Поделиться через


Управление уязвимостями для Служба Azure Kubernetes (AKS)

К управлению уязвимостями относятся обнаружение, оценка, устранение и включение в отчеты любых уязвимостей безопасности в системах и программах организации. Ответственность за управление уязвимостями несете как вы сами, так и корпорация Майкрософт.

В этой статье рассказано, как Microsoft управляет уязвимостями и обновлениями безопасности (также называемые обновлениями путем частичной замены) кластеров службы Azure Kubernetes (AKS).

Обнаружение уязвимостей

Корпорация Майкрософт определяет уязвимости и исправляет уязвимости и отсутствуют обновления системы безопасности для следующих компонентов:

  • Образы контейнеров AKS

  • Операционные системы Ubuntu 18.04 и 22.04 рабочих узлов: каноническая предоставляет Корпорации Майкрософт сборки ОС, имеющие все доступные обновления системы безопасности.

  • Рабочие узлы ОС Windows Server 2022: операционная система Windows Server исправлена во второй вторник каждого месяца. Соглашения об уровне обслуживания должны совпадать с контрактом на поддержку и серьезностью.

  • Узлы ОС Azure Linux: Azure Linux предоставляет AKS со сборками ОС, имеющими все доступные обновления системы безопасности.

Образы контейнеров AKS

Хотя Cloud Native Computing Foundation (CNCF) владеет и поддерживает большинство запусков кода AKS, корпорация Майкрософт отвечает за создание пакетов с открытым кодом, которые мы развертываем в AKS. Эта ответственность включает полное владение сборкой, сканированием, подписью, проверкой и исправлением, а также контролем над двоичными файлами в образах контейнеров. Ответственность за создание пакетов с открытым исходным кодом, развернутых в AKS, позволяет нам установить цепочку поставок программного обеспечения по двоичному файлу и исправить программное обеспечение по мере необходимости.  

Корпорация Майкрософт активно работает в более широкой экосистеме Kubernetes, чтобы помочь построить будущее облачных вычислений в более широком сообществе CNCF. Эта работа не только гарантирует качество каждого выпуска Kubernetes для мира, но и позволяет AKS быстро получать новые выпуски Kubernetes в рабочую среду в течение нескольких лет. В некоторых случаях впереди других поставщиков облачных служб на несколько месяцев. Корпорация Майкрософт сотрудничает с другими отраслевыми партнерами в организации безопасности Kubernetes. Например, Комитет по реагированию на безопасность (SRC) получает, определяет приоритеты и исправляет уязвимости безопасности, введенные в эмбарго, прежде чем они будут объявлены общественности. Это обязательство гарантирует безопасность Kubernetes для всех пользователей и позволяет AKS исправлять и реагировать на уязвимости быстрее, чтобы обеспечить безопасность наших клиентов. Помимо Kubernetes корпорация Майкрософт зарегистрировалась для получения предварительных уведомлений об уязвимостях программного обеспечения для таких продуктов, как Envoy, среды выполнения контейнеров и многие другие проекты с открытым кодом.

Корпорация Майкрософт сканирует образы контейнеров с помощью статического анализа для обнаружения уязвимостей и отсутствия обновлений в Kubernetes и управляемых Корпорацией Майкрософт контейнерах. Если исправления доступны, средство проверки автоматически начинает процесс обновления и выпуска.

Помимо автоматического сканирования корпорация Майкрософт обнаруживает и обновляет уязвимости, неизвестные сканерам, следующим образом:

  • Корпорация Майкрософт выполняет собственные аудиты, тестирование на проникновение и обнаружение уязвимостей на всех платформах AKS. Специализированные команды корпорации Майкрософт и доверенные сторонние поставщики безопасности проводят собственные исследования атак.

  • Корпорация Майкрософт активно взаимодействует с сообществом исследований безопасности с помощью нескольких программ вознаграждения уязвимостей. Выделенная программа bounty Microsoft Azure предоставляет значительные возможности для достижения наилучшей облачной уязвимости, обнаруженной каждый год.

  • Корпорация Майкрософт сотрудничает с другими отраслевыми и открытый код партнерами по программному обеспечению, которые совместно используют уязвимости, исследования безопасности и обновления до общедоступного выпуска уязвимости. Цель этой совместной работы — обновить большие части инфраструктуры Интернета, прежде чем уязвимость будет объявлена общественности. В некоторых случаях корпорация Майкрософт вносит уязвимости, обнаруженные в этом сообществе.

  • Совместная работа майкрософт по обеспечению безопасности выполняется на многих уровнях. Иногда это происходит официально через программы, в которых организации регистрироваться для получения предварительных уведомлений об уязвимостях программного обеспечения для таких продуктов, как Kubernetes и Docker. Совместная работа также происходит неофициально из-за нашего взаимодействия с множеством открытый код проектов, таких как ядро Linux, среда выполнения контейнеров, технология виртуализации и другие.

Рабочие узлы

Узлы Linux

По умолчанию в AKS отключены ночные канонические обновления безопасности ОС. Чтобы включить их явным образом, используйте unmanaged канал.

Если вы используете unmanaged канал, то ночные канонические обновления безопасности применяются к ОС на узле. Образ узла, используемый для создания узлов для кластера, остается неизменным. Если в кластер добавляется новый узел Linux, для его создания используется исходный образ. Этот новый узел получает все обновления системы безопасности и ядра, доступные во время автоматической оценки каждую ночь, но по-прежнему остается невключаемой до завершения всех проверок и перезапусков. С помощью обновления образа узла можно проверить наличие образов узла, используемых кластером, и обновить их. Дополнительные сведения об обновлении образа узла см. в статье об обновлении образа узла Служба Azure Kubernetes (AKS).

