Azure'da Red Hat Enterprise Linux için güvenlikle ilgili dikkat edilmesi gerekenler

  • Makale

Bu makalede, Red Hat Enterprise Linux (RHEL) ortamınızda güvenliği uygulamaya yönelik önemli noktalar ve öneriler açıklanmaktadır. RHEL sistemleriniz için güvenlik sağlamak için birden çok alanı hedefleyen bir yaklaşım kullanın. Güvenlik, iş yüklerinizin güvenliğini sağlamak için tüm ekiplerin birlikte çalışmasını gerektirir. Dağıttığınız ürünler veya platformlar yalnızca ortamınızın güvenliğini sağlayamaz.

Davranışsal, yönetim ve mühendislik bileşenlerini kapsayan zorlu bir süreç uygulayın ve bunlara uyun. RhEL'i bir Azure giriş bölgesine dağıtırken çeşitli güvenlik faktörlerini değerlendirmeniz gerekir. Güvenli ve dayanıklı bir bulut ortamı oluşturmak için hem Azure hem de Red Hat güvenlik mekanizmalarını uygulayan stratejik bir yaklaşım uygulayın.

Tasarımla ilgili dikkat edilecek noktalar

Azure'da veya başka bir yerde RHEL sistemleri için güvenlik sağlamak için doğrulanmış ve doğrulanmış içerikle başladığınıza emin olun. Modern bulut ortamlarında ikili dosyalar ve kodlar çok çeşitli kaynaklardan kaynaklanabilir. Dağıtımınız için ilk dikkate alınacak nokta olarak yazılım tedarik zincirinizin güvenliğini sağlayın.

Görüntüleri sağlamlaştırma

Red Hat veya Avrupa, Orta Doğu ve Afrika (EMEA) bölgelerinde Red Hat Limited'in kaydı yayımladığı Azure Market ve özel ürün teklifi bölümlerinde resimler bulabilirsiniz. Red Hat ve Microsoft, kaynak bütünlüğünü sağlamak ve RHEL işletim sistemi örnekleri için güvenli varsayılan yapılandırmalar sağlamak üzere bu görüntüleri doğrular ve doğrular.

Kuruluşunuzun hedef iş yüküne yönelik çalışma zamanı güvenlik gereksinimlerini karşılamak için bu görüntülerden oluşturduğunuz örnekleri düzgün bir şekilde yapılandırın. Güvenlik önlemlerinizi kolaylaştırmaya yardımcı olmak için RHEL sistemlerinizi dağıtmak için Azure Market Red Hat tarafından yayımlanan görüntüleri kullanın. İş yükünüz için sistem ve görüntü belirtimleri için Red Hat kılavuzlarını izleyin. Saldırı yüzeyini azaltmak için azure için iyileştirilmiş en düşük rhel görüntüsüyle başlayın. Bu temel görüntüden tüm örnekleri oluşturmanız ve yapılandırmanız gerekmez. Çeşitli sağlamlaştırma gereksinimlerini karşılamak için iş yüküne özgü görüntüler oluşturmak için birleştirilebilir bileşenler kullanmanızı öneririz.

Görüntü işlem hatları geliştirmek için GitOps uygulamalarını da kullanabilirsiniz. Bu yaklaşım üstün bir metodolojidir. Bu işlem hatları, iş yükü görüntülerini oluşturmak için yapılandırma kodu olarak tanımlanan birleştirilebilir bileşenleri ilk görüntüye katmanlar.

Görüntüleri etkili bir şekilde kullanmak için aşağıdaki noktaları uygulayın:

  • Sağlam bir temel sağlamak için en düşük ayrıcalık modeline uygun sağlamlaştırılmış bir temel görüntü oluşturun.

  • Yeniden kullanımı teşvik etmek ve standart işletim ortamı ile DevSecOps en iyi yöntemlerini izlemek için yazılım ve güvenlik yapılandırmasını birlikte katmanlayın.

