Sicherheitsüberlegungen zu Red Hat Enterprise Linux in Azure
In diesem Artikel werden Überlegungen und Empfehlungen zur Implementierung der Sicherheit in Ihrer RHEL-Umgebung (Red Hat Enterprise Linux) beschrieben. Verwenden Sie zum Bereitstellen der Sicherheit für Ihre RHEL-Systeme einen Ansatz, der auf mehrere Bereiche ausgerichtet ist. Für die Sicherheit ist die Zusammenarbeit aller Teams erforderlich, um Ihre Workloads zu schützen. Von Ihnen bereitgestellte Produkte oder Plattformen können nicht alleine die Sicherheit für Ihre Umgebung gewährleisten.
Sie müssen einen stringenten Prozess aus Verhaltens-, Verwaltungs- und Entwicklungskomponenten implementieren und einhalten. Wenn Sie RHEL in einer Azure-Zielzone bereitstellen, müssen Sie mehrere Sicherheitsfaktoren berücksichtigen. Implementieren Sie zum Erstellen einer sicheren und resilienten Cloudumgebung einen strategischen Ansatz, der sowohl Azure- als auch Red Hat-Sicherheitsmechanismen anwendet.
Überlegungen zum Entwurf
Zum Bereitstellen der Sicherheit für RHEL-Systeme in Azure oder anderswo beginnen Sie mit überprüften und validierten Inhalten. In modernen Cloudumgebungen können Binärdateien und Codes aus einer Vielzahl von Quellen stammen. Die erste Überlegung, die Sie für die Bereitstellung anstellen sollten, ist der Schutz Ihrer Softwarelieferkette.
Härten von Images
Sie finden Images in Azure Marketplace und Angebotsbereichen für private Produkte, in denen Red Hat oder Red Hat Limited in Europa, im Nahen Osten und in Afrika (EMEA) den Eintrag veröffentlicht. Red Hat und Microsoft überprüfen und validieren diese Images, um die Quellintegrität zu gewährleisten und sichere Standardkonfigurationen für RHEL-Betriebssysteminstanzen bereitzustellen.
Um die Laufzeitsicherheitsanforderungen Ihrer Organisation für die Zielworkload zu erfüllen, müssen Sie Instanzen, die Sie auf der Grundlage dieser Images erstellen, ordnungsgemäß konfigurieren. Zur Optimierung Ihrer Sicherheitsmaßnahmen verwenden Sie von Red Hat veröffentlichte Images in Azure Marketplace, um Ihre RHEL-Systeme bereitzustellen. Befolgen Sie den Red Hat-Leitfaden für System- und Imagespezifikationen für Ihre Workload. Zum Reduzieren der Angriffsfläche beginnen Sie mit einem minimalen, für Azure optimierten RHEL-Image. Sie müssen nicht alle Instanzen aus diesem Basisimage erstellen und konfigurieren. Um verschiedene Härtungsanforderungen zu erfüllen, sollten Sie zusammensetzbare Komponenten zum Erstellen workloadspezifischer Images verwenden.
Zum Entwickeln von Imagepipelines können Sie auch GitOps-Methoden verwenden. Dieser Ansatz stellt eine bessere Methodik dar. Zum Erzeugen von Workloadimages überlagern diese Pipelines das ursprüngliche Image mit den als Konfigurationscode festgelegten zusammensetzbaren Komponenten.
Implementieren Sie zur effektiven Verwendung von Images die folgenden Aspekte:
Erstellen Sie ein gehärtetes Basisimage, das dem Modell der geringsten Rechte entspricht, um eine solide Grundlage bereitzustellen.
Legen Sie die Software- und Sicherheitskonfiguration zusammen, um die Wiederverwendung zu fördern und die bewährten Methoden für DevSecOps und für die Standardbetriebsumgebung zu befolgen.
Verwenden Sie Kompositionsmodelle für Images, um Test- und Qualifizierungsaufwand sowie Wartungskosten zu reduzieren.
