Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La administración de vulnerabilidades implica detectar, evaluar y mitigar las vulnerabilidades de seguridad que existen en los sistemas y el software de una organización, así como informar sobre ellas. La administración de vulnerabilidades es una responsabilidad compartida entre el usuario y Microsoft.
Para la mayoría de las cargas de trabajo de producción, AKS Automatic es la experiencia de clúster predeterminada recomendada. AKS Automatic reduce la sobrecarga operativa proporcionando grupos de nodos del sistema administrados, actualizaciones automáticas de imágenes de clústeres y nodos, medidas de seguridad integradas y valores predeterminados listos para producción. Si necesita un control más directo sobre la configuración del clúster, AKS Standard sigue estando disponible para escenarios especializados.
En este artículo se describe cómo Microsoft administra las vulnerabilidades de seguridad y las actualizaciones de seguridad, también denominadas revisiones, para clústeres de AKS. Para obtener información general sobre la experiencia automática de AKS, consulte Introducción a Azure Kubernetes Service (AKS) Automático.
Importante
A partir del 30 de noviembre de 2025, Azure Kubernetes Service (AKS) ya no admite ni proporciona actualizaciones de seguridad para Azure Linux 2.0. La imagen de nodo de Linux 2.0 de Azure está congelada en la versión 202512.06.0. A partir del 31 de marzo de 2026, se quitarán las imágenes de nodo y no podrá escalar los grupos de nodos. Migre a una versión compatible de Azure Linux mediante la actualización de los grupos de nodos a una versión de Kubernetes compatible o la migración a osSku AzureLinux3. Para más información, consulte el asunto de retirada de GitHub y el anuncio sobre la retirada de actualizaciones de Azure. Para mantenerse informado sobre los anuncios y actualizaciones, siga las notas de lanzamiento de AKS.
Administración automática y de vulnerabilidades de AKS
AKS Automatic está diseñado para ser la opción predeterminada preparada para producción en nuevas cargas de trabajo de AKS. Incluye valores predeterminados que refuerzan la posición de seguridad del clúster y reducen la cantidad de trabajo manual necesario para mantener las cargas de trabajo actuales, como:
- Grupos de nodos del sistema administrados que AKS crea, escala y actualiza.
- Azure Linux para el grupo de nodos del sistema.
- Actualizaciones automáticas de imágenes de clúster y nodo.
- Control de acceso basado en roles de Azure (RBAC) para la autorización de Kubernetes.
- Soporte de identidad de carga de trabajo y emisor de OIDC.
- Protecciones de despliegue y estándares básicos de seguridad de pods.
- Limpiador de imágenes para quitar imágenes sin usar.
- Los valores predeterminados de red administrada que reducen la necesidad de configuración de infraestructura personalizada.
Estos valores predeterminados ayudan a Microsoft y a los clientes a reducir las ventanas de exposición de vulnerabilidades conocidas y simplificar el proceso de mantener los clústeres actualizados. AKS Standard sigue estando disponible cuando se necesita un modelo operativo más manual o personalizable.
Cómo se detectan las vulnerabilidades
Microsoft identifica y aplica revisiones a las vulnerabilidades y a las actualizaciones de seguridad que faltan para los siguientes componentes:
- Imágenes de contenedor de AKS: Microsoft compila y mantiene las imágenes de contenedor usadas en AKS, que incluyen componentes de Kubernetes y otro software de código abierto. Microsoft examina estas imágenes en busca de vulnerabilidades y aplica revisiones según sea necesario.
- Sistema operativo Ubuntu 18.04 y 22.04 nodos de trabajo: Canonical proporciona Microsoft con compilaciones del sistema operativo que tienen aplicadas todas las actualizaciones de seguridad disponibles.
- Nodos de trabajo del SO Windows Server 2022: El sistema operativo Windows Server se corrige el segundo martes de cada mes. Los Acuerdos de Nivel de Servicio deben ser los mismos que según su contrato de soporte técnico y su gravedad.
- Nodos de Azure Linux OS: Azure Linux proporciona a AKS compilaciones del sistema operativo con todas las actualizaciones de seguridad disponibles aplicadas.
