Aspekty zabezpečení pro Red Hat Enterprise Linux v Azure
Tento článek popisuje aspekty a doporučení k implementaci zabezpečení v prostředí RHEL (Red Hat Enterprise Linux). Pokud chcete zajistit zabezpečení systémů RHEL, použijte přístup, který cílí na více oblastí. Zabezpečení vyžaduje, aby všechny týmy spolupracovaly na zabezpečení vašich úloh. Produkty nebo platformy, které nasazujete, nemůžou zajistit pouze zabezpečení vašeho prostředí.
Implementujte a dodržujte přísný proces, který zahrnuje behaviorální, administrativní a technické komponenty. Když nasadíte RHEL do cílové zóny Azure, musíte vyhodnotit několik bezpečnostních faktorů. Pokud chcete vytvořit zabezpečené a odolné cloudové prostředí, implementujte strategický přístup, který používá mechanismy zabezpečení Azure i Red Hatu.
Aspekty návrhu
Pokud chcete zajistit zabezpečení systémů RHEL v Azure nebo jinde, ujistěte se, že začnete s ověřeným a ověřeným obsahem. V moderních cloudových prostředích můžou binární soubory a kódy pocházet z široké škály zdrojů. Jako první pozornost při nasazení zabezpečte dodavatelský řetězec softwaru.
Posílení zabezpečení imagí
Obrázky najdete v oddílech nabídky produktů Azure Marketplace a privátních produktů , ve kterých publikuje záznam Red Hat nebo Red Hat Limited v Evropě, na blízkém východě a v oblastech Afrika (EMEA). Red Hat a Microsoft tyto image ověřují a ověřují, abyste zajistili integritu zdroje a zajistili zabezpečené výchozí konfigurace pro instance operačního systému RHEL.
Abyste splnili požadavky na zabezpečení modulu runtime vaší organizace pro cílovou úlohu, správně nakonfigurujte instance, které z těchto imagí sestavíte. Pokud chcete zjednodušit bezpečnostní opatření, nasaďte systémy RHEL pomocí publikovaných imagí Red Hat z Azure Marketplace. Postupujte podle pokynů k Red Hatu pro specifikace systému a imagí pro vaše úlohy. Pokud chcete snížit prostor pro útoky, začněte s minimální imagí RHEL optimalizovanou pro Azure. Nemusíte vytvářet a konfigurovat všechny instance z této základní image. Pokud chcete splnit různé požadavky na posílení zabezpečení, doporučujeme k vytváření imagí specifických pro úlohy používat kompozovatelné komponenty.
K vývoji kanálů imagí můžete použít postupy GitOps. Tento přístup je vynikající metodologií. Tyto kanály vrství kompozovatelné komponenty definované jako kód konfigurace na počáteční image, aby vznikly image úloh.
Pokud chcete efektivně používat image, implementujte následující aspekty:
Vytvořte posílenou základní image, která dodržuje model nejnižších oprávnění a poskytuje tak solidní základ.
Konfigurace softwaru a zabezpečení vrstvy společně propaguje opakované použití a dodržuje standardní provozní prostředí a osvědčené postupy DevSecOps.
Pomocí modelů složení pro obrázky můžete snížit úsilí o testování a kvalifikaci a snížit náklady na údržbu.
Pomocí modelů skládání můžete zvýšit flexibilitu a zrychlit dobu doručování nových úloh.
Automatizujte proces sestavení, testování a doručování imagí pro model.
Aktualizace imagí
Obrázky byste také měli pravidelně aktualizovat. Dočasné instance pravděpodobně mají aktuální image, protože je obvykle nasazujete z aktuální image. Měli byste ale pravidelně aktualizovat delší instance pomocí centrálního systému oprav. Tento krok vám pomůže s průzkumem stavu opravovaných systémů ve vašem prostředí. Když minimalizujete variabilitu nasazení, sníží se monitorování šumu a můžete identifikovat anomálie přesněji a rychle. Tento přístup zvyšuje míru úspěšnosti automatizovaného zjišťování a nápravy.