Verwenden Sie Kompositionsmodelle, um die Flexibilität zu erhöhen und die Bereitstellungszeit für neue Workloads zu beschleunigen.
Automatisieren Sie den Build-, Test- und Übermittlungsprozess von Images für das Modell.
Aktualisieren von Images
Außerdem müssen Sie Ihre Images regelmäßig aktualisieren. Kurzlebige Instanzen weisen wahrscheinlich ein aktuelleres Image auf, da Sie dieses in der Regel auf der Grundlage eines aktuellen Images bereitstellen. Sie müssen jedoch regelmäßig längere Instanzen mithilfe eines zentralen Patchingsystems aktualisieren. Dieser Schritt hilft Ihnen, den Zustand von gepatchten Systemen in Ihrer Umgebung zu ermitteln. Wenn Sie die Bereitstellungsvariabilität minimieren, wird unnötige Überwachung reduziert, und Sie können Anomalien genauer und schneller erkennen. Dieser Ansatz erhöht die Erfolgsquote automatisierter Erkennung und Behandlung.
Zum Aufrechterhalten präziser Zugriffskontrollen sollten Sie ein zentrales System implementieren. Viele Open-Source-Projekte und kommerzielle Standardanwendungen bieten einfache Bereitstellungsbeispiele, die lokale Konten oder lokal bereitgestellte öffentliche Schlüssel verwenden. Diese Beispiele können eine sichere Konfiguration bereitstellen, doch angesichts der Ausweitung des Cloudbedarfs wird der Aufwand zur Verwaltung der lokalisierten Konfiguration auch mit Automatisierung eventuell zum Problem. Die Automatisierungslast steigt linear mit jeder Instanz, doch die Sicherheitsprotokollierungs- und Überwachungslast können exponentiell steigen. Diese Änderungen belasten Compute-, Speicher- und Analyseressourcen übermäßig. Durch die zentrale Zugriffssteuerung werden Konfigurationspunkte reduziert, wodurch die Automatisierungs- und Protokollierungslast reduziert, Änderungen minimiert und die Überwachung vereinfacht werden, während präzise Kontrollen des Ressourcenzugriffs beibehalten werden.
In Bereichen, in denen Ihre Workload die Einhaltung von Kryptografiestandards und Compliancebaselines erfordert, sollten Sie integrierte Plattformfunktionen verwenden, die offene Standards unterstützen, um die Kompatibilität mit den Cloudworkloads zu gewährleisten. Red Hat und Microsoft halten sich an globale Normungsgremien, beteiligen sich daran und stellen entsprechende Tools bereit. Beispielsweise verfügen viele Konfigurationsdateien in einer einzelnen Instanz über eine Konfiguration für kryptografische Verschlüsselung für Systemdienste und -anwendungen. Abweichungen können leicht systemübergreifend innerhalb einer Zielworkload und in einer Flotte auftreten. Verwenden Sie zum Definieren von Compliancemessungen ggf. offene Standards. Sowohl Red Hat- als auch Microsoft-Tools nutzen standardisierte Dateiformate, um aktuelle Informationen zu Sicherheitsrisiken und Konfigurationen bereitzustellen. Red Hat bietet aktuelle OVAL-Feeds (Open Vulnerability and Assessment Language) aus dem Red Hat Product Security-Team für Red Hat-Plattformkomponenten.
Azure bietet einzigartige Möglichkeiten, cloudspezifische Funktionen zu verwenden und bewährte Methoden für Sicherheit und Compliance zu verwalten. Sicherheitsfunktionen und -dienste in der Azure-Infrastruktur umfassen:
Vertrauenswürdiger Start für VMs: Sichern von Instanz-BIOS und -konfiguration. Sie können den vertrauenswürdigen Start für VMs verwenden, um den Startvorgang zu schützen. Dadurch wird sichergestellt, dass VMs mit einem verifizierten Code starten.