  • Test ve nitelik çalışmalarını azaltmak ve bakım maliyetlerini azaltmak için görüntüler için kompozisyon modellerini kullanın.

  • Esnekliği artırmak ve yeni iş yükleri için teslim süresini hızlandırmak için bileşim modellerini kullanın.

  • Model için görüntülerin derleme, test ve teslim sürecini otomatikleştirin.

Görüntüleri güncelleştirme

Ayrıca görüntülerinizi düzenli olarak güncelleştirmeniz gerekir. Genellikle bunları geçerli bir görüntüden dağıttığınızdan kısa ömürlü örneklerin büyük olasılıkla daha güncel bir görüntüsü vardır. Ancak merkezi bir düzeltme eki uygulama sistemi kullanarak daha uzun süreli örnekleri düzenli olarak güncelleştirmeniz gerekir. Bu adım, ortamınızdaki yamalı sistemlerin durumunu araştırmanıza yardımcı olur. Dağıtım değişkenliğini en aza indirdiğinizde izleme gürültüsü azalır ve anomalileri daha doğru ve hızlı bir şekilde tanımlayabilirsiniz. Bu yaklaşım, otomatik algılama ve düzeltme çalışmalarının başarı oranını artırır.

Katı erişim denetimlerini korumak için merkezi bir sistem uygulamayı göz önünde bulundurun. Birçok açık kaynak proje ve kullanıma açık ticari uygulamalar, yerel hesapları veya yerel olarak dağıtılan ortak anahtarları kullanan basit dağıtım örnekleri sağlar. Bu örnekler güvenli bir yapılandırma sağlayabilir, ancak bulut ayak izi genişledikçe, otomasyonla bile yerelleştirilmiş yapılandırmayı koruma çabası sorunlu hale gelebilir. Otomasyon yükü her örnekte doğrusal olarak artar, ancak güvenlik günlüğü ve izleme yükü üstel bir hızda yükseltilebilir. Bu değişiklikler işlem, depolama ve analiz kaynakları üzerinde aşırı yük oluşturur. Merkezi erişim denetimi, otomasyon ve günlüğe kaydetme yükünü azaltan, değişikliği en aza indiren ve denetlenebilirliği basitleştiren yapılandırma noktalarını azaltır ve kaynak erişimi üzerinde sıkı denetimler sağlar.

İş yükünüzün şifreleme standartları ve uyumluluk temelleri ile uyumluluk gerektirdiği alanlarda, bulut iş yükleriyle uyumluluğu sağlamak için açık standartları destekleyen tümleşik platform özelliklerini kullanmayı göz önünde bulundurun. Red Hat ve Microsoft, küresel standart kurumlarına bağlı kalıp bunlara katılır ve uygun araçlar sağlar. Örneğin, tek bir örnekteki birçok yapılandırma dosyasının sistem hizmetleri ve uygulamaları için şifreleme şifreleme yapılandırması vardır. Varyans, hedef iş yükündeki sistemlerde ve bir filo genelinde kolayca gerçekleşebilir. Uyumluluk ölçümlerinizi tanımlamak için açık standartları kullanmayı göz önünde bulundurun. Hem Red Hat hem de Microsoft araçları, en son güvenlik açığı ve yapılandırma verilerini sağlamak için standartlaştırılmış dosya biçimlerini tüketir. Red Hat, Red Hat platform bileşenleri için Red Hat Ürün Güvenliği ekibinden güncel Açık Güvenlik Açığı ve Değerlendirme Dili (OVAL) akışları sağlar.

Azure, buluta özgü özellikleri kullanmak ve güvenlik ve uyumluluk için en iyi yöntemleri korumak için benzersiz fırsatlar sunar. Azure altyapısındaki güvenlik özellikleri ve hizmetleri şunlardır:

  • VM'ler için güvenilir başlatma: Güvenli örnek BIOS ve yapılandırma. VM'lerin doğrulanmış kodla başlamasını sağlayan başlangıç işleminin güvenliğini sağlamak için VM'ler için güvenilir başlatmayı kullanabilirsiniz.

