[VERSIÓN PRELIMINAR PÚBLICA] Inicio rápido: Auditoría de la línea de base de seguridad de Azure para Linux con una máquina de prueba

En esta guía, usará Azure Policy para auditar una máquina de prueba en la línea de base de seguridad de Azure para Linux.

En concreto, hará lo siguiente:

1. Creación de un grupo de recursos de vacío
2. Importar una directiva de definición y asignarla al grupo de recursos vacío
3. Creación de un de máquina virtual de en el grupo de recursos y observación de los resultados de la auditoría

Si no tiene una cuenta de Azure, puede crear una evaluación gratuita.

Consideraciones sobre la versión preliminar

Esta implementación de línea de base de seguridad es una versión preliminar de temprana.

Para ver los canales de comentarios, consulte la sección Recursos relacionados al final de este artículo.

Problemas conocidos o limitaciones de la versión preliminar:

• Se recomienda probar la directiva en un entorno de prueba.
• La definición de directiva se importa manualmente a Azure, no integrada (una vez que el lanzamiento se inicia, se convierte en una directiva integrada en Azure Policy; se actualizará el lanzamiento regional en esta página).
• Además de los requisitos de conectividad típicos para los servicios de Azure, las máquinas administradas requieren acceso a: https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
• La línea de base actual se basa en el cis Distro Independent Benchmark ( versión 2.0.0) y tiene alrededor de 63% cobertura de esa línea de base
• La personalización de la configuración de línea base está limitada al efecto de la directiva: AuditIfNotExist frente a DeployIfNotExist (la corrección automática está en versión preliminar pública limitada)

Prerrequisitos

Antes de intentar los pasos de este artículo, asegúrese de que ya tiene:

1. Una cuenta de Azure donde tiene acceso para crear un grupo de recursos, asignaciones de directivas y una máquina virtual.
2. Su entorno preferido para interactuar con Azure, como:
   1. [Recomendado] Uso de Azure Cloud Shell (en https://shell.azure.com o su equivalente local)
   2. OR Use su propio entorno de máquina y shell con la CLI de Azure instalada e iniciada.
   3. OR Use Azure Portal (en https://portal.azure.com o el equivalente local).

Compruebe que ha iniciado sesión en el entorno de prueba.

azure Portal

1. Use la información de la cuenta en el portal para ver el contexto actual.

   captura de pantalla de

1. Puede usar az account show para ver el contexto actual. Para iniciar sesión o cambiar contextos, use az account login.
2. La definición de directiva se importará a la suscripción que se muestra como id en respuesta a az account show

Creación de un grupo de recursos

Propina

El uso de "Este de EE. UU. " (eastus) como una ubicación de ejemplo en este artículo es arbitrario. Puede elegir cualquier ubicación de Azure disponible.

azure Portal

1. En Azure Portal, vaya a Grupos de recursos
2. Seleccione + Crear
3. Elija un nombre y una región, como "my-demo-rg" y "Este de EE. UU. "
4. Continúe con Revisar y crear

az group create --name my-demo-rg --location eastus

Importación de la definición de directiva

La definición de directiva de versión preliminar no está integrada en Azure en este momento. Los pasos siguientes muestran cómo importarlo como una definición de directiva personalizada.

azure Portal

1. Descargue la definición de directiva JSON en el equipo y ábralo en el editor de texto que prefiera. En un paso posterior, copiará y pegará el contenido de este archivo.
2. En la barra de búsqueda de Azure Portal, escriba Directiva y seleccione Directiva en los resultados de servicios.
3. En la información general de Azure Policy, vaya a Creación de definiciones de>.
4. Seleccione + Definición de directivay rellene el formulario resultante de la siguiente manera:
   1. ubicación de definición: <elegir la suscripción de Azure de prueba>
   2. Nombre: [versión preliminar]: línea base de seguridad de Azure para Linux (por OSConfig)
   3. categoría: usar la configuración de invitado de > existente
   4. regla de directiva: Eliminar el contenido rellenado previamente y, a continuación, pegar en el json del archivo en el paso 1