Pokud chcete zachovat přísné řízení přístupu, zvažte implementaci centralizovaného systému. Mnoho opensourcových projektů a komerčních aplikací mimo pracovní prostředí nabízí jednoduché příklady nasazení, které používají místní účty nebo místně nasazené veřejné klíče. Tyto příklady můžou poskytovat zabezpečenou konfiguraci, ale s rozšířením cloudové stopy může být úsilí o zachování lokalizované konfigurace, i při automatizaci, problematické. Zatížení automatizace se lineárně zvyšuje s každou instancí, ale zatížení protokolování zabezpečení a monitorování může eskalovat exponenciální rychlostí. Tyto změny generují nadměrnou zátěž na výpočetní prostředky, úložiště a analytické prostředky. Centralizované řízení přístupu snižuje konfigurační body, což snižuje automatizaci a zatížení protokolování, minimalizuje změny a zjednodušuje auditovatelnost při zachování striktních kontrol přístupu k prostředkům.
V oblastech, kde vaše úloha vyžaduje dodržování kryptografických standardů a standardních hodnot dodržování předpisů, zvažte použití integrovaných funkcí platformy, které podporují otevřené standardy pro zajištění kompatibility s cloudovými úlohami. Red Hat a Microsoft dodržují a účastní se globálních norem a poskytují vhodné nástroje. Mnoho konfiguračních souborů v jednotlivých instancích má například kryptografickou konfiguraci šifry pro systémové služby a aplikace. Rozptyl může snadno nastat napříč systémy v rámci cílové úlohy a napříč flotilou. Pokud chcete definovat měření dodržování předpisů, zvažte použití otevřených standardů. Nástroje Red Hat i Microsoft využívají standardizované formáty souborů, aby poskytovaly nejnovější ohrožení zabezpečení a konfigurační data. Red Hat poskytuje aktuální informační kanály OVAL (Open Vulnerability and Assessment Language) od týmu zabezpečení produktů Red Hat pro komponenty platformy Red Hat.
Azure nabízí jedinečné příležitosti k používání funkcí specifických pro cloud a udržování osvědčených postupů pro zabezpečení a dodržování předpisů. Mezi funkce zabezpečení a služby v infrastruktuře Azure patří:
Důvěryhodné spuštění pro virtuální počítače: Zabezpečení instance BIOS a konfigurace. Důvěryhodným spuštěním virtuálních počítačů můžete zabezpečit proces spuštění, který zajistí spuštění virtuálních počítačů s ověřeným kódem.
Šifrování disků Azure ve službě Azure Key Vault: Šifrování neaktivních uložených dat K zabezpečení neaktivních uložených dat použijte šifrování disků Azure ve službě Key Vault ke správě šifrovacích klíčů a tajných kódů. Key Vault podporuje dva typy kontejnerů: trezory a spravované fondy modulu hardwarového zabezpečení (HSM). V trezorech můžete ukládat software, klíče založené na HSM, tajné kódy a certifikáty.
Microsoft Defender pro cloud: Zajistěte centralizované auditování systému. Defender for Cloud může poskytnout centralizovaný zobrazení pro jednotnou správu zabezpečení a ochranu před hrozbami.
Doporučení k návrhu
Při návrhu prostředí RHEL v Azure využijte možnosti zabezpečení nativní pro Red Hat a funkce zabezpečení cloudu Azure k zajištění robustního, zabezpečeného a efektivního nasazení. Začněte obrázkem, který zpevníte a sestavíte se známými ověřenými binárními soubory. Image RHEL na Azure Marketplace jsou zjednodušené pro zajištění výkonu a zabezpečení cloudu. Pokud máte specifické požadavky na zabezpečení pro vaši firmu, měli byste začít s vlastní přizpůsobenou a posílenou imagí, kterou vytváříte z binárních souborů se zdrojem Red Hat. Red Hat Satellite může udržovat a spravovat kód Red Hatu, Microsoftu a partnera nebo vlastní kód aplikace. Satelit může kód ověřit pomocí přihlašovacích údajů a podpisů spravovaného obsahu. RHEL ověřuje konzistenci a pravost softwaru ze zdroje na disk.