Azure Disk Encryption in Azure Key Vault: Verschlüsseln ruhender Daten. Um ruhende Daten zu schützen, verwenden Sie Azure Disk Encryption in Key Vault, um Verschlüsselungsschlüssel und Geheimnisse zu verwalten. Key Vault unterstützt zwei Arten von Containern: Tresore und verwaltete HSM-Pools (Hardware Security Module, Hardwaresicherheitsmodul). Sie können Software, HSM-gestützte Schlüssel, Geheimnisse und Zertifikate in Tresoren speichern.
Microsoft Defender for Cloud: Sicherstellen der zentralen Systemüberwachung. Defender for Cloud kann einen zentralen Viewport zur einheitlichen Sicherheitsverwaltung und zum einheitlichen Bedrohungsschutz bereitstellen.
Entwurfsempfehlungen
Wenn Sie RHEL-Umgebungen in Azure entwerfen, nutzen Sie Red Hat-native Sicherheitsfunktionen und Azure-Cloudsicherheitsfeatures, um eine robuste, sichere und effiziente Bereitstellung zu gewährleisten. Beginnen Sie mit einem Image, das Sie mit bekannten validierten Binärdateien härten und erstellen. RHEL-Images in Azure Marketplace werden für Cloudleistung und -sicherheit optimiert. Wenn bestimmte Sicherheitsanforderungen für Ihr Unternehmen gelten, müssen Sie mit Ihrem eigenen angepassten, gehärteten Image beginnen, das Sie aus Red Hat-Binärdateien erstellen. Red Hat Satellite kann Red Hat, Microsoft und den Partnercode oder Ihren benutzerdefinierten Anwendungscode beibehalten und verwalten. Satellite kann den Code über Anmeldeinformationen und Signaturen für verwaltete Inhalte validieren. RHEL überprüft die Konsistenz und Authentizität von Software beim Übertragen von der Quelle auf den Datenträger.
Wenn Sie Azure- und Red Hat-Verwaltungstools zum Entwickeln automatisierter Workflows verwenden, empfiehlt Red Hat die Verwendung zertifizierter Ansible Automation Platform-Sammlungen.
Stellen Sie sicher, dass Ihre Workflows:
- Basis- und Workloadimages generieren, verwalten und testen.
- kurzlebige Instanzen testen und bereitstellen.
- Patchzyklustests durchführen und persistente VM-Instanzen bereitstellen.
- Automatisierungspipelines verwenden. Automatisierungspipelines reduzieren den Verwaltungsaufwand erheblich, sorgen für eine konsistente Richtlinienerzwingung, verbessern die Anomalieerkennung und beschleunigen die Behebung in allen RHEL-Zielzonen.
Verwenden Sie ggf. auch Azure Compute Gallery. Sie können Ihr Red Hat-Image mit allen erforderlichen Sicherheitsmechanismen erstellen, die Sie in Ihrer Organisation verwenden, und ein Image dieser VM erstellen. Anschließend können Sie sicherheitskonforme Images abonnement- und regionsübergreifend in Ihrer Azure-Umgebung freigeben. Sie können die Versionsverwaltung auch verwenden, um eine präzisere Kontrolle über VM-Images zu erlangen. Dieser Ansatz hilft Ihnen bei der Vereinheitlichung der in Ihrer Umgebung verwendeten Sicherheitspatches und -tools für Compute-Instanzen.
Implementieren Sie Azure Update Manager im Rahmen des Updateverwaltungsprozesses. Update Manager ist ein einheitlicher Dienst, mit dem Sie Updates in allen Ihren Bereitstellungen überwachen können. Mit Update Manager können Sie Ihre gesamte Flotte von Computern in Azure, lokal und in anderen Clouds prüfen.
