Sicherheitsempfehlungen für Azure Marketplace-Images
Vor dem Hochladen von Images in den Azure Marketplace muss Ihr Image mit mehreren Sicherheitskonfigurationsanforderungen aktualisiert werden. Dadurch wird ein hohes Maß an Sicherheit für Images von Partnerlösungen im Azure Marketplace gewährleistet.
Führen Sie vor der Übermittlung an den Azure Marketplace immer eine Sicherheitsrisikoerkennung für Ihr Image aus. Wenn Sie ein Sicherheitsrisiko in Ihrem eigenen veröffentlichten Image feststellen, müssen Sie Ihre Kund*innen unverzüglich darüber informieren und ihnen mitteilen, wie es in aktuellen Bereitstellungen behoben werden kann.
Linux- und Open Source-Datenbanken
| Kategorie | Prüfen |
|---|---|
| Sicherheit | Installieren Sie alle aktuellen Sicherheitspatches für die Linux-Distribution. |
| Sicherheit | Befolgen Sie Branchenrichtlinien zum Schutz des VM-Images für die jeweilige Linux-Distribution. |
| Sicherheit | Die Angriffsfläche wurde minimiert, indem nur die absolut erforderlichen Windows Server-Rollen, -Features, -Dienste und Netzwerkports aktiviert wurden. |
| Sicherheit | Quellcode und resultierendes VM-Image wurden auf Schadsoftware gescannt. |
| Sicherheit | Das VHD-Image enthält nur erforderliche gesperrte Konten, die über keine Standardkennwörter verfügen, die eine interaktive Anmeldung zulassen würden; keine Hintertüren. |
| Sicherheit | Deaktivieren Sie alle Firewallregeln, die nicht für die Funktionalität der Anwendung benötigt werden, z.B. für eine Firewall-Appliance. |
| Sicherheit | Entfernen Sie alle vertraulichen Informationen aus dem VHD-Image – z.B. SSH-Testschlüssel, Datei der bekannten Hosts, Protokolldateien und nicht benötigte Zertifikate. |
| Sicherheit | Vermeiden Sie die Verwendung von LVM. LVM ist anfällig für Probleme beim Zwischenspeichern mit VM-Hypervisoren und erhöht außerdem die Komplexität der Datenwiederherstellung für Benutzer*innen Ihres Images. |
| Sicherheit | Fügen Sie die neuesten Versionen der erforderlichen Bibliotheken hinzu: – OpenSSL v1.0 oder höher – Python 2.5 oder höher (Python 2.6 und höher wird dringend empfohlen) – Python-Paket pyasn1, falls nicht bereits installiert – d.OpenSSL v1.0 oder höher |
| Sicherheit | Löschen Sie Bash/Shell-Verlaufseinträge. Dazu können private Informationen oder Nur-Text-Anmeldeinformationen für andere Systeme gehören. |
| Netzwerk | Beziehen Sie den SSH Server standardmäßig ein. Legen Sie SSH-Keep-Alive mit der folgenden Option auf „sshd config“ fest: ClientAliveInterval 180. |
| Netzwerk | Entfernen Sie alle benutzerdefinierten Netzwerkkonfigurationen aus dem Image. Löschen Sie die Datei „resolv.conf“: rm /etc/resolv.conf. |
| Bereitstellung | Installieren Sie den neuesten Azure Linux Agent. – Installation mit dem RPM- oder Deb-Paket. – Sie können auch den manuellen Installationsprozess verwenden, aber die Installationspakete werden empfohlen und bevorzugt. : Wenn der Agent manuell aus dem GitHub-Repository installiert wird, kopieren Sie zunächst die Datei waagent nach /usr/sbin, und führen Sie (als Root-Benutzer) Folgendes aus: # chmod 755 /usr/sbin/waagent # /usr/sbin/waagent -install Die Agent-Konfigurationsdatei wird unter /etc/waagent.conf gespeichert. |
| Bereitstellung | Stellen Sie sicher, dass der Azure-Support unseren Partnern bei Bedarf die serielle Konsolenausgabe übermitteln und ein geeignetes Timeout für die Einbindung von Betriebssystem-Datenträgern aus Cloudspeicher bereitstellen kann. Fügen Sie die folgenden Parameter zur Startzeile für den Kernel hinzu: console=ttyS0 earlyprintk=ttyS0 rootdelay=300 |
| Bereitstellung | Keine swap-Partition auf dem Betriebssystem-Datenträger. Swap kann durch den Linux-Agent für die Erstellung auf dem Datenträger der lokalen Ressource angefordert werden. |
| Bereitstellung | Erstellen Sie eine einzelne Stammpartition für den Betriebssystemdatenträger. |
| Bereitstellung | Nur 64-Bit-Gastbetriebssysteme. |
Windows Server-Images
| Kategorie | Prüfen |
|---|---|
| Sicherheit | Es muss ein sicheres Basisimage für das Betriebssystem verwendet werden. Die für die Quelle von Images auf Basis von Windows Server verwendete virtuelle Festplatte (VHD) muss mit den Windows Server-Betriebssystemimages, die über Microsoft Azure bereitgestellt werden, erstellt werden. |
| Sicherheit | Es müssen alle aktuellen Sicherheitsupdates installiert sein. |
| Sicherheit | Anwendungen sollten nicht von eingeschränkten Benutzernamen wie „administrator“, „root“ oder „admin“ abhängig sein. |
| Sicherheit | Aktivieren Sie die BitLocker-Laufwerkverschlüsselung sowohl für Betriebssystem-Festplatten als auch für Datenfestplatten. |
| Sicherheit | Die Angriffsfläche wurde minimiert, indem nur die absolut erforderlichen Windows Server-Rollen, -Features, -Dienste und Netzwerkports aktiviert wurden. |
| Sicherheit | Quellcode und resultierendes VM-Image wurden auf Schadsoftware gescannt. |
| Sicherheit | Für die Aktualisierung der Sicherheit von Windows Server-Images sollten automatische Updates festgelegt werden. |
| Sicherheit | Das VHD-Image enthält nur erforderliche gesperrte Konten, die über keine Standardkennwörter verfügen, die eine interaktive Anmeldung zulassen würden; keine Hintertüren. |
| Sicherheit | Deaktivieren Sie alle Firewallregeln, die nicht für die Funktionalität der Anwendung benötigt werden, z.B. für eine Firewall-Appliance. |
| Sicherheit | Entfernen Sie alle vertraulichen Informationen aus dem VHD-Image – z.B. HOST-Dateien, Protokolldateien und nicht benötigte Zertifikate. |
| Bereitstellung | Nur 64-Bit-Gastbetriebssysteme. |
Auch wenn Ihre Organisation über keine Images im Azure Marketplace verfügt, sollten Sie die Konfiguration Ihrer Windows- und Linux-Images anhand dieser Empfehlungen überprüfen.