  • Azure Key Vault'ta Azure disk şifrelemesi: Bekleyen verileri şifreleme. Bekleyen verilerin güvenliğini sağlamak için, şifreleme anahtarlarını ve gizli dizileri yönetmek için Key Vault'ta Azure disk şifrelemesini kullanın. Key Vault iki tür kapsayıcıyı destekler: kasalar ve yönetilen donanım güvenlik modülü (HSM) havuzları. Kasalarda yazılım, HSM destekli anahtarlar, gizli diziler ve sertifikalar depolayabilirsiniz.

  • Bulut için Microsoft Defender: Merkezi sistem denetimini sağlayın. Bulut için Defender birleşik güvenlik yönetimi ve tehdit koruması için merkezi bir görünüm penceresi sağlayabilir.

Tasarım önerileri

Azure'da RHEL ortamları tasarlarken, sağlam, güvenli ve verimli bir dağıtım sağlamak için Red Hat yerel güvenlik özelliklerinden ve Azure bulut güvenliği özelliklerinden yararlanın. Sağlamlaştırdığınız ve bilinen doğrulanmış ikili dosyalar ile derlediğiniz bir görüntüyle başlayın. Azure Market'deki RHEL görüntüleri, bulut performansı ve güvenliği için kolaylaştırılır. İşletmeniz için belirli güvenlik gereksinimleriniz varsa, Red Hat kaynaklı ikili dosyalardan oluşturduğunuz özelleştirilmiş, sağlamlaştırılmış görüntünüzle başlamalısınız. Red Hat Satellite, Red Hat, Microsoft ve iş ortağı kodunu veya özel uygulama kodunuzu koruyabilir ve yönetebilir. Uydu, yönetilen içerik kimlik bilgileri ve imzalar aracılığıyla kodu doğrulayabilir. RHEL, yazılımın kaynaktan diske tutarlılığını ve orijinalliğini doğrular.

Otomatik iş akışları geliştirmek için Azure ve Red Hat yönetim araçlarını kullandığınızda Red Hat sertifikalı Ansible Automation Platform koleksiyonlarını kullanmanızı önerir.

İş akışlarınızın:

  • Temel ve iş yükü görüntüleri oluşturun, koruyun ve test edin.
  • Kısa ömürlü örnekleri test edin ve dağıtın.
  • Düzeltme eki döngüsü testi ve kalıcı VM örnekleri sunma.
  • Otomasyon işlem hatlarını kullanın. Otomasyon işlem hatları yönetim çalışmalarını önemli ölçüde azaltır, tutarlı ilke uygulama sağlar, anomali algılamayı geliştirir ve RHEL giriş bölgelerinin tamamında düzeltmeyi hızlandırır.

Ayrıca Azure İşlem Galerisi'ne de göz önünde bulundurun. Red Hat görüntünüzü kuruluşunuzda kullandığınız tüm gerekli güvenlik mekanizmalarıyla oluşturabilir ve bu VM'nin görüntüsünü oluşturabilirsiniz. Ardından Azure ortamınızdaki abonelikler ve bölgeler arasında güvenlikle uyumlu görüntüleri paylaşabilirsiniz. VM görüntüleri üzerinde daha ayrıntılı denetim için sürüm oluşturma özelliğini de kullanabilirsiniz. Bu yaklaşım, ortamınızda kullandığınız işlem örneği güvenlik düzeltme eklerini ve araçlarını birleştirmenize yardımcı olur.

Güncelleştirme yönetimi sürecinizin bir parçası olarak Azure Update Manager'ın uygulanmasını göz önünde bulundurun. Güncelleştirme Yöneticisi, dağıtımlarınızda güncelleştirmeleri izlemek için kullanabileceğiniz birleşik bir hizmettir. Azure'daki, şirket içindeki ve diğer bulutlardaki tüm makine filonuzu araştırmak için Update Manager'ı kullanın.

