[PRÉVERSION PUBLIQUE] Démarrage rapide : Auditer la base de référence de sécurité Azure pour Linux avec une machine de test

Dans ce guide, vous allez utiliser Azure Policy pour auditer une machine de test par rapport à la base de référence de sécurité Azure pour Linux.

Plus précisément, vous allez :

1. Créer un groupe de ressources vide
2. Importer une stratégie définition et l’affecter au groupe de ressources vide
3. Créer une machine virtuelle dans le groupe de ressources et observer les résultats de l’audit

Si vous n’avez pas de compte Azure, vous pouvez créer une version d’évaluation gratuite.

Considérations relatives à la préversion

Cette implémentation de base de référence de sécurité est un préversion précoce.

Pour obtenir des canaux de commentaires, consultez la section ressources associées à la fin de cet article.

Problèmes connus ou limitations de la préversion :

• Nous encourageons le test de la stratégie dans un environnement de test
• La définition de stratégie est importée manuellement dans Azure, et non intégrée (une fois le déploiement démarré, il devient une stratégie intégrée vers Azure Policy . Nous allons mettre à jour le déploiement régional sur cette page)
• En plus des exigences de connectivité standard pour les services Azure, les machines managées nécessitent l’accès à : https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
• La base de référence actuelle est basée sur le ciS Distro Independent Benchmark - version 2.0.0 et il a environ 63% couverture de cette base de référence
• La personnalisation des paramètres de base est limitée à l’effet de la stratégie - AuditIfNotExist et DeployIfNotExist (la correction automatique est en préversion publique limitée)

Conditions préalables

Avant d’essayer les étapes décrites dans cet article, vérifiez que vous disposez déjà des points suivants :

1. Un compte Azure auquel vous avez accès pour créer un groupe de ressources, des affectations de stratégie et une machine virtuelle.
2. Votre environnement préféré pour interagir avec Azure, par exemple :
   1. [Recommandé] Utilisez Azure Cloud Shell (à https://shell.azure.com ou votre équivalent local)
   2. OR Utiliser votre propre ordinateur et environnement shell avec Azure CLI installé et connecté
   3. OU Utiliser le portail Azure (à https://portal.azure.com ou votre équivalent local)

Vérifiez que vous êtes connecté à votre environnement de test

portail Azure

1. Utilisez les informations de compte dans le portail pour afficher votre contexte actuel.

   capture d’écran

1. Vous pouvez utiliser az account show pour voir votre contexte actuel. Pour vous connecter ou modifier des contextes, utilisez az account login.
2. La définition de stratégie est importée dans l’abonnement qui s’affiche comme id en réponse à az account show

Créer un groupe de ressources

Pourboire

L’utilisation de « USA Est » (eastus) comme exemple d’emplacement dans cet article est arbitraire. Vous pouvez choisir n’importe quel emplacement Azure disponible.

portail Azure

1. À partir du portail Azure, accédez à groupes de ressources
2. Sélectionnez + Créer
3. Choisissez un nom et une région, tels que « my-demo-rg » et « USA Est »
4. Passez à Vérifier + créer

az group create --name my-demo-rg --location eastus

Importer la définition de stratégie

La définition de stratégie en préversion n’est pas intégrée à Azure pour l’instant. Les étapes suivantes illustrent l’importation en tant que définition de stratégie personnalisée.

portail Azure

1. Téléchargez la définition de stratégie JSON sur votre ordinateur et ouvrez-la dans votre éditeur de texte préféré. Dans une étape ultérieure, vous allez copier et coller le contenu de ce fichier.
2. Dans la barre de recherche du portail Azure, tapez Stratégie et sélectionnez Stratégie dans les résultats des services.
3. Dans la vue d’ensemble d’Azure Policy, accédez à >Définitions de création.
4. Sélectionnez + définition de stratégie, puis renseignez le formulaire obtenu comme suit :
   1. emplacement de définition: <choisissez votre abonnement Azure de test>
   2. Nom: [Préversion] : Base de référence de sécurité Azure pour Linux (par OSConfig)
   3. catégorie: utiliser la configuration d’invité > existante
   4. règle de stratégie: supprimer le contenu prérempli, puis coller dans le code JSON à partir du fichier à l’étape 1

