Server 2022 operációsrendszer-feldolgozó csomópontok: A Windows Server operációs rendszer javítása minden hónap második keddjén történik. Az SLA-knak meg kell egyezniük a támogatási szerződésüknek és súlyosságuknak megfelelően.
Azure Linux operációsrendszer-csomópontok: Az Azure Linux olyan operációsrendszer-buildeket biztosít az AKS-nek, amelyek minden elérhető biztonsági frissítést alkalmaznak.
AKS-tárolórendszerképek
Bár a Cloud Native Computing Foundation (CNCF) birtokolja és tartja karban az AKS-kód futtatásának nagy részét, a Microsoft felelősséget vállal az AKS-en üzembe helyezhető nyílt forráskódú csomagok létrehozásáért. Ez a felelősség magában foglalja a buildelési, vizsgálati, aláírási, érvényesítési és gyorsjavítási folyamat teljes tulajdonjogát, valamint a tárolólemezképek bináris fájljainak vezérlését. Az AKS-ben üzembe helyezett nyílt forráskódú csomagok létrehozásáért felelős rendszer lehetővé teszi, hogy létrehozzunk egy szoftverellátási láncot a bináris rendszeren keresztül, és szükség szerint kijavítsuk a szoftvert.
A Microsoft aktív a szélesebb Kubernetes-ökoszisztémában, hogy segítsen a natív felhőbeli számítás jövőjének kiépítésében a szélesebb körű CNCF-közösségben. Ez a munka nem csak a világ minden Kubernetes-kiadásának minőségét biztosítja, hanem lehetővé teszi az AKS számára, hogy néhány évig gyorsan üzembe helyezhesse az új Kubernetes-kiadásokat. Bizonyos esetekben több hónappal megelőzve a többi felhőszolgáltatót. A Microsoft együttműködik más iparági partnerekkel a Kubernetes biztonsági szervezetében. A Biztonsági válaszbizottság (SRC) például a nyilvános bejelentés előtt megkapja, rangsorolja és javítja az embargós biztonsági réseket. Ez az elkötelezettség biztosítja, hogy a Kubernetes mindenki számára biztonságos legyen, és lehetővé teszi, hogy az AKS gyorsabban kijavítsa és reagáljon a biztonsági résekre, hogy ügyfeleink biztonságban legyenek. A Kubernetes mellett a Microsoft feliratkozott arra, hogy előzetes értesítéseket kapjon az olyan termékek szoftveres biztonsági réseivel kapcsolatban, mint az Envoy, a tároló futtatókörnyezetei és sok más nyílt forráskódú projekt.
A Microsoft statikus elemzéssel vizsgálja a tárolólemezképeket a Kubernetes és a Microsoft által felügyelt tárolók biztonsági réseinek és hiányzó frissítéseinek felderítéséhez. Ha javítások érhetők el, a képolvasó automatikusan elindítja a frissítési és kiadási folyamatot.
Az automatizált vizsgálat mellett a Microsoft az alábbi módokon észleli és frissíti a képolvasók számára ismeretlen biztonsági réseket:
A Microsoft minden AKS-platformon elvégzi a saját naplózását, behatolási tesztelését és sebezhetőségi felderítését. A Microsofton belüli speciális csapatok és a megbízható külső biztonsági szállítók saját támadáskutatást végeznek.
A Microsoft több sebezhetőségi jutalomprogramon keresztül aktívan együttműködik a biztonsági kutató közösséggel. A dedikált Microsoft Azure Bounty-program jelentős fejpénzeket biztosít az évente talált legjobb felhőbeli sebezhetőségért.
A Microsoft együttműködik más iparági és nyílt forráskód szoftverpartnerekkel, akik biztonsági réseket, biztonsági kutatásokat és frissítéseket osztanak meg a biztonsági rés nyilvános kiadása előtt. Az együttműködés célja, hogy a biztonsági rés nyilvános bejelentése előtt frissítse a nagy méretű internetes infrastruktúrát. Bizonyos esetekben a Microsoft hozzájárul a közösség számára talált biztonsági résekhez.