Při vývoji automatizovaných pracovních postupů pomocí nástrojů pro správu Azure a Red Hat doporučuje Red Hat používat certifikované kolekce Ansible Automation Platform.
Ujistěte se, že vaše pracovní postupy:
- Generování, údržba a testování základních hodnot a imagí úloh
- Otestujte a nasaďte dočasné instance.
- Test cyklu oprav a doručování trvalých instancí virtuálních počítačů
- Používejte kanály automatizace. Kanály automatizace výrazně snižují úsilí o správu, zajišťují konzistentní vynucování zásad, zlepšují detekci anomálií a urychlují nápravu v rámci cílových zón RHEL.
Zvažte také použití Galerie výpočetních prostředků Azure. Image Red Hatu můžete sestavit se všemi požadovanými mechanismy zabezpečení, které používáte ve vaší organizaci, a vytvořit image tohoto virtuálního počítače. Potom můžete sdílet image kompatibilní se zabezpečením napříč předplatnými a oblastmi ve vašem prostředí Azure. Správu verzí můžete použít také k podrobnější kontrole imagí virtuálních počítačů. Tento přístup vám pomůže sjednotit opravy zabezpečení výpočetních instancí a nástroje, které používáte ve vašem prostředí.
Zvažte implementaci Azure Update Manageru jako součást procesu správy aktualizací. Update Manager je jednotná služba, kterou můžete použít k monitorování aktualizací napříč nasazeními. Použijte Update Manager k průzkumu celého portfolia počítačů v Azure, v místním prostředí a v jiných cloudech.
Správa identit a přístupu
Pokud chcete centrálně vynucovat přísné zásady přístupu, integrujte Správu identit (IdM) Red Hat. IdM využívá integrace důvěryhodnosti a OpenID Connect ke konsolidaci nativní implementace následujících funkcí do podnikového modelu zabezpečení bez synchronizace přihlašovacích údajů.
- Řízení přístupu na základě role (RBAC)
- Řízení přístupu na základě hostitele
- Zásady eskalace oprávnění
- Zásady mapování uživatelů SELinux
- Další důležité linuxové služby
V porovnání s tradičními linuxovými nasazeními tento přístup generuje výhody, například:
- Zjednodušené řízení změn prostřednictvím omezených dotykových bodů automatizace
- Snížení protokolování a zatížení související s analýzou
- Dodržování požadavků na auditování ověřování
- Konzistence zásad
IdM poskytuje výhody pro správu centralizovaných zásad zabezpečení Linuxu.
Red Hat doporučuje povolit a spustit SELinux na všech instancích založených na RHEL, včetně vývoje, testování a produkčních prostředí. Všechny image a instalace vytvořené systémem Red Hat můžou ve výchozím nastavení spouštět SELinux v režimu vynucování. Při návrhu nasazení úloh můžete spustit SELinux v režimu permissive pro celou instanci nebo pro jednotlivé služby v instanci. Týmy pro vývoj, zabezpečení a provoz pak můžou určit charakteristiky přístupu aplikací a používat data protokolu auditu pomocí nástrojů SELinux k vygenerování odpovídajících zásad SELinux pro cílovou úlohu.
Nástroje pro generování zásad SELinux můžou generovat soubory zásad založené na RPM, které se zahrnou do úložišť obsahu pro standardizované nasazení imagí. Týmy pro vývoj, zabezpečení a provoz můžou v rámci kanálu dodávat artefakty v iterativním způsobem. Po testování zjistíte, že se negenerují žádná porušení SELinux, můžete nastavit konfiguraci SELinux na vynucování režimu. Porušení SELinux, která se generují během produkčního prostředí, značí významnou odchylku od přijatelného chování aplikace. Tato porušení byste měli označit příznakem a prošetřit. Využijte SELinux k zajištění komplexní viditelnosti a proaktivní správy hrozeb.
