Zarządzanie lukami w zabezpieczeniach dla usługi Azure Kubernetes Service (AKS)
Zarządzanie lukami w zabezpieczeniach obejmuje wykrywanie, ocenianie, korygowanie i raportowanie wszelkich luk w zabezpieczeniach, które występują w systemach i oprogramowaniu organizacji. Odpowiedzialność za zarządzanie lukami w zabezpieczeniach leży zarówno po stronie użytkownika, jak i firmy Microsoft.
W tym artykule opisano, jak firma Microsoft zarządza lukami w zabezpieczeniach i aktualizacjami zabezpieczeń (nazywanymi również poprawkami) dla klastrów usługi Azure Kubernetes Service (AKS).
Jak są wykrywane luki w zabezpieczeniach
Firma Microsoft identyfikuje luki w zabezpieczeniach i poprawki oraz brakujące aktualizacje zabezpieczeń dla następujących składników:
Obrazy kontenerów usługi AKS
Węzły robocze systemu operacyjnego Ubuntu 18.04 i 22.04: firma Canonical udostępnia kompilacje systemu operacyjnego Microsoft z zastosowanymi wszystkimi dostępnymi aktualizacjami zabezpieczeń.
Węzły procesu roboczego systemu operacyjnego Windows Server 2022: system operacyjny Windows Server jest poprawiany w drugi wtorek każdego miesiąca. Umowy SLA powinny być takie same jak zgodnie z umową pomocy technicznej i ważnością.
Węzły systemu operacyjnego Azure Linux: system Azure Linux udostępnia usługę AKS z kompilacjami systemu operacyjnego, które mają zastosowane wszystkie dostępne aktualizacje zabezpieczeń.
Obrazy kontenerów usługi AKS
Podczas gdy Cloud Native Computing Foundation (CNCF) jest właścicielem i utrzymuje większość przebiegów kodu AKS, firma Microsoft ponosi odpowiedzialność za tworzenie pakietów open source wdrażanych w usłudze AKS. Ta odpowiedzialność obejmuje posiadanie pełnej własności procesu kompilacji, skanowania, podpisywania, weryfikowania i poprawek, a także kontroli nad plikami binarnymi na obrazach kontenerów. Odpowiedzialność za tworzenie pakietów typu open source wdrożonych w usłudze AKS umożliwia nam ustanowienie łańcucha dostaw oprogramowania w pliku binarnym oraz stosowanie poprawek oprogramowania zgodnie z potrzebami.
Firma Microsoft jest aktywna w szerszym ekosystemie Kubernetes, aby pomóc w budowaniu przyszłości obliczeń natywnych dla chmury w szerszej społeczności CNCF. Ta praca nie tylko zapewnia jakość każdej wersji platformy Kubernetes na świecie, ale także umożliwia usłudze AKS szybkie uzyskiwanie nowych wersji rozwiązania Kubernetes w środowisku produkcyjnym przez kilka lat. W niektórych przypadkach przed innymi dostawcami usług w chmurze przez kilka miesięcy. Firma Microsoft współpracuje z innymi partnerami branżowymi w organizacji zabezpieczeń platformy Kubernetes. Na przykład komitet reagowania na zabezpieczenia (SRC) otrzymuje, priorytetowo ustala priorytety i poprawki luk w zabezpieczeniach, zanim zostaną ogłoszone publicznie. To zobowiązanie zapewnia bezpieczeństwo platformy Kubernetes wszystkim i umożliwia usłudze AKS stosowanie poprawek i reagowanie na luki w zabezpieczeniach, aby zapewnić bezpieczeństwo naszych klientów. Oprócz platformy Kubernetes firma Microsoft zarejestrowała się, aby otrzymywać powiadomienia o lukach w zabezpieczeniach oprogramowania dla produktów, takich jak Envoy, środowiska uruchomieniowe kontenerów i wiele innych projektów typu open source.
Firma Microsoft skanuje obrazy kontenerów przy użyciu analizy statycznej w celu wykrycia luk w zabezpieczeniach i brakujących aktualizacji w kontenerach zarządzanych przez firmę Microsoft i kubernetes. Jeśli poprawki są dostępne, skaner automatycznie rozpoczyna proces aktualizacji i wydania.
Oprócz automatycznego skanowania firma Microsoft odnajduje i aktualizuje luki w zabezpieczeniach nieznane skanerom w następujący sposób:
Firma Microsoft przeprowadza własne inspekcje, testy penetracyjne i odnajdywanie luk w zabezpieczeniach na wszystkich platformach AKS. Wyspecjalizowane zespoły w firmie Microsoft i zaufanych dostawców zabezpieczeń innych firm przeprowadzają własne badania dotyczące ataków.
Firma Microsoft aktywnie współpracuje ze społecznością ds. badań nad zabezpieczeniami za pośrednictwem wielu programów nagradzania luk w zabezpieczeniach. Dedykowany program Bounty platformy Microsoft Azure zapewnia znaczące nagrody za najlepszą lukę w zabezpieczeniach w chmurze znalezioną każdego roku.
