Вопросы безопасности для Red Hat Enterprise Linux в Azure
В этой статье описываются рекомендации и рекомендации по реализации безопасности в среде Red Hat Enterprise Linux (RHEL). Чтобы обеспечить безопасность для систем RHEL, используйте подход, предназначенный для нескольких областей. Безопасность требует, чтобы все команды работали вместе для защиты рабочих нагрузок. Продукты или платформы, которые развертываются, не могут обеспечить исключительно безопасность вашей среды.
Реализуйте и соблюдайте строгий процесс, охватывающий компоненты поведения, администрирования и инженерии. При развертывании RHEL в целевой зоне Azure необходимо оценить несколько факторов безопасности. Чтобы создать безопасную и устойчивую облачную среду, реализуйте стратегический подход, который применяет механизмы безопасности Azure и Red Hat.
Рекомендации по проектированию
Чтобы обеспечить безопасность для систем RHEL в Azure или в другом месте, убедитесь, что вы начинаете с проверенного и проверенного содержимого. В современных облачных средах двоичные файлы и код могут возникать из различных источников. При первом рассмотрении развертывания защитите цепочку поставок программного обеспечения.
Жесткое изображение
Вы можете найти изображения в Azure Marketplace и частных продуктах , в которых Red Hat или Red Hat Limited в Европе, Ближнем Востоке и Африке (EMEA) публикует запись. Red Hat и Майкрософт проверяют и проверяют эти образы, чтобы обеспечить целостность источника и обеспечить безопасные конфигурации по умолчанию для экземпляров операционной системы RHEL.
Чтобы обеспечить соответствие требованиям к безопасности среды выполнения вашей организации для целевой рабочей нагрузки, правильно настройте экземпляры, создаваемые на основе этих образов. Чтобы упростить меры безопасности, используйте опубликованные образы Red Hat из Azure Marketplace для развертывания систем RHEL. Следуйте указаниям Red Hat по спецификациям системы и изображений для рабочей нагрузки. Чтобы уменьшить область атаки, начните с минимально оптимизированного для Azure образа RHEL. Вам не нужно создавать и настраивать все экземпляры из этого базового образа. Чтобы обеспечить соответствие различным требованиям к обеспечению защиты, рекомендуется использовать составные компоненты для создания образов, относящихся к рабочей нагрузке.
Вы также можете использовать методики GitOps для разработки конвейеров образов. Такой подход является более высокой методологией. Эти конвейеры создают составные компоненты, определенные как код конфигурации, на исходный образ для создания образов рабочей нагрузки.
Чтобы эффективно использовать изображения, выполните следующие рекомендации.
Создайте защищенное базовое изображение, которое соответствует модели наименьших привилегий, чтобы обеспечить твердый фундамент.
Настройка программного обеспечения и безопасности уровня вместе для повышения повторного использования и выполнения стандартных операционных сред и рекомендаций DevSecOps.
Используйте модели композиции для изображений, чтобы снизить затраты на тестирование и квалификацию и снизить затраты на обслуживание.
Используйте модели композиции, чтобы повысить гибкость и ускорить доставку новых рабочих нагрузок.
Автоматизация процесса сборки, тестирования и доставки образов для модели.
Обновление образов
Вы также должны регулярно обновлять изображения. Эфемерные экземпляры, скорее всего, имеют более актуальное изображение, так как обычно они развертываются из текущего образа. Но следует регулярно обновлять более длительные экземпляры с помощью централизованной системы исправления. Этот шаг поможет вам определить состояние исправленных систем в вашей среде. При минимизации дисперсии развертывания шум мониторинга уменьшается, и вы можете определить аномалии более точно и быстро. Этот подход повышает скорость успешного обнаружения и исправления.
Для поддержания строгих элементов управления доступом рекомендуется реализовать централизованную систему. Многие проекты с открытым кодом и коммерческие приложения вне полки предоставляют простые примеры развертывания, использующие локальные учетные записи или локальные открытые ключи. Эти примеры могут обеспечить безопасную конфигурацию, но по мере расширения облачного пространства усилия по поддержанию локализованной конфигурации даже при автоматизации могут стать проблематичными. Нагрузка автоматизации увеличивается линейно с каждым экземпляром, но нагрузка на ведение журнала безопасности и мониторинг может увеличиваться по экспоненциальной скорости. Эти изменения создают чрезмерную нагрузку на вычислительные ресурсы, хранилище и анализ ресурсов. Централизованное управление доступом сокращает точки конфигурации, что снижает нагрузку на автоматизацию и ведение журнала, сводит к минимуму изменения и упрощает аудит при сохранении строгих элементов управления доступом к ресурсам.
