[PUBLIC PREVIEW] Rychlý start: Audit standardních hodnot zabezpečení Azure pro Linux pomocí testovacího počítače

V této příručce použijete Azure Policy k auditování testovacího počítače podle standardních hodnot zabezpečení Azure pro Linux.

Konkrétně budete:

1. Vytvoření prázdné skupiny prostředků
2. Import definice zásady a přiřazení k prázdné skupině prostředků
3. Vytvoření virtuálního počítače ve skupině prostředků a sledování výsledků auditu

Pokud nemáte účet Azure, můžete vytvořit bezplatnou zkušební verzi.

Důležité informace o verzi Preview

Tato implementace standardních hodnot zabezpečení je počáteční verze Preview.

Kanály zpětné vazby najdete v části Související zdroje na konci tohoto článku.

Známé problémy nebo omezení verze Preview:

• Doporučujeme otestovat zásady v testovacím prostředí.
• Definice zásad se ručně naimportuje do Azure, není integrovaná (jakmile se zavedení spustí, stane se předdefinovanou zásadou pro Azure Policy – budeme aktualizovat regionální zavedení na této stránce).
• Kromě typických požadavků na připojení pro služby Azure vyžadují spravované počítače přístup k: https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
• Aktuální směrný plán vychází z srovnávacího testu CIS Distro Independent Benchmark – verze 2.0.0 a má přibližně 63% pokrytí tohoto směrného plánu.
• Přizpůsobení nastavení směrného plánu je omezené na účinek zásady – AuditIfNotExist vs. DeployIfNotExist (automatická náprava je ve verzi Limited Public Preview).

Požadavky

Než se pokusíte provést kroky v tomto článku, ujistěte se, že už máte:

1. Účet Azure, kde máte přístup k vytvoření skupiny prostředků, přiřazení zásad a virtuálního počítače.
2. Vaše upřednostňované prostředí pro interakci s Azure, například:
   1. [Doporučeno] Použití Azure Cloud Shellu (v https://shell.azure.com nebo místním ekvivalentu)
   2. NEBO Použití vlastního počítače a prostředí s nainstalovaným a přihlášeným Rozhraním příkazového řádku Azure
   3. NEBO Použít Azure Portal (na https://portal.azure.com nebo na místním ekvivalentu)

Zkontrolujte, že jste přihlášení k testovacímu prostředí.

1. K zobrazení aktuálního kontextu použijte informace o účtu na portálu.

   snímek obrazovky

Azure CLI

1. K zobrazení aktuálního kontextu můžete použít az account show. Pokud se chcete přihlásit nebo změnit kontexty, použijte az account login.
2. Definice zásady se naimportuje do předplatného, které se zobrazí jako id v reakci na az account show

Vytvoření skupiny prostředků

Spropitné

Použití "USA – východ" (eastus) jako ukázkové umístění v tomto článku je libovolné. Můžete zvolit libovolné dostupné umístění Azure.

1. Na webu Azure Portal přejděte na skupiny prostředků
2. Vyberte + Vytvořit
3. Zvolte název a oblast, například my-demo-rg a Usa – východ.
4. Přejděte na Zkontrolovat a vytvořit

Azure CLI

az group create --name my-demo-rg --location eastus

Import definice zásady

Definice zásad ve verzi Preview není v tuto chvíli integrovaná do Azure. Následující kroky ilustrují import jako vlastní definici zásad.

1. Stáhněte si JSON definice zásad do počítače a otevřete ho v preferovaném textovém editoru. V pozdějším kroku zkopírujete a vložíte obsah tohoto souboru.
2. Na panelu hledání na webu Azure Portal zadejte Zásady a ve výsledcích služeb vyberte Zásady.
3. V přehledu služby Azure Policy přejděte na Definice>vytváření.
4. Vyberte + Definice zásada vyplňte výsledný formulář následujícím způsobem:
   1. umístění definice: <zvolte testovací předplatné Azure>
   2. Název: [Preview]: Standardní hodnoty zabezpečení Azure pro Linux (podle OSConfig)
   3. kategorie: Použijte existující konfiguraci hosta >
   4. pravidlo zásad : Odstranit předem vyplněný obsah a pak vložit do souboru JSON v kroku 1.