Kimliği ve erişimi yönetme

Katı erişim ilkelerini merkezi olarak uygulamak için Red Hat Kimlik Yönetimi'ni (IdM) tümleştirin. IdM, aşağıdaki özelliklerin yerel-Linux uygulamasını kimlik bilgisi eşitlemesi olmadan bir kurumsal güvenlik modelinde birleştirmek için güvenleri ve OpenID Connect tümleştirmelerini kullanır.

  • Rol tabanlı erişim denetimi (RBAC)
  • Konak tabanlı erişim denetimi
  • Ayrıcalık yükseltme ilkesi
  • SELinux kullanıcı eşleme ilkesi
  • Diğer kritik Linux hizmetleri

Geleneksel Linux dağıtımlarıyla karşılaştırıldığında, bu yaklaşım aşağıdakiler gibi avantajlar sağlar:

  • Azaltılmış otomasyon dokunma noktaları aracılığıyla kolaylaştırılmış değişiklik denetimi.
  • Günlüğe kaydetme ve analizle ilgili yük azaltıldı.
  • Kimlik doğrulaması denetim gereksinimleriyle uyumluluk.
  • İlke tutarlılığı.

IdM, merkezi Linux güvenlik ilkesini yönetmek için avantajlar sağlar.

Red Hat, GELIŞTIRME, test ve üretim ortamları dahil olmak üzere TÜM RHEL tabanlı örneklerde SELinux'u etkinleştirmenizi ve çalıştırmanızı önerir. Red Hat tarafından üretilen tüm görüntüler ve yüklemeler SELinux'u varsayılan olarak zorlama modunda çalıştırabilir. İş yükü dağıtımlarını tasarlarken, SELinux'u tüm örnek veya örnek içindeki tek tek hizmetler için izin verme modunda çalıştırabilirsiniz. Ardından geliştirme, güvenlik ve operasyon ekipleri uygulamaların erişim özelliklerini belirleyebilir ve hedef iş yükü için uygun SELinux ilkesi oluşturmak üzere SELinux araçlarıyla denetim günlüğü verilerini kullanabilir.

SELinux ilke oluşturma araçları, standart görüntü dağıtımı için içerik depolarına eklenecek RPM tabanlı ilke dosyaları oluşturabilir. Geliştirme, güvenlik ve operasyon ekipleri yapıtları işlem hattı içinde yinelemeli bir şekilde yukarı akışa sunabilir. Test, SELinux ihlali oluşturulmadığını belirledikten sonra SELinux yapılandırmasını zorlama moduna ayarlayabilirsiniz. Üretim sırasında oluşturulan SELinux ihlalleri, kabul edilebilir uygulama davranışından önemli bir sapma olduğunu belirtir. Bu ihlalleri bayrakla işaretlemeli ve araştırmanız gerekir. Kapsamlı görünürlük ve proaktif tehdit yönetimi sağlamak için SELinux kullanın.

RHEL makinelerine atadığınız RBAC rollerini tanımlamak için ekibinizdeki rolleri ve sorumlulukları anlayın. İlgili ekipler sanal makinelere (VM) yükseltilmiş erişim gerektirebilir. VM'lere erişmek için Sanal Makine Katkıda Bulunanı, Sanal Makine Okuyucusu ve benzer rolleri göz önünde bulundurun. Ayakta erişime ihtiyacınız yoksa tam zamanında erişimi göz önünde bulundurun. RHEL sisteminin Azure'da kimlik doğrulaması yapması gerekiyorsa yönetilen kimlikleri göz önünde bulundurun. Sistem tarafından atanan yönetilen kimlikler, hizmet sorumlularından daha fazla güvenlik sağlar ve VM kaynağıyla ilişkilendirilir. RBAC rollerine ek olarak, Azure ortamınıza erişmesi gereken kişiler için koşullu erişimi göz önünde bulundurun. Azure ortamınıza kullanıcı erişimini konum, IP adresi ve diğer ölçütlere göre kısıtlamak için koşullu erişimi kullanın.