A Microsoft biztonsági együttműködése számos szinten történik. Néha formálisan olyan programokon keresztül történik, ahol a szervezetek feliratkoznak, hogy előzetes értesítéseket kapjanak az olyan termékek szoftveres biztonsági réseiről, mint a Kubernetes vagy a Docker. Az együttműködés informálisan is megtörténik, mivel számos nyílt forráskód projekttel, például a Linux kernellel, a tároló futtatókörnyezeteivel, a virtualizálási technológiával és másokkal való együttműködésünkről van szó.
Munkavégző csomópontok
Linux-csomópontok
Az éjszakai hálózati operációs rendszer biztonsági frissítései alapértelmezés szerint ki vannak kapcsolva az AKS-ben. Ha explicit módon szeretné engedélyezni őket, használja a csatornátunmanaged.
Ha a csatornát unmanagedhasználja, a rendszer éjszakai hálózati biztonsági frissítéseket alkalmaz a csomópont operációs rendszerére. A fürt csomópontjainak létrehozásához használt csomópontrendszerkép változatlan marad. Ha új Linux-csomópontot ad hozzá a fürthöz, a rendszer az eredeti rendszerképet használja a csomópont létrehozásához. Ez az új csomópont megkapja az összes elérhető biztonsági és kernelfrissítést az összes éjszaka elvégzett automatikus értékelés során, de az összes ellenőrzés és újraindítás befejezéséig nem lesz elérhető. A csomópont lemezképének frissítésével ellenőrizheti és frissítheti a fürt által használt csomópontrendszerképeket. A csomópontok rendszerképének frissítéséről további információt az Azure Kubernetes Service (AKS) csomópontrendszerkép-frissítésében talál.
A nem csatornát unmanagedhasználó AKS-fürtök esetében a felügyelet nélküli frissítési folyamat le van tiltva.
Windows Server-csomópontok
Windows Server-csomópontok esetén a Windows Update nem fut automatikusan, és nem alkalmazza a legújabb frissítéseket. Ütemezze a Windows Server-csomópontkészlet frissítéseit az AKS-fürtben a Windows Update rendszeres kiadási ciklusa és a saját frissítéskezelési folyamat köré. Ez a frissítési folyamat létrehozza a legújabb Windows Server rendszerképet és javításokat futtató csomópontokat, majd eltávolítja a régebbi csomópontokat. További információ erről a folyamatról: Csomópontkészlet frissítése az AKS-ben.
A biztonsági rések besorolása
A Microsoft nagy befektetéseket tesz a teljes verem , beleértve az operációs rendszert, a tárolót, a Kubernetes-t és a hálózati rétegeket – a jó alapértelmezett beállítások mellett a biztonság által megkeményített konfigurációk és felügyelt összetevők biztosításával. Ezek az erőfeszítések együttesen segítenek csökkenteni a biztonsági rések hatását és valószínűségét.
Az AKS csapata a Kubernetes sebezhetőségi pontozási rendszere szerint sorolja be a biztonsági réseket. A besorolások számos tényezőt figyelembe venek, beleértve az AKS-konfigurációt és a biztonsági megkeményedést. Ennek a megközelítésnek és az AKS által a biztonságba történő befektetésnek köszönhetően az AKS sebezhetőségi besorolásai eltérhetnek a többi besorolási forrástól.
Az alábbi táblázat a biztonságirés súlyossági kategóriáit ismerteti:
| Súlyosság | Leírás |
|---|---|
| Kritikus | A biztonsági rést könnyen kihasználhatja az összes fürtben egy hitelesítés nélküli távoli támadó, amely teljes rendszerszintű biztonsági rést eredményez. |
| Magas | A biztonsági rés könnyen kihasználható számos olyan fürt esetében, amely a bizalmasság, az integritás vagy a rendelkezésre állás elvesztéséhez vezet. |
| Közepes | Bizonyos fürtök esetében kihasználható biztonsági rés, ahol a bizalmasság, az integritás vagy a rendelkezésre állás elvesztését a gyakori konfigurációk, a kihasználtság nehézsége, a szükséges hozzáférés vagy a felhasználói interakció korlátozza. |
| Alacsony | Minden más biztonsági rés. A hasznosítás nem valószínű, vagy a kizsákmányolás következményei korlátozottak. |
A biztonsági rések frissítése
Az AKS minden héten kijavítja azokat a gyakori biztonsági réseket és kitettségeket (CVE-ket), amelyeken hetente javítják a szállítókat. A javítás nélküli cve-k a szervizelés előtt egy szállítói javításra várnak. A rögzített tárolólemezképek gyorsítótárazva lesznek a következő megfelelő virtuális merevlemez-buildben (VHD), amely tartalmazza a frissített Ubuntu/Azure Linux/Windows javítással rendelkező CVE-ket is. Amíg a frissített VHD-t futtatja, nem szabad 30 napnál régebbi szállítói javítással rendelkező tárolólemezkép-CV-eket futtatnia.