Si usa un entorno de Azure especializado, como una nube de administración pública, es posible que tenga que reemplazar management.azure.com en el siguiente comando de az rest por el punto de conexión local.

curl -L https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

Asignación de la directiva al grupo de recursos de prueba vacío

azure Portal

1. En la página Definición de directiva, seleccione Asignar directiva, que le llevará al flujo de trabajo para asignar la directiva.
2. pestaña Aspectos básicos:
   1. ámbito: seleccione el grupo de recursos de prueba de (por ejemplo, my-demo-rg)
      1. Tenga cuidado no para seleccionar toda la suscripción o el grupo de recursos incorrecto
   2. definición de directiva: [versión preliminar]: línea base de seguridad de Azure para Linux (por OSConfig)
   3. nombre de asignación: auditoría [versión preliminar]: línea base de seguridad de Azure para Linux (por OSConfig)
3. pestaña Parámetros de
   1. Opcional: continúe con la pestaña Parámetros de para inspeccionar qué parámetros están disponibles. Si está probando con una máquina habilitada para Arc en lugar de una máquina virtual de Azure, asegúrese de cambiar "incluir máquinas arc" a true.
   2. Opcional: elija el efecto de la directiva:
      1. "AuditIfNotExist" significa que la directiva solo se auditoría
      2. !! Advertencia: la corrección automática establecerá las definiciones de directiva en el estado deseado y podría provocar interrupciones: se trata de una versión preliminar pública limitada!!
      3. "DeployIfNotExist" significa que se ejecutará en modo de corrección automática: no lo usarán en de producción
4. pestaña corrección de
   1. Elija la opción para crear identidad administraday elija "administrado por el sistema".
5. pestaña Revisar y crear
   1. Seleccione Crear
6. De nuevo en la página de definición de directiva, vaya a la asignación de directiva que acaba de crear, en la pestaña Asignaciones

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Audit [Preview]: Azure security baseline for Linux (by OSConfig)" --scope "$RG_ID" --params '{"banner":{"value":"TEST VALUE. KEEP OUT!"}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Creación de una máquina virtual de prueba (máquina virtual) y preparación para la configuración de la máquina

azure Portal

1. Cree una máquina virtual Linux con las siguientes opciones:
   1. nombre de máquina virtual: my-demo-vm-01
   2. grupo de recursos: el grupo de recursos vacío creado anteriormente, por ejemplo, my-demo-rg
   3. Image: Ubuntu Server 22.04 o RedHat Enterprise Linux (RHEL) 9
   4. arquitectura de máquina virtual: x64
   5. tamaño de máquina virtual: su elección, pero tenga en cuenta que los tamaños de máquina virtual de la serie B más pequeños, como Standard_B2s, pueden ser una opción rentable para las pruebas.
2. Después de la creación de la máquina virtual, actualice la máquina virtual para que funcione con la configuración de la máquina:
   1. Agregar una identidad asignada por el sistema, si aún no está presente
   2. Agregue la extensión Machine Configuration (etiquetada en el portal como Azure Automanage Machine Configuration)

Propina

En esta guía se realizaron manualmente los pasos de la extensión de identidad administrada y configuración de máquina para reducir la espera y reducir los cambios de contexto. A escala, se pueden satisfacer mediante la Deploy prerequisites to enable Guest Configuration policies on virtual machines iniciativa de directiva integrada.

1. Creación de una máquina virtual Linux con una identidad asignada por el sistema

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   Propina

   Es normal recibir una alerta similar a "Todavía no se ha proporcionado acceso...". Azure Machine Configuration solo requiere que la máquina tenga una identidad administrada, no ningún acceso a recursos específico.