Si vous utilisez un environnement Azure spécialisé tel qu’un cloud public, vous devrez peut-être remplacer management.azure.com dans la commande az rest suivante par votre point de terminaison local.

curl -L https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

Affecter la stratégie à votre groupe de ressources de test vide

portail Azure

1. Dans la page définition de stratégie, sélectionnez Affecter une stratégie, ce qui vous amène au flux de travail pour l’affectation de la stratégie
2. onglet De base :
   1. étendue: sélectionnez votre test groupe de ressources (par exemple, my-demo-rg)
      1. Veillez ne pas sélectionner l’intégralité de l’abonnement ou le groupe de ressources incorrect
   2. définition de stratégie: [Préversion] : base de référence de sécurité Azure pour Linux (par OSConfig)
   3. nom de l’affectation: Audit [préversion] : base de référence de sécurité Azure pour Linux (par OSConfig)
3. onglet Paramètres de
   1. Facultatif : passez à l’onglet Paramètres pour inspecter les paramètres disponibles. Si vous effectuez des tests avec une machine avec Arc activée par opposition à une machine virtuelle Azure, veillez à modifier « inclure des machines Arc » en vrai.
   2. Facultatif : choisissez l’effet de la stratégie :
      1. « AuditIfNotExist » signifie que la stratégie sera audit uniquement
      2. !! Avertissement : la correction automatique définit les définitions de stratégie à l’état souhaité et peut entraîner des interruptions - il s’agit d’une préversion publique limitée !!
      3. « DeployIfNotExist » signifie qu’il sera en cours d’exécution en mode de correction automatique : ne l’utiliserez pas en production
4. onglet Correction
   1. Choisissez l’option permettant de créer identité managée, puis choisissez « géré par le système »
5. Vérifier + créer un onglet
   1. Sélectionnez Créer
6. De retour à la page de définition de stratégie, accédez à l’attribution de stratégie que vous venez de créer, sous l’onglet Affectations

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Audit [Preview]: Azure security baseline for Linux (by OSConfig)" --scope "$RG_ID" --params '{"banner":{"value":"TEST VALUE. KEEP OUT!"}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Créer une machine virtuelle de test (machine virtuelle) et la préparer pour la configuration de la machine

portail Azure

1. Créez une machine virtuelle Linux avec les choix suivants :
   1. nom de machine virtuelle: my-demo-vm-01
   2. groupe de ressources: groupe de ressources vide créé précédemment, par exemple my-demo-rg
   3. image: Ubuntu Server 22.04 ou RedHat Enterprise Linux (RHEL) 9
   4. architecture de machine virtuelle: x64
   5. taille de machine virtuelle: votre choix, mais notez que les tailles de machine virtuelle de série B plus petites telles que Standard_B2s peuvent être une option économique pour les tests
2. Après la création de la machine virtuelle, mettez à jour la machine virtuelle pour qu’elle fonctionne avec la configuration de l’ordinateur :
   1. Ajouter une identité affectée par le système, s’il n’est pas déjà présent
   2. Ajouter l’extension Configuration de l’ordinateur (étiquetée dans le portail en tant que Azure Automanage Machine Configuration)

Pourboire

Les étapes d’extension d’identité managée et de configuration de machine ont été effectuées manuellement dans ce guide pour réduire l’attente et réduire les modifications de contexte. À grande échelle, elles peuvent être satisfaites à l’aide de l’initiative de stratégie intégrée Deploy prerequisites to enable Guest Configuration policies on virtual machines.

1. Créer une machine virtuelle Linux avec une identité affectée par le système

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   Pourboire

   Il est normal de recevoir une alerte similaire à « Aucun accès n’a encore été donné... ». Azure Machine Configuration nécessite uniquement que l’ordinateur dispose d' une identité managée, pas d’accès spécifique aux ressources.