Virüsten koruma yazılımı kullanma

RHEL makinenizde uygun virüsten koruma yazılımına sahip olduğunuzdan emin olun. En son güvenlik açıklarına karşı koruma için Linux'ta Uç Nokta için Microsoft Defender eklemeyi göz önünde bulundurun. SAP veritabanlarını barındırmak için kullandığınız RHEL makinelerinde Bulut için Defender Standard'ı etkinleştirmemeniz gerektiğini unutmayın. Her RHEL makinesinin ve iş yükünün uç nokta koruma yazılımınızı çalıştıradığından emin olun.

Gizli dizileri yönetme

Red Hat, mümkün olduğunca tüm örneklerde sistem genelinde bir şifreleme ilkesi ayarlamanızı önerir. Bulut dağıtımlarını çeşitliliğe göre niteleyebilirsiniz. İş yükü ekipleri kendi kitaplıklarını, dillerini, yardımcı programlarını ve şifreleme sağlayıcılarını seçerek kendi çözümlerinin ihtiyaçlarını karşılar. Standartların uygulanması, uygulama bileşeni çarpanları, oluşturulabilirlik ve diğer teknikler değişkenliği azaltabilir, ancak belirli bir örnekteki birden çok yerdeki uygulamalar ve hizmetler için şifreleme ayarlarını yapılandırırsınız.

Yeni bileşenleri hassas bir şekilde yapılandırmak için önemli bir çaba ve genellikle derin şifreleme bilgisi gerekir. Eski veya yanlış yapılandırılmış şifreleme ilkeleri risk oluşturur. Sistem genelinde şifreleme ilkesi, Aktarım Katmanı Güvenliği (TLS), İnternet Protokolü Güvenliği (IPSec), Etki Alanı Adı Sistem Güvenlik Uzantıları (DNSSEC) ve Kerberos protokollerini kapsayan çekirdek şifreleme alt sistemlerinin yapılandırmasını hizalar. RHEL sistem genelinde şifreleme VARSAYıLAN ilkesi, TLS v1.1 ve önceki sürümler gibi eski iletişim protokollerini devre dışı bırakarak tüm tehdit sınıfını ortadan kaldıran muhafazakar bir yapılandırma uygular. GELECEK ve FIPS ilkeleri daha katı yapılandırmalar sağlar. Özel ilkeler de oluşturabilirsiniz.

RHEL sistem denetimi ve güvenlik uyumluluk araçlarını dahil edebilirsiniz. Sektör standartlarına uygun otomatik tarama ve düzeltmeye odaklanın.

  • RHEL denetim daemon'u denetlenip merkezi günlük kaydı daemon'u günlüğe alınır. Azure İzleyici, RHEL sistem güvenlik olaylarını izlemek ve Microsoft Sentinel veya diğer güvenlik bilgileri ve olay yönetimi (SIEM) hizmetlerini beslemek için denetlenen ve günlüğe alınan verileri alabilir.

  • Savunma Bilgi Sistemleri Ajansı Güvenlik Teknik Uygulama Kılavuzu (DISA-STIG) uyumluluğunu karşılaması gereken RHEL sistemleri, Gelişmiş İzinsiz Giriş Algılama Ortamı (AIDE) yardımcı programını gerektirir. AIDE çıkışını Azure'da günlüğe kaydetmeniz gerekir.

Kritik sistem dosyalarını tanımlamak, uyarmak ve düzeltmek için Ansible Automation Platform'u izleyin ve tümleştirin.

Tüm Azure tabanlı RHEL örneklerinde ücretsiz işletim sistemi düzeyinde bileşenler kullanın.

  • Kod yürütme ilkesini zorunlu kılma: RHEL örneğinde çalışabilen uygulamaları sınırlamak için fapolicyd daemon'ını kullanın.

