Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Linux se crea con una línea base segura de forma predeterminada y protecciones superpuestas en los flujos de trabajo de arranque, tiempo de ejecución y actualización. En este artículo se describe el modelo de seguridad, las características clave y las recomendaciones para validar la configuración de seguridad en Azure Linux.
Note
Azure Linux 4.0 está ahora en preview y está estrictamente limitado a fines de evaluación y pruebas. No es adecuado para su uso en producción.
Modelo de seguridad
En la tabla siguiente se resumen los principios de seguridad principales que guían el diseño de Azure Linux y cómo se implementan en la plataforma:
| Principio de seguridad | Implementación en Azure Linux |
|---|---|
| Seguro de manera predeterminada | Conjunto mínimo de paquetes, autenticación SSH de solo clave, habilitado con firewall |
| Defensa en profundidad | Control de acceso obligatorio de SELinux, fortificación de la red |
| Privilegio mínimo | Directivas SELinux, restricciones de funcionalidad del kernel |
Características principales de seguridad
Línea base segura de forma predeterminada
- Kernel reforzado: con ASLR, valores controlados de pila y restricciones de punteros.
- Conjunto mínimo de paquetes: solo paquetes esenciales para la funcionalidad del sistema operativo principal (SO). No hay protocolos heredados, herramientas de desarrollo ni demonios no esenciales en la imagen base.
- Ninguna conexión de red externa de forma predeterminada: el firewall deniega todo el tráfico entrante excepto SSH.
- Autenticación SSH de solo clave: la autenticación con contraseña está deshabilitada.
- Integridad del paquete: todos los paquetes y metadatos del repositorio están firmados por GPG.
Protecciones en tiempo de ejecución
- SELinux: En modo de imposición. Directiva específica con paquetes preetiquetados.
- Refuerzo de eBPF: BPF no privilegiado deshabilitado, intérprete deshabilitado en favor de JIT.
Seguridad de red
- firewalld: habilitado de forma predeterminada con back-end nftables.
- Refuerzo de los parámetros sysctl de red: filtrado estricto de ruta inversa, redireccionamientos ICMP desactivados, cookies SYN activadas.
- IPv6: Activado con la configuración de refuerzo de seguridad aplicada.
Identidad y acceso
- SSSD/realmd: disponible en los repositorios de Linux de Azure para escenarios de identidad híbrida con Active Directory y LDAP.
Criptografía
- FIPS 140-3: módulos criptográficos validados con un mecanismo de habilitación simple.
- Criptografía posterior a la cuántica: ML-KEM compatibilidad con el intercambio de claves híbridas.
- Bibliotecas criptográficas del sistema: las aplicaciones pueden usar criptografía de nivel de sistema operativo.
Registro, auditoría y supervisión
- auditd: habilitado de forma predeterminada; los perfiles de reglas se incluyen en /usr/share/audit-rules/ y pueden activarse copiando el perfil que necesite en /etc/audit/rules.d/.
- journald: almacenamiento persistente con salida JSON estructurada.
Integraciones de examen de vulnerabilidades
Azure Linux admite la integración con herramientas comunes de detección y seguridad de vulnerabilidades. Para ver una lista de las herramientas admitidas, consulte soluciones de socios de Azure Linux.
Contenido relacionado
- Administrar CVEs en Azure Linux y Azure Container Linux (ACL)
- Hoja de ruta de características de Azure Linux