En el caso de los clústeres automáticos de AKS, el grupo de nodos del sistema administrado usa Azure Linux de forma predeterminada, que alinea el clúster con el modelo de sistema operativo protegido y administrado de la plataforma. Esa configuración predeterminada reduce la cantidad de gestión de parches a nivel de nodo que debe realizar usted mismo.
Imágenes de contenedor de AKS
Aunque Cloud Native Computing Foundation (CNCF) posee y mantiene la mayor parte del código que se ejecuta en AKS, Microsoft asume la responsabilidad de crear los paquetes de código abierto que implementamos en AKS. Esa responsabilidad incluye asumir la plena responsabilidad del proceso de compilación, análisis, firma, validación y aplicación de correcciones urgentes, así como el control sobre los binarios de las imágenes de contenedor. Tener la responsabilidad de crear los paquetes de código abierto implementados en AKS nos permite establecer una cadena de suministro de software sobre el binario y aplicar revisiones al software según sea necesario.
Microsoft participa activamente en el ecosistema más amplio de Kubernetes para ayudar a construir el futuro de la computación nativa en la nube en toda la comunidad CNCF. Este trabajo no solo garantiza la calidad de cada versión de Kubernetes para el mundo, sino que también permite que AKS obtenga rápidamente nuevas versiones de Kubernetes en producción durante varios años. En algunos casos, antes de otros proveedores de nube durante varios meses. Microsoft colabora con otros asociados del sector en la organización de seguridad de Kubernetes. Por ejemplo, el Comité de respuesta a la seguridad (SRC) recibe, prioriza y aplica revisiones a vulnerabilidades de seguridad con embargo antes de que se anuncien al público. Este compromiso garantiza que Kubernetes sea seguro para todos y permite a AKS aplicar revisiones y responder a vulnerabilidades con mayor rapidez para mantener a nuestros clientes seguros. Además de Kubernetes, Microsoft se suscribió para recibir notificaciones preliminares de vulnerabilidades de software para productos como Envoy, entornos de ejecución de contenedor y muchos otros proyectos de código abierto.
Microsoft examina imágenes de contenedor mediante análisis estáticos para detectar vulnerabilidades y actualizaciones que faltan en Kubernetes y contenedores administrados por Microsoft. Si hay correcciones disponibles, el analizador inicia automáticamente el proceso de actualización y lanzamiento.
Además del examen automatizado, Microsoft detecta y actualiza vulnerabilidades desconocidas para los escáneres de las siguientes maneras:
- Microsoft realiza sus propias auditorías, pruebas de penetración y detección de vulnerabilidades en todas las plataformas de AKS. Los equipos especializados dentro de Microsoft y los proveedores de seguridad de terceros de confianza llevan a cabo su propia investigación de ataques.
- Microsoft interactúa activamente con la comunidad de investigación de seguridad a través de varios programas de recompensa de vulnerabilidades. Un programa dedicado de recompensas de Microsoft Azure proporciona recompensas significativas para la mejor vulnerabilidad en la nube que se encuentra cada año.
- Microsoft colabora con otros asociados de software del sector y código abierto que comparten vulnerabilidades, investigaciones de seguridad y actualizaciones antes de la publicación de la vulnerabilidad. El objetivo de esta colaboración es actualizar grandes partes de la infraestructura de Internet antes de anunciar la vulnerabilidad al público. En algunos casos, Microsoft contribuye a las vulnerabilidades detectadas en esta comunidad.
- La colaboración de seguridad de Microsoft se produce en muchos niveles. A veces se produce formalmente a través de programas en los que las organizaciones se registran para recibir notificaciones preliminares sobre vulnerabilidades de software para productos como Kubernetes y Docker. La colaboración también se produce informalmente debido a nuestro compromiso con muchos proyectos de código abierto, como el kernel de Linux, los entornos de ejecución de contenedor, la tecnología de virtualización y otros.
Nodos de trabajo
Nodos de Linux
Las actualizaciones de seguridad del sistema operativo canónicas nocturnas están desactivadas de forma predeterminada en AKS. Para habilitarlas explícitamente, use el unmanagedcanal.