В тех областях, где рабочая нагрузка требует соответствия стандартам шифрования и базовым стандартам соответствия, рекомендуется использовать интегрированные возможности платформы, поддерживающие открытые стандарты, чтобы обеспечить совместимость с облачными рабочими нагрузками. Red Hat и Корпорация Майкрософт соблюдают и участвуют в глобальных органах стандартов и предоставляют соответствующие инструменты. Например, многие файлы конфигурации в отдельном экземпляре имеют конфигурацию криптографического шифра для системных служб и приложений. Вариативность может легко происходить между системами в целевой рабочей нагрузке и на разных парках. Чтобы определить измерения соответствия, рассмотрите возможность использования открытых стандартов. Средства Red Hat и Майкрософт используют стандартные форматы файлов для предоставления последних данных уязвимостей и конфигурации. Red Hat предоставляет актуальные веб-каналы языка открытых уязвимостей и оценки (OVAL) из команды Red Hat Product Security для компонентов платформы Red Hat.
Azure предоставляет уникальные возможности для использования облачных функций и поддержки рекомендаций по обеспечению безопасности и соответствия требованиям. Функции безопасности и службы в инфраструктуре Azure включают:
Доверенный запуск для виртуальных машин: безопасный экземпляр BIOS и конфигурация. Вы можете использовать доверенный запуск для виртуальных машин для защиты процесса запуска, что гарантирует запуск виртуальных машин с проверенным кодом.
Шифрование дисков Azure в Azure Key Vault: шифрование неактивных данных. Чтобы защитить неактивных данных, используйте шифрование дисков Azure в Key Vault для управления ключами и секретами шифрования. Key Vault поддерживает два типа контейнеров: хранилища и пулы управляемого аппаратного модуля безопасности (HSM). Вы можете хранить ключи, секреты и сертификаты с поддержкой HSM в хранилищах.
Microsoft Defender для облака. Обеспечение централизованного аудита системы. Defender для облака может предоставлять централизованное представление для единого управления безопасностью и защиты от угроз.
Рекомендации по проектированию
При разработке сред RHEL в Azure воспользуйтесь преимуществами возможностей безопасности Red Hat и облачных функций безопасности Azure, чтобы обеспечить надежное, безопасное и эффективное развертывание. Начните с образа, который вы заверяете и создаете с помощью известных проверенных двоичных файлов. Образы RHEL в Azure Marketplace оптимизированы для обеспечения производительности и безопасности облака. Если у вас есть определенные требования к безопасности для вашего бизнеса, вы должны начать с собственного настраиваемого, защищенного образа, который вы создаете из двоичных файлов Red Hat-sourced. Red Hat Satellite может поддерживать и управлять кодом Red Hat, Майкрософт и партнером или пользовательским кодом приложения. Спутник может проверить код с помощью учетных данных и подписей управляемого содержимого. RHEL проверяет согласованность и подлинность программного обеспечения из источника на диск.
При использовании средств управления Azure и Red Hat для разработки автоматизированных рабочих процессов Red Hat рекомендует использовать сертифицированные коллекции платформы автоматизации Ansible.
Убедитесь, что рабочие процессы:
- Создание, обслуживание и тестирование базовых показателей и образов рабочих нагрузок.
- Тестирование и развертывание временных экземпляров.
- Тестирование цикла исправлений и доставка постоянных экземпляров виртуальных машин.
- Используйте конвейеры автоматизации. Конвейеры автоматизации значительно сокращают усилия по управлению, обеспечивают согласованное применение политик, улучшают обнаружение аномалий и ускоряют исправление в целевых зонах RHEL.
Кроме того, рекомендуется использовать коллекцию вычислений Azure. Вы можете создать образ Red Hat со всеми необходимыми механизмами безопасности, которые вы используете в организации, и создать образ этой виртуальной машины. Затем вы можете совместно использовать образы, совместимые с безопасностью, между подписками и регионами в среде Azure. Кроме того, можно использовать управление версиями для более детального управления образами виртуальных машин. Этот подход помогает объединить исправления безопасности вычислительных экземпляров и средства, которые вы используете в вашей среде.
Рассмотрите возможность реализации Диспетчера обновлений Azure в рамках процесса управления обновлениями. Update Manager — это единая служба, которую можно использовать для мониторинга обновлений во всех развертываниях. Используйте Диспетчер обновлений для опроса всего парка компьютеров в Azure, локальной среде и в других облаках.
