Recomendaciones de seguridad para imágenes de Azure Marketplace
Antes de cargar imágenes en Azure Marketplace, la imagen se debe actualizar con varios requisitos de configuración de seguridad. Estos requisitos le ayudan a mantener un alto nivel de seguridad para las imágenes de la solución del asociado en Azure Marketplace.
Asegúrese de ejecutar una detección de vulnerabilidades de seguridad en la imagen antes de enviarla a Azure Marketplace. Si detecta una vulnerabilidad de seguridad en una imagen propia ya publicada, debe informar a los clientes de forma oportuna de la vulnerabilidad y de cómo corregirla en las implementaciones actuales.
Imágenes de sistema operativo de código abierto y Linux
Category | Comprobar |
---|---|
Seguridad | Instalar todas las revisiones de seguridad más recientes de la distribución de Linux. |
Seguridad | Seguir las directrices del sector para proteger la imagen de la máquina virtual para la distribución de Linux específica. |
Seguridad | Limitar la superficie expuesta a ataques al mantener una superficie mínima con los roles, las características, los servicios y los puertos de red de Windows Server necesarios. |
Seguridad | Examinar el código fuente y la imagen de máquina virtual resultante en busca de malware. |
Seguridad | La imagen de disco duro virtual solo incluye las cuentas bloqueadas necesarias, que no tienen las contraseñas predeterminadas que permitirían un inicio de sesión interactivo; no hay puertas traseras. |
Seguridad | Deshabilitar las reglas de firewall, a menos que la aplicación se base funcionalmente en ellas, como un dispositivo de firewall. |
Seguridad | Quitar toda la información confidencial de la imagen de disco duro virtual, como las claves SSH de prueba, los archivo de hosts conocidos, los archivos de registro y los certificados innecesarios. |
Seguridad | Evitar usar LVM. LVM es vulnerable a problemas de almacenamiento en caché con hipervisores de máquina virtual y también aumenta la complejidad de la recuperación de datos para los usuarios de la imagen. |
Seguridad | Incluir las versiones más recientes de las bibliotecas necesarias: - La versión v1.0 de OpenSSL o posterior - Python 2.5 o posterior (se recomienda encarecidamente Python 2.6+) - Paquete pyasn1 de Python si aún no está instalado - La versión v1.0 de d.OpenSSL o superior |
Seguridad | Borrar las entradas del historial de Bash/Shell. Esto podría incluir información privada o credenciales de texto sin formato para otros sistemas. |
Redes | Incluir el servidor SSH de forma predeterminada. Establezca la conexión persistente de SSH en la configuración sshd con la siguiente opción: ClientAliveInterval 180. |
Redes | Quitar cualquier configuración de red personalizada de la imagen. Elimine resolv.conf: rm /etc/resolv.conf . |
Implementación | Instalar la versión más reciente del agente Linux de Azure. : Instalar con el paquete RPM o Deb. : También puede usar el proceso de instalación manual, pero se recomienda y se prefiere que se usen los paquetes del instalador. : Si instala el agente manualmente desde el repositorio de GitHub, copie primero el archivo waagent en /usr/sbin y ejecute (como raíz): # chmod 755 /usr/sbin/waagent # /usr/sbin/waagent -install El archivo de configuración del agente se encuentra en /etc/waagent.conf . |
Implementación | Garantizar que el soporte técnico de Azure puede proporcionar a nuestros asociados la salida de la consola de serie cuando sea necesario y proporcionar el tiempo de espera adecuado para el montaje del disco del sistema operativo desde el almacenamiento en la nube. Agregue los parámetros siguientes a la línea de arranque de kernel de la imagen: console=ttyS0 earlyprintk=ttyS0 rootdelay=300 . |
Implementación | No hay ninguna partición de intercambio en el disco del SO. El agente de Linux puede solicitar el intercambio para la creación en el disco del recurso local. |
Implementación | Crear una sola partición raíz para el disco de SO. |
Implementación | Solo el sistema operativo de 64 bits. |
Imágenes de Windows Server
Category | Comprobar |
---|---|
Seguridad | Usar una imagen base de sistema operativo segura. El disco duro virtual que se usa para el origen de cualquier imagen basada en Windows Server debe pertenecer a las imágenes del sistema operativo de Windows Server que se proporcionan a través de Microsoft Azure. |
Seguridad | Instalar todas las actualizaciones de seguridad. |
Seguridad | Las aplicaciones no deben depender de nombres de usuario con permisos restringidos, como administrador o raíz. |
Seguridad | Habilitar el cifrado de unidad BitLocker tanto para las unidades de disco duro del sistema operativo como para las unidades de disco duro de datos. |
Seguridad | Limitar la superficie expuesta a ataques al mantener una superficie mínima habilitando solo los roles, las características, los servicios y los puertos de red de Windows Server necesarios. |
Seguridad | Examinar el código fuente y la imagen de máquina virtual resultante en busca de malware. |
Seguridad | Establecer la actualización de seguridad de las imágenes de Windows Server para que se actualicen automáticamente. |
Seguridad | La imagen de disco duro virtual solo incluye las cuentas bloqueadas necesarias, que no tienen las contraseñas predeterminadas que permitirían un inicio de sesión interactivo; no hay puertas traseras. |
Seguridad | Deshabilitar las reglas de firewall, a menos que la aplicación se base funcionalmente en ellas, como un dispositivo de firewall. |
Seguridad | Quitar toda la información confidencial de la imagen de disco duro virtual, incluidos los archivos de hosts, los archivos de registro y los certificados innecesarios. |
Implementación | Solo el sistema operativo de 64 bits. |
Incluso si su organización no tiene imágenes en Azure Marketplace, considere la posibilidad de comprobar las configuraciones de imagen de Windows y Linux con estas recomendaciones.