Для кластеров AKS, использующих канал, отличный от unmanagedканала, процесс автоматического обновления отключен.

Узлы Windows Server

Для узлов Windows Server Центр обновления Windows не выполняет автоматический запуск и применение последних обновлений. Планирование обновлений пула узлов Windows Server в кластере AKS вокруг регулярного цикла выпуска Обновл. Windows и собственного процесса управления обновлениями. При обновлении создаются узлы, в которых запускается последняя версия образа и исправления Windows Server. Затем более старые версии узлов удаляются. Дополнительные сведения об обновлении пула узлов в AKS см. в этой статье.

Классификация уязвимостей

Корпорация Майкрософт вносит большие инвестиции в обеспечение безопасности всего стека, включая ОС, контейнер, Kubernetes и сетевые слои, помимо настройки хороших значений по умолчанию и обеспечения конфигураций, защищенных безопасностью, и управляемых компонентов. В сочетании эти усилия помогают снизить влияние и вероятность уязвимостей.

Команда AKS классифицирует уязвимости в соответствии с системой оценки уязвимостей Kubernetes. Классификации учитывают множество факторов, включая настройку AKS и защиту безопасности. В результате этого подхода и инвестиции AKS в безопасность, классификации уязвимостей AKS могут отличаться от других источников классификации.

В следующей таблице описаны категории серьезности уязвимостей:

Статус Description
Критически важно Уязвимость легко эксплуатируется во всех кластерах неуправляемым удаленным злоумышленником, который приводит к полному компрометации системы.
Высокая Уязвимость легко используется для многих кластеров, что приводит к потере конфиденциальности, целостности или доступности.
Средняя Уязвимость, доступная для некоторых кластеров, где потеря конфиденциальности, целостности или доступности ограничена общими конфигурациями, трудностями самого эксплойта, необходимым доступом или взаимодействием с пользователем.
Низкая Все остальные уязвимости. Эксплуатация вряд ли ограничена или последствия эксплуатации.

Обновление уязвимостей

AKS исправляет распространенные уязвимости и уязвимости (CVEs), которые имеют исправление поставщика каждую неделю. Любые CVE без исправлений ожидают исправления от поставщика, прежде чем их можно будет исправить. Фиксированные образы контейнеров кэшируются в следующей соответствующей сборке виртуального жесткого диска (VHD), которая также содержит обновленные cves Ubuntu/Azure Linux или Windows. Пока вы используете обновленный виртуальный жесткий диск, вам не следует запускать cves образа контейнера с исправлением поставщика, которое превышает 30 дней.

Для уязвимостей на основе ОС на виртуальном жестком диске AKS также использует обновления vhd образа узла по умолчанию, поэтому все обновления системы безопасности будут поступать с еженедельными выпусками образов узлов. Автоматическое обновление отключено, если вы не переключитесь на неуправляемый, который не рекомендуется, так как его выпуск является глобальным.

Сроки выпуска обновлений

Цель Корпорации Майкрософт — устранить обнаруженные уязвимости в течение определенного периода времени, соответствующего рискам, которые они представляют. Высокая временная авторизация Microsoft Azure FedRAMP для эксплуатации (P-ATO) включает AKS в области аудита и была авторизована. Руководство по стратегии непрерывного мониторинга FedRAMP и базовые показатели fedRAMP Low, Moderate и High Security Control требуют исправления известных уязвимостей в течение определенного периода времени в соответствии с уровнем серьезности. Как указано в FedRAMP RA-5d.

Способы передачи сведений об уязвимостях и обновлениях

Как правило, корпорация Майкрософт широко не сообщает о выпуске новых версий исправлений для AKS. Однако корпорация Майкрософт постоянно отслеживает и проверяет доступные исправления CVE для их своевременной поддержки в AKS. Если обнаружено критически важное исправление или требуется действие пользователя, Microsoft публикует и обновляет сведения о проблеме CVE на GitHub.

Отчеты по безопасности

Вы можете сообщить о проблеме безопасности в Центр Майкрософт по реагированию на угрозы (MSRC), создав отчет об уязвимостях.

Если вы предпочитаете отправлять отчет без входа в средство, отправьте сообщение электронной почты secure@microsoft.com. По возможности зашифруйте сообщение с помощью ключа PGP, скачав его с страницы ключа PGP Центра безопасности Майкрософт.

Вы должны получить ответ в течение 24 часов. Если по какой-то причине вы этого не сделали, следуйте инструкциям по электронной почте, чтобы убедиться, что мы получили исходное сообщение. Дополнительные сведения см. в Центре реагирования на безопасность Майкрософт.

Включите следующие запрошенные сведения (столько, сколько вы можете предоставить), чтобы помочь нам лучше понять природу и область возможной проблемы:

  • Тип проблемы (например, переполнение буфера, внедрение SQL, междоменный скрипт и т. д.)
  • полные пути исходных файлов, связанных с проявлением проблемы,
  • расположение вовлеченного исходного кода (тег/ветвь/фиксированный или прямой URL-адрес),
  • любая специальная конфигурация, необходимая для воспроизведения проблемы,
  • пошаговые инструкции по воспроизведению проблемы,
  • эксперимент или код для использования (если возможно),
  • влияние проблемы, включая способ использования этой проблемы злоумышленником.

Эти сведения помогают нам быстрее устранить проблему безопасности.

Если вы сообщаете об ошибке bounty, более полные отчеты могут внести свой вклад в более высокую награду. Дополнительные сведения о наших активных программах см . в статье Microsoft Bug Bounty Program.

Политика

Корпорация Microsoft следует принципу согласованного раскрытия информации об уязвимостях.

Следующие шаги

Ознакомьтесь с общими сведениями об обновлении кластеров и пулов узлов Служба Azure Kubernetes.