  • Örnek giriş ve çıkış trafiğini yönetme: VM'lere giden kuzey ve güneye giden trafiği etkili bir şekilde yönetmek için Azure ağ güvenlik gruplarıyla (NSG) güvenlik duvarı kullanın.

  • Otomasyon aracılığıyla yapılandırmayı merkezi olarak yönetme: Dağıtım sırasında tutarlı yapılandırma yönetimi ve RHEL iş yüklerinin 2. gün boyunca sürekli olarak yönetilmesini sağlamak için GitOps metodolojisini kullanın.

  • Kamu iş yükleri için FIPS uyumluluk modunu uygulama: Belirlenen RHEL örneklerinin şifreleme standartlarına uymak için FIPS modunda çalıştığından emin olun. Kapsamlı bir uyumluluk duruşu için Azure uyumluluk tekliflerini kullanın.

  • SELinux'u her zaman çalıştırın: İş yükü erişim profillerini tanımlamak ve RHEL VM'lerinde SELinux'u zorlama modunda çalıştırmak için uygun ilkeyi sağlamak için SELinux'u izin verme modunda kullanın. SELinux, Azure'da çalışan uygulamalar ve hizmetler üzerindeki saldırı yüzeyini önemli ölçüde azaltır.

RHEL sunucularını Red Hat Satellite aracılığıyla Red Hat Insights'a kaydedin. Red Hat Insights, Red Hat'in sorun çözümleme veritabanının analizinden yararlanır. İçgörüler, dağıtım ve yapılandırma sorunlarını işlemleri etkilemeden önce proaktif olarak belirlemek ve düzeltmeler oluşturmak için bu analizi kullanır. Bu strateji, güvenlik duruşunu ve operasyonel verimliliği artırır. Her RHEL aboneliği İçgörüler içerir. Tüm RHEL bulut tabanlı abonelikler red hat uydu aboneliği içerir. Alternatif olarak, Cloud Access RHEL aboneliklerinizle red hat uydu aboneliği satın alabilirsiniz.

Not

İçgörüler, telemetri sistemi bilgilerini Azure'ın dışına gönderir.

Ağı yapılandırma

NSG'leri ağ arabirimi düzeyine veya alt ağ düzeyine uygulayabilirsiniz. Belirli gereksinimler ağ arabirimi düzeyinde bir NSG gerektirmediği sürece alt ağ düzeyini öneririz. Bu yaklaşım ağ iletişim yönetimini basitleştirir. Alt ağlar arasındaki iletişimi bütünsel olarak segmentlere ayıran uygulama iletişimine izin vermek için uygulama güvenlik gruplarını kullanabilirsiniz. Senaryonuza en uygun yaklaşımı belirleyin ve RHEL makinelerinin gerekli depolar için İnternet'e uygun erişime sahip olduğundan emin olun. Bu depolar için en kilitli ortamlardaki URL'lere izin vermeniz gerekebilir. Özel uç noktalar, bir Azure kaynağının varsayılan olarak alabileceği tek trafiğin, Azure ağ geçidiniz varsa şirket içi bağlantılar da dahil olmak üzere Azure ağından kaynaklanan trafik olmasını sağlar.

SIEM veya SOAR araçlarını uygulama

RHEL sistemleriniz için güvenlik düzenleme, otomasyon ve yanıt (SOAR) araçları veya SIEM araçları için Microsoft Sentinel'i göz önünde bulundurun. Microsoft Sentinel, sisteme yönelik tehditleri algılama şekline uyum sağlamak için yapay zekayı kullanır. Saldırılara verilen yanıtları runbook'lar aracılığıyla otomatikleştirebilirsiniz. Proaktif tehdit algılama, tehdit avcılığı ve tehdit yanıtı için Microsoft Sentinel'i kullanın.

Gizli bilgi işlemi göz önünde bulundurun

RHEL, belirli RHEL işletim sistemi seçenekleri için gizli bir görüntü içerir. Gizli bilgi işlem kullanım örneklerini göz önünde bulundurun.

Sonraki adımlar