Si usa el unmanagedcanal, las actualizaciones de seguridad de Canonical se aplican cada noche al sistema operativo del nodo. La imagen del nodo usada para crear nodos para el clúster permanece sin cambios. Si se agrega un nuevo nodo de Linux al clúster, se usa la imagen original para crear el nodo. Este nuevo nodo recibe todas las actualizaciones de seguridad y del núcleo disponibles durante la evaluación automática realizada cada noche, pero permanece sin aplicar hasta que se completen todas las comprobaciones y los reinicios. Puede usar la actualización de imágenes de nodo para buscar y actualizar las imágenes de nodo que usa el clúster. Para más información sobre la actualización de imágenes de nodo, consulte Actualización de la imagen de nodos de Azure Kubernetes Service (AKS).
En el caso de los clústeres de AKS que usan un canal distinto de unmanaged, el proceso de actualización desatendida está deshabilitado.
Para AKS Automatic, AKS administra el grupo de nodos del sistema predeterminado y usa el modelo de actualización NodeImage para mantener los nodos actualizados sin necesidad de intervención manual rutinaria.
Nodos de Windows Server
Para los nodos de Windows Server, Windows Update no ejecuta ni aplica las actualizaciones más recientes de manera automática. Programe las actualizaciones del grupo de nodos de Windows Server en su clúster de AKS en función del ciclo periódico de publicación de actualizaciones de Windows y de su propio proceso de administración de actualizaciones. Este proceso de actualización crea nodos que ejecutan la imagen y las revisiones más recientes de Windows Server y elimina los nodos anteriores. Para obtener más información sobre este proceso, consulte Actualización de un grupo de nodos en AKS.
Windows Server nodos son principalmente un clúster estándar o una opción de carga de trabajo especializada. AKS Automatic usa Azure Linux para el grupo de nodos del sistema.
Cómo se clasifican las vulnerabilidades
Microsoft realiza grandes inversiones en el endurecimiento de la seguridad de toda la pila, incluidos el sistema operativo, el contenedor, Kubernetes y las capas de red, además de establecer buenos valores predeterminados y proporcionar configuraciones y componentes administrados endurecidos en materia de seguridad. En combinación, estos esfuerzos ayudan a reducir el impacto y la probabilidad de vulnerabilidades.
El equipo de AKS clasifica las vulnerabilidades según el sistema de puntuación de vulnerabilidades de Kubernetes. Las clasificaciones consideran muchos factores, como la configuración de AKS y la protección de seguridad. Como resultado de este enfoque, y las inversiones que AKS realiza en seguridad, las clasificaciones de vulnerabilidades de AKS pueden diferir de otros orígenes de clasificación.
En la tabla siguiente se describen las categorías de gravedad de vulnerabilidad:
| Severidad | Descripción |
|---|---|
| Crítico | Una vulnerabilidad fácilmente aprovechable en todos los clústeres por un atacante remoto no autenticado que conduce a un riesgo total del sistema. |
| Alto | Una vulnerabilidad fácil de aprovechar para muchos clústeres que conduce a la pérdida de confidencialidad, integridad o disponibilidad. |
| Media | Una vulnerabilidad que se puede aprovechar para algunos clústeres en los que la pérdida de confidencialidad, integridad o disponibilidad está limitada por configuraciones comunes, dificultad de la propia vulnerabilidad de seguridad, acceso necesario o interacción del usuario. |
| Bajo | Todas las demás vulnerabilidades. La vulnerabilidad de seguridad es poco probable o las consecuencias de ella son limitadas. |
Cómo se actualizan las vulnerabilidades
AKS revisa las Vulnerabilidades y exposiciones comunes (CVE) que tienen una revisión de proveedor cada semana. Cualquier CVE sin solución está a la espera de una solución del proveedor antes de que pueda ser remediada. Las imágenes de contenedor fijas se almacenan en caché en la siguiente compilación del disco duro virtual (VHD) correspondiente, que también contiene los CVE revisados de Ubuntu/Azure Linux/Windows actualizados. Siempre que ejecute el VHD actualizado, no debe ejecutar ninguna imagen de contenedor de CVE con una corrección del proveedor que tenga más de 30 días de antigüedad.