2. Instalación del agente de Machine Configuration como una extensión de máquina virtual de Azure

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

IMPORTANTE: Tómese un descanso antes de continuar

Ahora se realizarán varios pasos automáticamente. Cada uno de estos pasos puede tardar unos minutos. Por lo tanto, espere a al menos 15 minutos antes de continuar.

Observar los resultados

En los ejemplos siguientes se muestra cómo obtener:

1. Recuento de máquinas por estado de cumplimiento (útil a escalas de producción, donde puede tener miles de máquinas)
2. Lista de máquinas con estado de cumplimiento para cada uno
3. Lista detallada de reglas de línea base con estado de cumplimiento y evidencia (también conocido como Razones) para cada uno

Propina

Espere ver los resultados rojo no compatibles en lo siguiente. El caso de uso de solo auditoría consiste en detectar la diferencia entre los sistemas existentes y la línea de base de seguridad de Azure.

azure Portal

1. Vaya a la página de información general de Azure Policy.
2. Haga clic en "Cumplimiento" en el panel de navegación izquierdo.
3. Haga clic en su "Mi asignación de demostración de..." asignación de directivas
4. Tenga en cuenta que esta página proporciona las dos opciones:
   1. Recuento de máquinas por estado de cumplimiento
   2. Lista de máquinas con estado de cumplimiento para cada uno
5. Cuando esté listo para ver una lista detallada de reglas de línea base con estado de cumplimiento y evidencia, haga lo siguiente:
   1. En la lista de máquinas (que se muestra en cumplimiento de recursos) seleccione el nombre de la máquina de prueba.
   2. Haga clic en Ver de recursos para ir a la página de información general de la máquina.
   3. En el panel de navegación izquierdo, busque y seleccione Administración de configuración
   4. En la lista de configuraciones, seleccione la configuración cuyo nombre comienza por LinuxSecurityBaseline...
   5. En la vista de detalles de configuración, use la lista desplegable filtro para Seleccionar todas las si desea ver las reglas de cumplimiento y no compatibles.

Los siguientes ejemplos de la CLI de Azure proceden de un entorno de bash. Para usar otro entorno de shell, es posible que tenga que ajustar ejemplos para el comportamiento final de línea, las reglas de comillas, el escape de caracteres, etc.

1. Recuento de máquinas por estado de cumplimiento:

   QUERY='
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

2. Lista de máquinas con estado de cumplimiento para cada una:

   QUERY='
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

3. Lista detallada de reglas de línea base con estado de cumplimiento y evidencia (también conocida como Razones) para cada una:

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "LinuxSecurityBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

Opcional: Agregar más máquinas de prueba para experimentar el escalado

En este artículo, la directiva se asignó a un grupo de recursos que inicialmente estaba vacío y, a continuación, obtuvo una máquina virtual. Aunque muestra el sistema que funciona de un extremo a otro, no proporciona una sensación de operaciones a escala. Por ejemplo, en la vista cumplimiento de la asignación de directivas, un gráfico circular de una máquina puede sentirse artificial.

Considere la posibilidad de agregar más máquinas de prueba al grupo de recursos, ya sea manualmente o a través de la automatización. Estas máquinas podrían ser máquinas virtuales de Azure o máquinas habilitadas para Arc. Como ve que esas máquinas entran en cumplimiento (o incluso fallan), puede tener una idea más profunda de la puesta en marcha de la línea de base de seguridad de Azure a escala.

Limpieza de recursos

Para evitar cargos en curso, considere la posibilidad de eliminar el grupo de recursos usado en este artículo. Por ejemplo, el comando de la CLI de Azure sería az group delete --name "my-demo-rg".

---

Contenido relacionado

• Para proporcionar comentarios, analice las solicitudes de características etcetera. Póngase en contacto con: linux_sec_config_mgmt@service.microsoft.com
• Obtenga información sobre el blog de lanzamiento de anunciado en Ignite 2024.
• suscribirse a la versión preliminar limitada de la de corrección automática para trabajar junto con nosotros y ayudar a dar forma al futuro de esta funcionalidad