Firma Microsoft współpracuje z innymi partnerami branżowymi i oprogramowaniem typu open source, którzy udostępniają luki w zabezpieczeniach, badania zabezpieczeń i aktualizacje przed publiczną wersją luki w zabezpieczeniach. Celem tej współpracy jest zaktualizowanie dużej infrastruktury internetowej przed ogłoszeniem luki w zabezpieczeniach publicznej. W niektórych przypadkach firma Microsoft przyczynia się do powstania luk w zabezpieczeniach znalezionych w tej społeczności.
Współpraca w zakresie zabezpieczeń firmy Microsoft odbywa się na wielu poziomach. Czasami występuje to formalnie za pośrednictwem programów, w których organizacje tworzą konto, aby otrzymywać powiadomienia o lukach w zabezpieczeniach oprogramowania dla produktów, takich jak Kubernetes i Docker. Współpraca odbywa się również nieformalnie ze względu na zaangażowanie wielu projektów typu open source, takich jak jądro systemu Linux, środowiska uruchomieniowe kontenerów, technologia wirtualizacji i inne.
Węzły procesu roboczego
Węzły systemu Linux
Nocne aktualizacje zabezpieczeń systemu operacyjnego są domyślnie wyłączone w usłudze AKS. Aby je jawnie włączyć, użyj kanałuunmanaged.
Jeśli używasz kanałuunmanaged, nocne aktualizacje zabezpieczeń kanonicznych są stosowane do systemu operacyjnego w węźle. Obraz węzła używany do tworzenia węzłów dla klastra pozostaje niezmieniony. Jeśli nowy węzeł systemu Linux zostanie dodany do klastra, oryginalny obraz zostanie użyty do utworzenia węzła. Ten nowy węzeł otrzymuje wszystkie aktualizacje zabezpieczeń i jądra dostępne podczas automatycznej oceny wykonywanej każdej nocy, ale pozostaje niezałaczany do momentu ukończenia wszystkich kontroli i ponownych uruchomień. Możesz użyć uaktualnienia obrazu węzła, aby sprawdzić i zaktualizować obrazy węzłów używane przez klaster. Aby uzyskać więcej informacji na temat uaktualniania obrazu węzła, zobacz Uaktualnianie obrazu węzła usługi Azure Kubernetes Service (AKS).
W przypadku klastrów usługi AKS przy użyciu kanału innego niż unmanagedproces uaktualniania nienadzorowanego jest wyłączony.
Węzły systemu Windows Server
W przypadku węzłów systemu Windows Server usługa Windows Update nie jest uruchamiana automatycznie i stosuje najnowsze aktualizacje. Zaplanuj uaktualnienia puli węzłów systemu Windows Server w klastrze usługi AKS wokół cyklu regularnego wydania usługi Windows Update i własnego procesu zarządzania aktualizacjami. Ten proces uaktualniania tworzy węzły, które uruchamiają najnowszy obraz i poprawki systemu Windows Server, a następnie usuwa starsze węzły. Aby uzyskać więcej informacji na temat tego procesu, zobacz Uaktualnianie puli węzłów w usłudze AKS.
Jak są klasyfikowane luki w zabezpieczeniach
Firma Microsoft wprowadza duże inwestycje w zabezpieczanie całego stosu, w tym systemu operacyjnego, kontenera, platformy Kubernetes i warstw sieci, oprócz ustawiania dobrych ustawień domyślnych i zapewniania konfiguracji ze wzmocnionymi zabezpieczeniami zabezpieczeń i składników zarządzanych. W połączeniu te wysiłki pomagają zmniejszyć wpływ i prawdopodobieństwo luk w zabezpieczeniach.
Zespół usługi AKS klasyfikuje luki w zabezpieczeniach zgodnie z systemem oceniania luk w zabezpieczeniach Kubernetes. Klasyfikacje uwzględniają wiele czynników, w tym konfigurację usługi AKS i wzmocnienie zabezpieczeń. W wyniku tego podejścia, a inwestycje w usługę AKS w zabezpieczeniach klasyfikacje luk w zabezpieczeniach usługi AKS mogą różnić się od innych źródeł klasyfikacji.
W poniższej tabeli opisano kategorie ważności luk w zabezpieczeniach:
| Ważność | opis |
|---|---|
| Krytyczne | Luka w zabezpieczeniach można łatwo wykorzystać we wszystkich klastrach przez nieuwierzytelnionego zdalnego atakującego, który prowadzi do pełnego naruszenia zabezpieczeń systemu. |
| Maksimum | Luka w zabezpieczeniach, którą można łatwo wykorzystać dla wielu klastrów, co prowadzi do utraty poufności, integralności lub dostępności. |
| Średnia | Luki w zabezpieczeniach możliwe do wykorzystania w niektórych klastrach, w których utrata poufności, integralności lub dostępności jest ograniczona przez typowe konfiguracje, trudności z wykorzystaniem luk w zabezpieczeniach, wymagany dostęp lub interakcję użytkownika. |
| Minimum | Wszystkie inne luki w zabezpieczeniach. Wykorzystywanie jest mało prawdopodobne, a konsekwencje eksploatacji są ograniczone. |
Jak są aktualizowane luki w zabezpieczeniach
Usługa AKS poprawia typowe luki w zabezpieczeniach i ekspozycje (CVE), które co tydzień mają poprawkę dostawcy. Wszelkie CVE bez poprawki czekają na poprawkę dostawcy, zanim będą mogły zostać skorygowane. Stałe obrazy kontenerów są buforowane w następnej odpowiedniej kompilacji wirtualnego dysku twardego (VHD), która zawiera również zaktualizowane cvE z poprawkami systemu Ubuntu/Azure Linux/Windows. Jeśli używasz zaktualizowanego wirtualnego dysku twardego, nie należy uruchamiać żadnych cves obrazu kontenera z poprawką dostawcy, która ma ponad 30 dni.