2. Installer l’agent Machine Configuration en tant qu’extension de machine virtuelle Azure

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

IMPORTANT : Prendre une pause avant de continuer

Plusieurs étapes se produisent désormais automatiquement. Chacune de ces étapes peut prendre quelques minutes. En conséquence, veuillez patienter à moins de 15 minutes avant de continuer.

Observer les résultats

Les exemples suivants montrent comment obtenir :

1. Nombre d’ordinateurs par état de conformité (utile à l’échelle de production, où vous pouvez avoir des milliers de machines)
2. Liste des machines avec l’état de conformité pour chacun d’eux
3. Liste détaillée des règles de base avec l’état de conformité et les preuves (également appelées Raisons) pour chacun d’eux

Pourboire

Attendez-vous à voir les rouges non conformes entraînent les résultats suivants. Le cas d’usage d’audit uniquement concerne la découverte de la différence entre les systèmes existants et la base de référence de sécurité Azure.

portail Azure

1. Accédez à la page vue d’ensemble d’Azure Policy
2. Cliquez sur « Conformité » dans le volet de navigation gauche
3. Cliquez sur votre « Affectation de ma démonstration de... » attribution de stratégie
4. Notez que cette page fournit les deux éléments suivants :
   1. Nombre d’ordinateurs par état de conformité
   2. Liste des machines avec l’état de conformité pour chacun d’eux
5. Lorsque vous êtes prêt à afficher une liste détaillée des règles de base avec l’état de conformité et la preuve, procédez comme suit :
   1. Dans la liste des machines (affichées sous conformité des ressources) sélectionnez le nom de votre machine de test.
   2. Cliquez sur Afficher la ressource pour accéder à la page vue d’ensemble de l’ordinateur
   3. Dans le volet de navigation gauche, recherchez et sélectionnez Gestion de la configuration
   4. Dans la liste des configurations, sélectionnez la configuration dont le nom commence par LinuxSecurityBaseline...
   5. Dans la vue détails de la configuration, utilisez la liste déroulante filtre pour Sélectionner tous les si vous souhaitez voir à la fois les règles de conformité et de non-conformité

Les exemples Azure CLI suivants proviennent d’un environnement bash. Pour utiliser un autre environnement d’interpréteur de commandes, vous devrez peut-être ajuster des exemples pour le comportement de fin de ligne, les règles de guillemets, l’échappement de caractères, et ainsi de suite.

1. Nombre d’ordinateurs par état de conformité :

   QUERY='
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

2. Liste des machines avec l’état de conformité pour chacun d’eux :

   QUERY='
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

3. Liste détaillée des règles de base avec l’état de conformité et les preuves (également appelées Raisons) pour chacune d’elles :

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "LinuxSecurityBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

Facultatif : Ajouter d’autres machines de test à une mise à l’échelle

Dans cet article, la stratégie a été affectée à un groupe de ressources qui a été initialement vide, puis a gagné une machine virtuelle. Bien qu’il illustre le fonctionnement du système de bout en bout, il ne fournit pas de sens des opérations à grande échelle. Par exemple, dans l’affichage conformité des affectations de stratégie, un graphique en secteurs d’une machine peut se sentir artificiel.

Envisagez d’ajouter d’autres machines de test au groupe de ressources, que ce soit manuellement ou via automation. Ces machines peuvent être des machines virtuelles Azure ou des machines avec Arc. Comme vous voyez que ces machines entrent en conformité (ou même échouent), vous pouvez avoir un sens plus vif de l’opérationnalisation de la base de référence de sécurité Azure à grande échelle.

Nettoyer les ressources

Pour éviter les frais en cours, envisagez de supprimer le groupe de ressources utilisé dans cet article. Par exemple, la commande Azure CLI serait az group delete --name "my-demo-rg".

---

Contenu connexe

• Pour fournir des commentaires, discuter des demandes de fonctionnalités, etc. contactez : linux_sec_config_mgmt@service.microsoft.com
• En savoir plus sur le blog lancement annoncé à Ignite 2024
• inscrivez-vous à la préversion limitée des de correction automatique afin de travailler avec nous et d’aider à façonner l’avenir de cette fonctionnalité