Verwalten von Identität und Zugriff
Um präzise Zugriffsrichtlinien zentral zu erzwingen, integrieren Sie Red Hat Identity Management (IdM). IdM verwendet Vertrauensstellungen und OpenID Connect-Integrationen, um die native Linux-Implementierung der folgenden Funktionen in einem Unternehmenssicherheitsmodell ohne Synchronisierung von Anmeldeinformationen zu vereinen.
- Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)
- Hostbasierte Zugriffssteuerung
- Richtlinie zur Berechtigungsausweitung
- Richtlinie zur SELinux-Benutzerzuordnung
- Andere wichtige Linux-Dienste
Im Vergleich zu herkömmlichen Linux-Bereitstellungen bietet dieser Ansatz u. a. folgende Vorteile:
- Optimierte Änderungssteuerung durch reduzierte Automatisierungsberührungspunkte
- Verringerte protokollierungs- und analysebezogene Auslastung
- Einhaltung der Authentifizierungsüberwachungsanforderungen
- Richtlinienkonsistenz
IdM bietet Vorteile für die Verwaltung zentralisierter Linux-Sicherheitsrichtlinien.
Red Hat empfiehlt, SELinux in allen RHEL-basierten Instanzen zu aktivieren und auszuführen, einschließlich Entwicklungs-, Test- und Produktionsumgebungen. Alle von Red Hat generierten Images und Installationen können SELinux standardmäßig im Erzwingungsmodus ausführen. Wenn Sie Workloadbereitstellungen entwerfen, können Sie SELinux im permissiven Modus für die gesamte Instanz oder für einzelne Dienste in der Instanz ausführen. Anschließend können die Teams für Development, Security, Operations die Zugriffsmerkmale von Anwendungen ermitteln und Überwachungsprotokolldaten mit SELinux-Tools verwenden, um geeignete SELinux-Richtlinien für die Zielworkload zu generieren.
Tools zum Generieren von SELinux-Richtlinien können RPM-basierte Richtliniendateien generieren und diese in Inhaltsrepositorys für die standardisierte Imagebereitstellung aufnehmen. Die Teams für Development, Security, Operations können Artefakte in der Pipeline iterativ per Upstream bereitstellen. Werden beim Testen keine SELinux-Verstöße festgestellt, können Sie die SELinux-Konfiguration auf den Erzwingungsmodus einstellen. SELinux-Verstöße, die während der Produktion generiert werden, weisen eine erhebliche Abweichung vom zulässigen Anwendungsverhalten auf. Sie müssen diese Verstöße kennzeichnen und untersuchen. Ermöglichen Sie mit SELinux umfassende Sichtbarkeit und proaktive Bedrohungsverwaltung.
Um die RBAC-Rollen zu definieren, die Sie RHEL-Computern zuweisen, ermitteln Sie die Rollen und Verantwortlichkeiten in Ihrem Team. Relevante Teams erfordern möglicherweise erhöhte Zugriffsrechte auf virtuellen Computern (VMs). Berücksichtigen Sie die Rollen „Mitwirkender von virtuellen Computern“, „Leser virtueller Computer“ und ähnliche Rollen für den Zugriff auf virtuelle Computer. Nutzen Sie den Just-In-Time-Zugriff, wenn Sie keinen ständigen Zugriff benötigen. Verwenden Sie verwaltete Identitäten, wenn das RHEL-System die Authentifizierung mit Azure durchführen muss. Systemseitig zugewiesene verwaltete Identitäten bieten mehr Sicherheit als Dienstprinzipale und sind der VM-Ressource zugeordnet. Nutzen Sie zusätzlich zu RBAC-Rollen den bedingten Zugriff für Personen, die Zugriff auf Ihre Azure-Umgebung benötigen. Mit dem bedingten Zugriff können Sie den Benutzerzugriff auf Ihre Azure-Umgebung basierend auf dem Standort, der IP-Adresse und anderen Kriterien einschränken.