Управление идентификацией и доступом
Чтобы централизованно применять строгие политики доступа, интегрируйте Red Hat Identity Management (IdM). IdM использует доверия и интеграции OpenID Connect для консолидации реализации собственных функций Linux в корпоративной модели безопасности без синхронизации учетных данных.
- Управление доступом на основе ролей (RBAC)
- Управление доступом на основе узла
- Политика эскалации привилегий
- Политика сопоставления пользователей SELinux
- Другие критически важные службы Linux
По сравнению с традиционными развертываниями Linux этот подход создает преимущества, такие как:
- Упрощенное управление изменениями с помощью сокращенных точек касания автоматизации.
- Уменьшение нагрузки для ведения журнала и анализа.
- Соответствие требованиям аудита проверки подлинности.
- Согласованность политик.
IdM предоставляет преимущества для управления централизованной политикой безопасности Linux.
Red Hat рекомендует включить и запустить SELinux во всех экземплярах на основе RHEL, включая разработку, тестирование и рабочие среды. Все созданные образы и установки Red Hat могут запускать SELinux в режиме принудительного применения по умолчанию. При разработке развертываний рабочих нагрузок можно запускать SELinux в разрешительном режиме для всего экземпляра или отдельных служб в экземпляре. Затем команды разработчиков, безопасности и операций могут определять характеристики доступа приложений и использовать данные журнала аудита с помощью средств SELinux для создания соответствующей политики SELinux для целевой рабочей нагрузки.
Средства создания политик SELinux могут создавать файлы политики на основе RPM для включения в репозитории содержимого для стандартизированного развертывания образа. Команды разработчиков, безопасности и операций могут доставлять артефакты вышестоящей итеративной манерой в конвейере. После тестирования определяется, что нарушения SELinux не создаются, можно задать конфигурацию SELinux в режиме принудительного применения. Нарушения SELinux, создаваемые во время рабочей среды, указывают на значительное отклонение от допустимого поведения приложения. Вы должны пометить и расследовать эти нарушения. Используйте SELinux для обеспечения комплексной видимости и упреждающего управления угрозами.
Чтобы определить роли RBAC, назначенные компьютерам RHEL, понять роли и обязанности в команде. Для соответствующих команд может потребоваться повышенный доступ к виртуальным машинам. Рассмотрим участника виртуальных машин, средства чтения виртуальных машин и аналогичные роли для доступа к виртуальным машинам. Рассмотрите возможность JIT-доступа, если вам не нужен постоянный доступ. Рассмотрите управляемые удостоверения, если система RHEL должна пройти проверку подлинности в Azure. Назначаемые системой управляемые удостоверения обеспечивают большую безопасность, чем субъекты-службы, и связаны с ресурсом виртуальной машины. Помимо ролей RBAC рассмотрите возможность условного доступа для людей, которым требуется доступ к вашей среде Azure. Используйте условный доступ, чтобы ограничить доступ пользователей к среде Azure на основе расположения, IP-адреса и других критериев.
Использование антивирусного программного обеспечения
Убедитесь, что на компьютере RHEL есть соответствующее антивирусное программное обеспечение. Рассмотрите возможность подключения Microsoft Defender для конечной точки в Linux для защиты от последних уязвимостей. Имейте в виду, что на компьютерах RHEL, используемых для размещения баз данных SAP, не следует включать Defender для облака standard. Убедитесь, что каждый компьютер RHEL и рабочая нагрузка могут запускать программное обеспечение для защиты конечных точек.
Управление секретами
Red Hat рекомендует установить политику шифрования на уровне системы для всех экземпляров, где это возможно. Вы можете охарактеризовывание облачных развертываний по разнообразию. Команды рабочей нагрузки выбирают собственные библиотеки, языки, служебные программы и поставщики шифрования для удовлетворения потребностей конкретных решений. Реализация стандартов, факторинг компонентов приложений, компостность и другие методы могут снизить вариативность, но вы настраиваете параметры шифрования для приложений и служб в нескольких местах в определенном экземпляре.
Для разумной настройки новых компонентов требуются значительные усилия и часто глубокие криптографические знания. Устаревшие или неправильно настроенные политики шифрования создают риск. Политика шифрования на уровне системы выравнивает конфигурацию основных подсистем шифрования, охватывающих протоколы TLS, безопасности протокола ИНТЕРНЕТА (IPSec), расширения безопасности системы доменных имен (DNSSEC) и протоколы Kerberos. Политика шифрования по умолчанию на уровне системы RHEL реализует консервативную конфигурацию, которая устраняет целый класс угроз путем отключения устаревших протоколов связи, таких как TLS версии 1.1 и более ранних версий. Политики FUTURE и FIPS предоставляют более строгие конфигурации. Вы также можете создавать пользовательские политики.