W przypadku luk w zabezpieczeniach opartych na systemie operacyjnym na dysku VHD usługa AKS również domyślnie korzysta z aktualizacji wirtualnego dysku twardego obrazu węzła, więc wszystkie aktualizacje zabezpieczeń będą dostarczane z cotygodniowymi wersjami obrazu węzła. Nienadzorowane uaktualnienia są wyłączone, chyba że przełączysz się na niezarządzane, co nie jest zalecane, ponieważ jego wydanie jest globalne.
Osie czasu aktualizacji wersji
Celem firmy Microsoft jest ograniczenie wykrytych luk w zabezpieczeniach w określonym przedziale czasu odpowiadającym zagrożeniom, które reprezentują. Usługa Microsoft Azure FedRAMP High Tymczasowa autoryzacja do obsługi (P-ATO) obejmuje usługę AKS w zakresie inspekcji i została autoryzowana. Przewodnik po strategii ciągłego monitorowania FedRAMP oraz punkty odniesienia FedRAMP Low, Moderate i High Security Control wymagają korygowania znanych luk w zabezpieczeniach w określonym przedziale czasu zgodnie z ich poziomem ważności. Zgodnie z specyfikacją FedRAMP RA-5d.
Jak są przekazywane luki w zabezpieczeniach i aktualizacje
Ogólnie rzecz biorąc, firma Microsoft nie komunikuje się zasadniczo z wydaniem nowych wersji poprawek dla usługi AKS. Firma Microsoft stale monitoruje i weryfikuje dostępne poprawki CVE w celu ich obsługi w usłudze AKS w odpowiednim czasie. Jeśli znaleziono krytyczną poprawkę lub wymagana jest akcja użytkownika, firma Microsoft publikuje i aktualizuje szczegóły problemu CVE w witrynie GitHub.
Raportowanie zabezpieczeń
Problem z zabezpieczeniami można zgłosić w Centrum zabezpieczeń firmy Microsoft (MSRC), tworząc raport o lukach w zabezpieczeniach.
Jeśli wolisz przesłać raport bez logowania się do narzędzia, wyślij wiadomość e-mail na adres secure@microsoft.com. Jeśli to możliwe, zaszyfruj wiadomość przy użyciu klucza PGP, pobierając go ze strony Klucz PGP centrum zabezpieczeń firmy Microsoft.
Odpowiedź wysyłamy zazwyczaj w ciągu 24 godzin. Jeśli z jakiegoś powodu tego nie zrobisz, postępuj zgodnie z wiadomością e-mail, aby upewnić się, że otrzymaliśmy oryginalną wiadomość. Aby uzyskać więcej informacji, przejdź do Centrum zabezpieczeń firmy Microsoft.
Dołącz następujące żądane informacje (o ile można podać), aby pomóc nam lepiej zrozumieć charakter i zakres możliwego problemu:
- Typ problemu (na przykład przepełnienie buforu, wstrzyknięcie kodu SQL, wykonywanie skryptów między lokacjami itp.)
- Pełne ścieżki plików źródłowych związanych z objawem problemu
- Lokalizacja kodu źródłowego, którego dotyczy problem (tag/gałąź/zatwierdzenie lub bezpośredni adres URL)
- Każda konfiguracja specjalna niezbędna do odtworzenia problemu
- Szczegółowe wskazówki umożliwiające odtworzenia problemu
- Weryfikacja koncepcji lub kod z luką bezpieczeństwa (w miarę możliwości)
- Wpływ problemu, w tym na sposób wykorzystania problemu przez osobę atakującą.
Te informacje pomagają nam szybciej sklasyfikować zgłoszony problem z zabezpieczeniami.
Jeśli zgłaszasz nagrodę za błędy, bardziej kompletne raporty mogą przyczynić się do wyższej nagrody bounty. Aby uzyskać więcej informacji na temat naszych aktywnych programów, zobacz Microsoft Bug Bounty Program.
Zasady
Firma Microsoft przestrzega zasady skoordynowanego ujawniania luk w zabezpieczeniach.
Następne kroki
Zapoznaj się z omówieniem uaktualniania klastrów i pul węzłów usługi Azure Kubernetes Service.