Para las vulnerabilidades del sistema operativo en la VHD, AKS también se basa de manera predeterminada en las actualizaciones de la VHD de la imagen de nodo, por lo que las actualizaciones de seguridad se incluyen en las versiones semanales de la imagen de nodo. Las actualizaciones desatendidas se deshabilitan a menos que cambie a no administrado, lo que no se recomienda, ya que su versión es global.
AKS Automatic reduce la cantidad de gestión de parches que debe realizar manualmente mediante grupos de nodos del sistema administrados y canales automáticos de actualización del clúster. Esto significa que la plataforma es responsable de mantener el clúster más cerca de las versiones actuales y compatibles sin necesidad de organizar cada actualización de nodo y plano de control usted mismo.
Escalas de tiempo de actualización de la versión
El objetivo de Microsoft es mitigar las vulnerabilidades detectadas en un período de tiempo adecuado para los riesgos que representan. La Autorización Provisional para Operar (P-ATO) de Microsoft Azure FedRAMP High incluye AKS en el alcance de la auditoría y está autorizada. La Guía de estrategia de supervisión continua de FedRAMP y las líneas base de control de baja, moderada y alta seguridad de FedRAMP requieren la corrección de vulnerabilidades conocidas dentro de un período de tiempo específico según su nivel de gravedad. Tal y como se especifica en el FedRAMP RA-5d.
Cómo se comunican las vulnerabilidades y las actualizaciones
En general, Microsoft no difunde profusamente el lanzamiento de las versiones de revisión para AKS. Sin embargo, Microsoft supervisa y valida constantemente las revisiones de CVE disponibles para admitirlas en AKS de manera puntual. Si se encuentra una revisión crítica o se requiere una acción de usuario, Microsoft publica y actualiza los detalles del problema de CVE en GitHub.
Para AKS Automatic, estas actualizaciones están pensadas para ocurrir con menos intervención del cliente porque el clúster sigue el comportamiento de actualización administrado y los valores predeterminados listos para producción. En el caso de AKS Standard, es más probable que los usuarios necesiten supervisar y aplicar actualizaciones por sí mismos.
Informes de seguridad
Puede notificar un problema de seguridad al Centro de respuestas de seguridad de Microsoft (MSRC) mediante la creación de un informe de vulnerabilidades.
Si prefiere enviar un informe sin iniciar sesión en la herramienta, envíe un correo electrónico a [email protected]. Si es posible, cifre el mensaje con nuestra clave PGP, descargándola desde la página de la clave PGP del Centro de respuestas de seguridad de Microsoft.
Debería recibir una respuesta en 24 horas. Si por algún motivo no es así, haga un seguimiento por correo electrónico para asegurarse de que se recibió el mensaje original. Para más información, vaya al Centro de respuesta de seguridad de Microsoft.
Incluya la información solicitada a continuación (toda la que pueda proporcionar) para ayudarnos a comprender mejor la naturaleza y el ámbito del posible problema:
- Tipo de problema (por ejemplo, desbordamiento de búfer, inyección de SQL, scripting entre sitios, etc.)
- Rutas de acceso completas de archivos de código fuente relacionados con la manifestación del problema
- Ubicación del código fuente afectado (etiqueta, rama o confirmación o dirección URL directa)
- Cualquier configuración especial necesaria para reproducir el problema
- Instrucciones paso a paso para reproducir el problema
- Código de prueba de concepto o vulnerabilidad de seguridad (si es posible)
- Impacto del problema, incluido el modo en que un atacante podría aprovecharse de él
Esta información nos ayuda a evaluar el problema de seguridad notificado más rápido.
Si está informando de un problema con el objetivo de recibir una recompensa por un error, tenga en cuenta que los informes más completos pueden contribuir a conseguir una recompensa mayor. Para obtener más información sobre nuestros programas activos, consulte Programa de recompensas de Microsoft por la detección de errores.
Directiva
Microsoft sigue el principio de divulgación coordinada de vulnerabilidades.
Pasos siguientes
Para la mayoría de las cargas de trabajo de producción, comience con AKS Automatic.