Pokud chcete definovat role RBAC, které přiřadíte počítačům RHEL, seznamte se s rolemi a zodpovědnostmi ve vašem týmu. Relevantní týmy můžou vyžadovat zvýšený přístup k virtuálním počítačům. Zvažte přispěvatele virtuálních počítačů, čtenáře virtuálních počítačů a podobné role pro přístup k virtuálním počítačům. Pokud nevyžadujete stálý přístup, zvažte přístup za běhu. Pokud se systém RHEL musí ověřit v Azure, zvažte spravované identity. Spravované identity přiřazené systémem poskytují více zabezpečení než instanční objekty a jsou přidružené k prostředku virtuálního počítače. Kromě rolí RBAC zvažte podmíněný přístup pro lidi, kteří potřebují přístup k vašemu prostředí Azure. Podmíněný přístup použijte k omezení přístupu uživatelů k prostředí Azure na základě umístění, IP adresy a dalších kritérií.
Použití antivirového softwaru
Ujistěte se, že máte na počítači RHEL odpovídající antivirový software. Zvažte onboarding Microsoft Defenderu for Endpoint v Linuxu, aby se ochrana před nejnovějšími chybami zabezpečení chytá. Nezapomeňte, že na počítačích RHEL, které používáte k hostování databází SAP, byste neměli povolit Defender for Cloud Standard. Ujistěte se, že každý počítač a úloha RHEL můžou spouštět software ochrany koncových bodů.
Správa tajných kódů
Red Hat doporučuje nastavit kryptografické zásady pro celý systém na všech instancích, kde je to možné. Cloudová nasazení můžete charakterizovat rozmanitostí. Týmy úloh si vybírají vlastní knihovny, jazyky, nástroje a kryptografické poskytovatele, aby splňovaly potřeby konkrétních řešení. Implementace standardů, faktoring komponent aplikace, kompozitability a další techniky můžou snížit variabilitu, ale vy nakonfigurujete kryptografické nastavení pro aplikace a služby na více místech v dané instanci.
Pro smyslnou konfiguraci nových komponent vyžaduje značné úsilí a často hluboké kryptografické znalosti. Zastaralé nebo nesprávně nakonfigurované kryptografické zásady vytvářejí riziko. Kryptografické zásady pro celý systém zarovnají konfiguraci základních kryptografických subsystémů, které pokrývají protokoly TLS (Transport Layer Security), IPSec (Internet Protocol Security), DNSSEC (Domain Name System Security Extensions) a Kerberos. Kryptografická zásada RHEL pro celý systém implementuje konzervativní konfiguraci, která eliminuje celou třídu hrozeb zakázáním starších komunikačních protokolů, jako je TLS v1.1 a starších verzích. Zásady FUTURE a FIPS poskytují přísnější konfigurace. Můžete také vytvořit vlastní zásady.
Můžete začlenit nástroje pro auditování systému RHEL a dodržování předpisů zabezpečení. Zaměřte se na automatizované skenování a nápravu, které jsou v souladu s oborovými standardy.
Proces démon auditu RHEL je auditován a centrální proces démon protokolování je deníku. Azure Monitor může ingestovat data z auditovaných a deníků pro monitorování událostí zabezpečení systému RHEL a živit Microsoft Sentinel nebo jiné služby správy událostí (SIEM).
Systémy RHEL, které potřebují splnit požadavky agentury Defense Information Systems Agency Security Technical Implementation Guide (DISA-STIG) dodržování předpisů vyžadují nástroj AIDE (Advanced Intrusion Detection Environment). Výstup AIDE byste měli protokolovat do Azure.