Verwenden von Antivirensoftware
Sie müssen über die entsprechende Antivirensoftware auf Ihrem RHEL-Computer verfügen. Führen Sie ggf. Microsoft Defender for Endpoint in Linux zum Schutz vor den neuesten Sicherheitsrisiken ein. Denken Sie daran, dass Sie Defender for Cloud Standard nicht auf RHEL-Computern aktivieren sollten, die Sie zum Hosten von SAP-Datenbanken verwenden. Jeder RHEL-Computer und jede RHEL-Workload muss Ihre Endpunktschutzsoftware ausführen können.
Verwalten von Geheimnissen
Red Hat empfiehlt, nach Möglichkeit eine systemweite Kryptografierichtlinie für alle Instanzen festzulegen. Sie können Cloudbereitstellungen durch Vielfalt charakterisieren. Workloadteams wählen ihre eigenen Bibliotheken, Sprachen, Hilfsprogramme und Kryptografieanbieter gemäß den Anforderungen ihrer speziellen Lösungen aus. Standardimplementierung, Anwendungskomponenten-Factoring, Zusammensetzbarkeit und andere Techniken können die Variabilität verringern, doch Sie konfigurieren Kryptografieeinstellungen für Anwendungen und Dienste an mehreren Stellen einer bestimmten Instanz.
Zum optimalen Konfigurieren neuer Komponenten sind ein erheblicher Aufwand und häufig fundierte Kryptografiekenntnisse erforderlich. Veraltete oder nicht ordnungsgemäß konfigurierte Kryptografierichtlinien führen zu Risiken. Durch die systemweite Kryptografierichtlinie wird die Konfiguration der wichtigsten Kryptografiesubsysteme angepasst, wodurch das TLS-Protokoll (Transport Layer Security), das IPSec-Protokoll (Internet Protocol Security), das DNSSEC-Protokoll (Domain Name System Security Extensions) und das Kerberos-Protokoll abdeckt werden. Eine systemweite Standardkryptografierichtlinie für RHEL implementiert eine konservative Konfiguration, die eine ganze Bedrohungsklasse beseitigt, indem ältere Kommunikationsprotokolle wie TLS v1.1 und frühere Versionen deaktiviert werden. FUTURE- und FIPS-Richtlinien bieten genauere Konfigurationen. Sie können auch benutzerdefinierte Richtlinien erstellen.
Sie können Systemüberwachungs- und Sicherheitscompliancetools von RHEL integrieren. Konzentrieren Sie sich auf die automatisierte Überprüfung und Behebung gemäß den Branchennormen.
Der RHEL-Überwachungs-Daemon ist auditd, und der zentrale Protokollierungs-Daemon ist journald. Azure Monitor kann Daten von auditd und journald erfassen, um RHEL-Systemsicherheitsereignisse zu überwachen und Microsoft Sentinel oder anderen SIEM-Diensten (Security Information and Event Management) Daten zur Verfügung zu stellen.
RHEL-Systeme, die den Defense Information Systems Agency Security Technical Implementation Guide (DISA-STIG) erfüllen müssen, erfordern das Hilfsprogramm Advanced Intrusion Detection Environment (AIDE). Sie müssen die AIDE-Ausgabe in Azure protokollieren.
Überwachen und integrieren Sie Ansible Automation Platform, um wichtige Systemdateien zu erkennen, zu melden und zu behandeln.
Verwenden Sie zusätzliche Komponenten auf Betriebssystemebene in allen Azure-basierten RHEL-Instanzen.
Erzwingen der Richtlinie zur Codeausführung: Verwenden Sie den Daemon fapolicyd, um die Anwendungen einzuschränken, die in der RHEL-Instanz ausgeführt werden können.
Verwalten von ein- und ausgehendem Datenverkehr: Verwenden Sie firewalld mit Azure-Netzwerksicherheitsgruppen (Network Security Groups, NSGs), um den nördlich und südlich ausgerichteten Datenverkehr auf VMs effektiv zu verwalten.