Azure CLI

Pokud používáte specializované prostředí Azure, jako je cloud pro státní správu, možná budete muset nahradit management.azure.com v následujícím příkazu az rest místním koncovým bodem.

curl -L https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

Přiřazení zásad k prázdné testovací skupině prostředků

1. Na stránce definice zásad vyberte Přiřadit zásady, která vás přenese do pracovního postupu pro přiřazení zásady.
2. karta Základy:
   1. Rozsah: Vyberte testovací skupinu prostředků (například my-demo-rg).
      1. Dbejte na to, ne vybrat celé předplatné nebo nesprávnou skupinu prostředků.
   2. definice zásad: [Preview]: Standardní hodnoty zabezpečení Azure pro Linux (podle OSConfig)
   3. název přiřazení: Audit [Preview]: Standardní hodnoty zabezpečení Azure pro Linux (podle OSConfig)
3. Karta Parametry
   1. Volitelné: Přejděte na kartu Parametry a zkontrolujte, které parametry jsou k dispozici. Pokud testujete počítač s podporou Arc na rozdíl od virtuálního počítače Azure, nezapomeňte změnit možnost zahrnout počítače Arc na true.
   2. Volitelné: Zvolte účinek zásady:
      1. AuditIfNotExist znamená, že zásady budou auditovat pouze
      2. !! Upozornění – automatická náprava nastaví definice zásad na požadovaný stav a může způsobit přerušení – jedná se o omezenou verzi Public Preview!!
      3. "DeployIfNotExist" znamená, že bude spuštěný v režimu automatické nápravy – ho nepoužívá v produkčním
4. Karta Náprava
   1. Zvolte možnost vytvoření spravované identitya zvolte "systém spravovaný".
5. Karta Zkontrolovat a vytvořit
   1. Vyberte Vytvořit
6. Zpět na stránce definice zásady přejděte na přiřazení zásady, které jste právě vytvořili, na kartě Přiřazení.

Azure CLI

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Audit [Preview]: Azure security baseline for Linux (by OSConfig)" --scope "$RG_ID" --params '{"banner":{"value":"TEST VALUE. KEEP OUT!"}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Vytvoření testovacího virtuálního počítače a jeho příprava na konfiguraci počítače

1. Vytvořte virtuální počítač s Linuxem s následujícími možnostmi:
   1. název virtuálního počítače: my-demo-vm-01
   2. skupina prostředků: Prázdná skupina prostředků vytvořená dříve, například my-demo-rg
   3. image: Ubuntu Server 22.04 nebo RedHat Enterprise Linux (RHEL) 9
   4. architektura virtuálního počítače : x64
   5. velikost virtuálního počítače: Vaše volba, ale mějte na paměti, že menší velikosti virtuálních počítačů řady B-series, jako je Standard_B2s, můžou být nákladově efektivní možností pro testování.
2. Po vytvoření virtuálního počítače aktualizujte virtuální počítač tak, aby fungoval s konfigurací počítače:
   1. Přidání identity přiřazené systémem, pokud ještě není k dispozici
   2. Přidejte rozšíření Konfigurace počítače (označené na portálu jako konfigurace počítače Azure Automanage)

Spropitné

Kroky rozšíření spravované identity a konfigurace počítače byly v tomto průvodci provedeny ručně, aby se omezily čekání a snížily změny kontextu. Ve velkém měřítku je možné tyto možnosti splnit pomocí Deploy prerequisites to enable Guest Configuration policies on virtual machines integrované iniciativy zásad.

Azure CLI

1. Vytvoření virtuálního počítače s Linuxem s přiřazenou identitou systému

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   Spropitné

   Je normální dostávat upozornění podobné "Zatím nebyl udělen žádný přístup...". Konfigurace počítače Azure vyžaduje, aby počítač měl spravovanou identitu, nikoli žádný konkrétní přístup k prostředkům.

2. Instalace agenta konfigurace počítače jako rozšíření virtuálního počítače Azure

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

DŮLEŽITÉ: Než budete pokračovat, udělejte si přestávku.

