Introducción a la seguridad de Azure Linux

Azure Linux se crea con una línea base segura de forma predeterminada y protecciones superpuestas en los flujos de trabajo de arranque, tiempo de ejecución y actualización. En este artículo se describe el modelo de seguridad, las características clave y las recomendaciones para validar la configuración de seguridad en Azure Linux.

Note

Azure Linux 4.0 está ahora en preview y está estrictamente limitado a fines de evaluación y pruebas. No es adecuado para su uso en producción.

Modelo de seguridad

En la tabla siguiente se resumen los principios de seguridad principales que guían el diseño de Azure Linux y cómo se implementan en la plataforma:

Principio de seguridad Implementación en Azure Linux
Seguro de manera predeterminada Conjunto mínimo de paquetes, autenticación SSH de solo clave, habilitado con firewall
Defensa en profundidad Control de acceso obligatorio de SELinux, fortificación de la red
Privilegio mínimo Directivas SELinux, restricciones de funcionalidad del kernel

Características principales de seguridad

Línea base segura de forma predeterminada

  • Kernel reforzado: con ASLR, valores controlados de pila y restricciones de punteros.
  • Conjunto mínimo de paquetes: solo paquetes esenciales para la funcionalidad del sistema operativo principal (SO). No hay protocolos heredados, herramientas de desarrollo ni demonios no esenciales en la imagen base.
  • Ninguna conexión de red externa de forma predeterminada: el firewall deniega todo el tráfico entrante excepto SSH.
  • Autenticación SSH de solo clave: la autenticación con contraseña está deshabilitada.
  • Integridad del paquete: todos los paquetes y metadatos del repositorio están firmados por GPG.

Protecciones en tiempo de ejecución

  • SELinux: En modo de imposición. Directiva específica con paquetes preetiquetados.
  • Refuerzo de eBPF: BPF no privilegiado deshabilitado, intérprete deshabilitado en favor de JIT.

Seguridad de red

  • firewalld: habilitado de forma predeterminada con back-end nftables.
  • Refuerzo de los parámetros sysctl de red: filtrado estricto de ruta inversa, redireccionamientos ICMP desactivados, cookies SYN activadas.
  • IPv6: Activado con la configuración de refuerzo de seguridad aplicada.

Identidad y acceso

  • SSSD/realmd: disponible en los repositorios de Linux de Azure para escenarios de identidad híbrida con Active Directory y LDAP.

Criptografía

  • FIPS 140-3: módulos criptográficos validados con un mecanismo de habilitación simple.
  • Criptografía posterior a la cuántica: ML-KEM compatibilidad con el intercambio de claves híbridas.
  • Bibliotecas criptográficas del sistema: las aplicaciones pueden usar criptografía de nivel de sistema operativo.

Registro, auditoría y supervisión

  • auditd: habilitado de forma predeterminada; los perfiles de reglas se incluyen en /usr/share/audit-rules/ y pueden activarse copiando el perfil que necesite en /etc/audit/rules.d/.
  • journald: almacenamiento persistente con salida JSON estructurada.

Integraciones de examen de vulnerabilidades

Azure Linux admite la integración con herramientas comunes de detección y seguridad de vulnerabilidades. Para ver una lista de las herramientas admitidas, consulte soluciones de socios de Azure Linux.