Zentrale Konfigurationsverwaltung durch Automatisierung: Verwenden Sie die GitOps-Methodik, um eine konsistente Konfigurationsverwaltung von RHEL-Workloads während der Bereitstellung und kontinuierlich während der Day 2-Vorgänge sicherzustellen.
Implementieren des FIPS-Compliancemodus für Behördenworkloads: Vergewissern Sie sich, dass designierte RHEL-Instanzen gemäß den Kryptografiestandards im FIPS-Modus ausgeführt werden. Verwenden Sie die Azure-Complianceangebote, um einen umfassenden Compliancestatus zu erhalten.
Ständiges Ausführen von SELinux: Verwenden Sie SELinux im permissiven Modus, um Workloadzugriffsprofile zu erkennen und zu gewährleisten, dass die richtige Richtlinie SELinux auf RHEL-VMs im Erzwingungsmodus ausführt. SELinux reduziert erheblich die Angriffsfläche von Anwendungen und Diensten, die in Azure ausgeführt werden.
Registrieren Sie RHEL-Server bei Red Hat Insights über Red Hat Satellite. Red Hat Insights nutzt die Analyse der Problembehebungsdatenbank von Red Hat. Insights verwendet diese Analyse, um Korrekturmaßnahmen für Bereitstellungs- und Konfigurationsprobleme proaktiv zu identifizieren und zu generieren, bevor diese sich auf den Betrieb auswirken. Diese Strategie verbessert den Sicherheitsstatus und die betriebliche Effizienz. Jedes RHEL-Abonnement enthält Insights. Alle cloudbasierten RHEL-Abonnements enthalten ein Red Hat Satellite-Abonnement. Alternativ können Sie ein Red Hat Satellite-Abonnement mit Ihren RHEL-Abonnements für Cloud Access erwerben.
Hinweis
Insights sendet Telemetriesysteminformationen außerhalb von Azure.
Konfigurieren der Netzwerkeinstellungen
Sie können NSGs auf die Netzwerkschnittstellenebene oder Subnetzebene anwenden. Wir empfehlen die Subnetzebene, es sei denn, bestimmte Anforderungen erfordern eine NSG auf Netzwerkschnittstellenebene. Dieser Ansatz vereinfacht die Verwaltung der Netzwerkkommunikation. Sie können mit Anwendungssicherheitsgruppen die Anwendungskommunikation ermöglichen, die die Kommunikation zwischen Subnetzen ganzheitlich segmentiert. Ermitteln Sie den am besten geeigneten Ansatz für Ihr Szenario, und stellen Sie sicher, dass RHEL-Computer über angemessenen Zugriff auf das Internet für erforderliche Repositorys verfügen. Möglicherweise müssen Sie URLs für diese Repositorys in den Umgebungen mit den meisten Sperren zulassen. Private Endpunkte sorgen dafür, dass der einzige Datenverkehr, den eine Azure-Ressource standardmäßig empfangen kann, aus dem Azure-Netzwerk stammt, einschließlich Verbindungen von der lokalen Umgebung, wenn Sie über ein Azure-Gateway verfügen.
Implementieren von SIEM- oder SOAR-Tools
Ziehen Sie Microsoft Sentinel für SOAR-Tools (Security Orchestration, Automation and Response, Sicherheitsorchestrierung, Automatisierung und Reaktion) oder SIEM-Tools für Ihre RHEL-Systeme in Betracht. Microsoft Sentinel passt mithilfe von KI die Bedrohungserkennung für das System an. Sie können Reaktionen auf Angriffe über Runbooks automatisieren. Verwenden Sie Microsoft Sentinel für die proaktive Bedrohungserkennung, -suche und -reaktion.
Überlegungen zu Confidential Computing
RHEL verfügt über ein vertrauliches Image für bestimmte RHEL-Betriebssystemoptionen. Nutzen Sie Anwendungsfälle für Confidential Computing.