Вы можете включить средства аудита системы RHEL и обеспечения соответствия безопасности. Сосредоточьтесь на автоматическом сканировании и исправлении, которые соответствуют отраслевым стандартам.
Управляющая программа аудита RHEL проверяется, а центральная управляющая программа ведения журнала журналов выполняется в журнале. Azure Monitor может получать данные из аудита и журналов для мониторинга событий безопасности системы RHEL и канала Microsoft Sentinel или других служб управления событиями безопасности (SIEM).
Для систем RHEL, которые должны соответствовать техническому руководству по обеспечению безопасности информационной системы обороны (DISA-STIG), требуется служебная программа "Расширенная среда обнаружения вторжений" (AIDE). Вы должны записать выходные данные AIDE в Azure.
Отслеживайте и интегрируйте с Ansible Automation Platform, чтобы определить, оповещение и исправить критически важные системные файлы.
Используйте бесплатные компоненты уровня операционной системы во всех экземплярах RHEL на основе Azure.
Применение политики выполнения кода: используйте управляющую программу fapolicyd, чтобы ограничить приложения, которые могут выполняться в экземпляре RHEL.
Управление трафиком входящего и исходящего трафика экземпляра. Используйте брандмауэр с группами безопасности сети Azure (NSG) для эффективного управления трафиком на север и юг.
Централизованное управление конфигурацией с помощью автоматизации. Используйте методологию GitOps для обеспечения согласованного управления конфигурацией во время развертывания и непрерывного выполнения операций с днем 2 рабочих нагрузок RHEL.
Реализуйте режим соответствия FIPS для рабочих нагрузок для государственных организаций: убедитесь, что назначенные экземпляры RHEL выполняются в режиме FIPS, чтобы соответствовать стандартам шифрования. Используйте предложения по соответствию Azure для комплексного положения соответствия требованиям.
Всегда запустите SELinux: используйте SELinux в разрешительном режиме, чтобы определить профили доступа к рабочей нагрузке и обеспечить правильную политику для запуска SELinux в режиме принудительного применения на виртуальных машинах RHEL. SELinux значительно сокращает область атак на приложения и службы, которые выполняются в Azure.
Зарегистрируйте серверы RHEL в Red Hat Insights через Red Hat Satellite. Red Hat Insights использует преимущества анализа базы данных решения проблем Red Hat. Аналитика использует этот анализ для упреждающего определения и создания исправлений для проблем развертывания и конфигурации, прежде чем они влияют на операции. Эта стратегия повышает уровень безопасности и эффективность работы. Каждая подписка RHEL включает Insights. Все облачные подписки RHEL включают подписку Red Hat Satellite. Кроме того, вы можете приобрести подписку Red Hat Satellite с помощью подписок RHEL Cloud Access.
Примечание.
Аналитика отправляет сведения о системе телеметрии за пределами Azure.
Настройка сетевых подключений
Группы безопасности сети можно применять к уровню сетевого интерфейса или подсети. Рекомендуется использовать уровень подсети, если только определенные требования не требуют NSG на уровне сетевого интерфейса. Такой подход упрощает управление сетевыми данными. Группы безопасности приложений можно использовать для обеспечения взаимодействия приложений, которые целостно сегментирует обмен данными между подсетями. Определите, какой подход лучше подходит для вашего сценария, и убедитесь, что компьютеры RHEL имеют соответствующий доступ к Интернету для необходимых репозиториев. Возможно, вам потребуется разрешить URL-адреса списка для этих репозиториев в наиболее заблокированных средах. Частные конечные точки гарантируют, что единственный трафик, который ресурс Azure может получать по умолчанию, — это трафик, исходящий из сети Azure, включая подключения из локальной среды, если у вас есть шлюз Azure.
Реализация средств SIEM или SOAR
Рассмотрим Microsoft Sentinel для оркестрации безопасности, автоматизации и реагирования (SOAR) или средств SIEM для систем RHEL. Microsoft Sentinel использует ИИ для адаптации способа обнаружения угроз в системе. Вы можете автоматизировать ответы на атаки с помощью модулей Runbook. Используйте Microsoft Sentinel для упреждающего обнаружения угроз, поиска угроз и реагирования на угрозы.
Рассмотрите возможность конфиденциальных вычислений
RHEL предоставляет конфиденциальный образ для определенных параметров операционной системы RHEL. Рассмотрим варианты использования конфиденциальных вычислений.