K několika krokům teď dojde automaticky. Každý z těchto kroků může trvat několik minut. Proto prosím počkejte nejméně 15 minut, než budete pokračovat.

Sledování výsledků

Následující příklady ukazují, jak získat:

1. Počet počítačů podle stavu dodržování předpisů (užitečné v produkčním měřítku, kde můžete mít tisíce počítačů)
2. Seznam počítačů se stavem dodržování předpisů pro každý
3. Podrobný seznam základních pravidel se stavem dodržování předpisů a důkazy (označovaný také jako důvody) pro každý z nich

Spropitné

Očekáváme, že se zobrazí červená nedodržuje předpisy výsledky v následujícím příkladu. Případ použití pouze pro audit spočívá ve zjištění rozdílu mezi existujícími systémy a standardními hodnotami zabezpečení Azure.

1. Přejděte na stránku přehledu služby Azure Policy.
2. V levém navigačním panelu klikněte na Dodržování předpisů.
3. Klikněte na "Moje ukázkové přiřazení..." přiřazení zásad
4. Všimněte si, že tato stránka obsahuje obě možnosti:
   1. Počet počítačů podle stavu dodržování předpisů
   2. Seznam počítačů se stavem dodržování předpisů pro každý
5. Až budete připraveni zobrazit podrobný seznam základních pravidel se stavem dodržování předpisů a důkazy, postupujte takto:
   1. V seznamu počítačů (zobrazených v části Dodržování předpisů prostředků) vyberte název testovacího počítače.
   2. Kliknutím na Zobrazit prostředku přejděte na stránku přehledu počítače.
   3. V levém navigačním panelu vyhledejte a vyberte Správa konfigurace.
   4. V seznamu konfigurací vyberte konfiguraci, jejíž název začíná LinuxSecurityBaseline...
   5. V zobrazení podrobností konfigurace pomocí rozevíracího seznamu filtru Vyberte všechny, pokud chcete zobrazit pravidla dodržování předpisů i nedodržování předpisů.

Azure CLI

Následující příklady Azure CLI pocházejí z prostředí bash. Pokud chcete použít jiné prostředí prostředí, možná budete muset upravit příklady pro chování konce řádku, pravidla uvozovek, znakové uvozovky atd.

1. Počet počítačů podle stavu dodržování předpisů:

   QUERY='
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

2. Seznam počítačů se stavem dodržování předpisů pro každý z těchto počítačů:

   QUERY='
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

3. Podrobný seznam pravidel standardních hodnot se stavem dodržování předpisů a důkazy (označovaný také jako důvody) pro každý z nich:

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "LinuxSecurityBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

Volitelné: Přidání dalších testovacích počítačů pro škálování

V tomto článku se zásada přiřadila ke skupině prostředků, která byla původně prázdná a pak získala jeden virtuální počítač. I když ukazuje, že systém funguje na konci, neposkytuje smysl pro operace ve velkém měřítku. Například v případě dodržování předpisů zásad můžete vidět výsečový graf jednoho počítače, který může být umělý.

Zvažte přidání dalších testovacích počítačů do skupiny prostředků, ať už ručně, nebo prostřednictvím automatizace. Tyto počítače můžou být virtuální počítače Azure nebo počítače s podporou Arc. Jak vidíte, že tyto počítače přicházejí do souladu (nebo dokonce selžou), můžete získat přehled o zprovoznění standardních hodnot zabezpečení Azure ve velkém měřítku.

Vyčištění prostředků

Pokud se chcete vyhnout průběžným poplatkům, zvažte odstranění skupiny prostředků použité v tomto článku. Například příkaz Azure CLI by byl az group delete --name "my-demo-rg".

---

Související obsah

• Pokud chcete poskytnout zpětnou vazbu, proberte žádosti o funkce atd. kontakt: linux_sec_config_mgmt@service.microsoft.com
• Přečtěte si o blogu o spuštění oznámil na Ignite 2024
• registrace k omezené verzi Preview automatické nápravy, aby spolupracovala s námi a pomohla utvářet budoucnost této funkce