A VHD operációsrendszer-alapú biztonsági rései esetében az AKS alapértelmezés szerint a csomópontrendszerkép virtuális merevlemez-frissítéseire is támaszkodik, így minden biztonsági frissítés heti csomópontrendszerkép-kiadásokkal fog érkezni. A felügyelet nélküli frissítések le vannak tiltva, kivéve, ha nem felügyelt verzióra vált, ami nem ajánlott, mivel a kiadás globális.
Kiadási ütemtervek frissítése
A Microsoft célja az észlelt biztonsági rések elhárítása az általuk képviselt kockázatoknak megfelelő időn belül. A Microsoft Azure FedRAMP magas szintű ideiglenes üzemeltetési engedélyezése (P-ATO) az AKS-t is tartalmazza az audit hatókörében, és engedélyezve van. A FedRAMP folyamatos monitorozási stratégiai útmutatója és a FedRAMP Low, Moderate és High Security Control alapkonfigurációi megkövetelik az ismert biztonsági rések javítását egy adott időszakban a súlyossági szintjüknek megfelelően. A FedRAMP RA-5d-ben megadottak szerint.
A biztonsági rések és frissítések kommunikációja
A Microsoft általában nem közli széles körben az AKS új javításverzióinak kiadását. A Microsoft azonban folyamatosan figyeli és ellenőrzi az elérhető CVE-javításokat, hogy időben támogassa őket az AKS-ben. Ha kritikus javítást talál, vagy felhasználói műveletre van szükség, a Microsoft közzéteszi és frissíti a CVE-probléma részleteit a GitHubon.
Biztonsági jelentéskészítés
Biztonsági problémát jelenthet a Microsoft Security Response Center (MSRC) számára egy biztonsági résjelentés létrehozásával.
Ha úgy szeretne jelentést küldeni, hogy nem jelentkezik be az eszközre, küldjön e-mailt a következő címre secure@microsoft.com: . Ha lehetséges, titkosítsa az üzenetet a PGP-kulccsal a Microsoft Security Response Center PGP-kulcs oldaláról való letöltésével.
24 órán belül választ kell kapnia. Ha valamilyen okból nem, kövesse az e-mailt, hogy biztosan megkapjuk az eredeti üzenetet. További információ: Microsoft Security Response Center.
Adja meg a következő kért információkat (amennyire csak tud), hogy jobban megértsük a lehetséges probléma természetét és hatókörét:
- A probléma típusa (például puffer túlcsordulása, SQL-injektálás, helyek közötti szkriptelés stb.)
- A probléma megjelenési módjával kapcsolatos forrásfájl(ok) teljes elérési útjai
- Az érintett forráskód helye (címke/elágazás/véglegesítés vagy közvetlen URL)
- A probléma ismételt előidézéséhez szükséges speciális konfigurációk
- Részletes utasítások a probléma ismételt előidézéséhez
- A koncepció bizonyítása vagy a biztonsági rést kihasználó kód (ha lehetséges)
- A probléma hatása, beleértve azt is, hogy a támadó hogyan használhatja ki a problémát.
Ezek az információk segítenek a jelentett biztonsági probléma gyorsabb osztályozásában.
Ha hibadíjról számol be, a teljesebb jelentések hozzájárulhatnak egy magasabb díj odaítéléséhez. Az aktív programokról további információt a Microsoft Bug Bounty Programban talál.
Házirend
A Microsoft az összehangolt biztonságirés-közzététel elvét követi.
Következő lépések
Tekintse meg az Azure Kubernetes Service-fürtök és csomópontkészletek frissítésének áttekintését.