Monitorujte a integrujte se službou Ansible Automation Platform za účelem identifikace, upozorňování na důležité systémové soubory a jejich nápravy.
Na všech instancích RHEL založených na Azure používejte bezplatné komponenty na úrovni operačního systému.
Vynucujte zásadu spuštění kódu: Pomocí procesu démon fapolicyd omezte aplikace, které mohou běžet v instanci RHEL.
Správa příchozího a odchozího provozu instance: Používejte bránu firewall s skupinami zabezpečení sítě Azure (NSG) k efektivní správě příchozího a southbound provozu do virtuálních počítačů.
Centrálně spravovat konfiguraci prostřednictvím automatizace: Pomocí metodologie GitOps zajistíte konzistentní správu konfigurace během nasazování a nepřetržitě prostřednictvím každodenních operací úloh RHEL.
Implementujte režim dodržování předpisů FIPS pro úlohy státní správy: Zajistěte, aby určené instance RHEL běžely v režimu FIPS, aby splňovaly kryptografické standardy. Využijte nabídky dodržování předpisů Azure pro komplexní stav dodržování předpisů.
Vždy spouštět SELinux: K identifikaci profilů přístupu k úlohám použijte SELinux v režimu permissive a zajistěte správné zásady pro spuštění SELinuxu v režimu vynucování na virtuálních počítačích RHEL. SELinux výrazně snižuje prostor pro útoky na aplikace a služby, které běží v Azure.
Zaregistrujte servery RHEL do Red Hat Insights prostřednictvím funkce Red Hat Satellite. Red Hat Insights využívá analýzu databáze řešení problémů společnosti Red Hat. Aplikace Insights tuto analýzu používá k proaktivní identifikaci a generování náprav pro problémy s nasazením a konfigurací předtím, než ovlivní operace. Tato strategie zlepšuje stav zabezpečení a provozní efektivitu. Každé předplatné RHEL zahrnuje Přehledy. Všechna cloudová předplatná RHEL zahrnují předplatné Red Hat Satellite. Nebo si můžete koupit předplatné Red Hat Satellite s předplatnými RHEL pro Cloud Access.
Poznámka:
Přehledy odesílají informace o systému telemetrie mimo Azure.
Konfigurace sítě
Skupiny zabezpečení sítě můžete použít na úrovni síťového rozhraní nebo na úrovni podsítě. Doporučujeme úroveň podsítě, pokud konkrétní požadavky nevyžadují skupinu zabezpečení sítě na úrovni síťového rozhraní. Tento přístup zjednodušuje správu síťové komunikace. Skupiny zabezpečení aplikací můžete použít k povolení komunikace aplikací, která holisticky segmentuje komunikaci mezi podsítěmi. Určete, který přístup nejlépe vyhovuje vašemu scénáři, a ujistěte se, že počítače RHEL mají odpovídající přístup k internetu pro požadovaná úložiště. Možná budete muset povolit adresy URL seznamu pro tato úložiště v nejvíce uzamčených prostředích. Privátní koncové body zajišťují, že jediným provozem, který může prostředek Azure ve výchozím nastavení přijímat, je provoz pocházející ze sítě Azure, včetně připojení z místního prostředí, pokud máte bránu Azure.
Implementace nástrojů SIEM nebo SOAR
Zvažte Microsoft Sentinel pro orchestraci zabezpečení, automatizaci a odezvu (SOAR) nebo nástroje SIEM pro vaše systémy RHEL. Microsoft Sentinel používá AI k přizpůsobení toho, jak detekuje hrozby systému. Odpovědi na útoky můžete automatizovat prostřednictvím runbooků. Využijte Microsoft Sentinel k proaktivní detekci hrozeb, proaktivnímu vyhledávání hrozeb a reakci na hrozby.
Zvažte důvěrné výpočetní operace.
RHEL obsahuje důvěrnou image pro určité možnosti operačního systému RHEL. Zvažte případy použití důvěrných výpočetních prostředků.