[ANTEPRIMA PUBBLICA] Avvio rapido: Controllare la baseline di sicurezza di Azure per Linux con un computer di test

In questa guida si userà Criteri di Azure per controllare un computer di test rispetto alla baseline di sicurezza di Azure per Linux.

In particolare, si eseguiranno le operazioni seguenti:

1. Creare un gruppo di risorse vuoto
2. Importare una definizione di criteri di e assegnarla al gruppo di risorse vuoto
3. Creare una macchina virtuale nel gruppo di risorse e osservare i risultati del controllo

Se non si ha un account Azure, è possibile creare una versione di valutazione gratuita.

Considerazioni sull'anteprima

Questa implementazione della baseline di sicurezza è un'anteprima anticipata.

Per i canali di feedback, vedere la sezione risorse correlate alla fine di questo articolo.

Problemi noti o limitazioni dell'anteprima:

• È consigliabile testare i criteri in un ambiente di test
• La definizione dei criteri viene importata manualmente in Azure, non incorporata (dopo l'avvio dell'implementazione diventa un criterio predefinito in Criteri di Azure. L'implementazione a livello di area verrà aggiornata in questa pagina)
• Oltre ai requisiti di connettività tipici per i servizi di Azure, i computer gestiti richiedono l'accesso a: https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
• La linea di base corrente si basa sulla di distribuzione CIS Indipendente benchmark - versione 2.0.0 e include circa 63% copertura di tale baseline
• La personalizzazione delle impostazioni di base è limitata agli effetti dei criteri - AuditIfNotExist e DeployIfNotExist (la correzione automatica è in anteprima pubblica limitata)

Prerequisiti

Prima di provare i passaggi descritti in questo articolo, assicurarsi di avere già:

1. Un account Azure in cui si ha accesso per creare un gruppo di risorse, assegnazioni di criteri e una macchina virtuale.
2. L'ambiente preferito per interagire con Azure, ad esempio:
   1. [Scelta consigliata] Usare Azure Cloud Shell (in https://shell.azure.com o l'equivalente locale)
   2. OR Usare il proprio ambiente della shell e del computer con l'interfaccia della riga di comando di Azure installata e con l'accesso
   3. OR Usare il portale di Azure (in https://portal.azure.com o nell'equivalente locale)

Verificare di aver eseguito l'accesso all'ambiente di test

1. Usare le informazioni sull'account nel portale per visualizzare il contesto corrente.

   

1. È possibile usare az account show per visualizzare il contesto corrente. Per accedere o modificare i contesti, usare az account login.
2. La definizione dei criteri verrà importata nella sottoscrizione visualizzata come id in risposta a az account show

Creare un gruppo di risorse

Mancia

L'uso di "Stati Uniti orientali" (eastus) come posizione di esempio in questo articolo è arbitrario. È possibile scegliere qualsiasi località di Azure disponibile.

1. Nel portale di Azure passare a gruppi di risorse
2. Selezionare + Crea
3. Scegliere un nome e un'area, ad esempio "my-demo-rg" e "Stati Uniti orientali"
4. Passare a Rivedi e crea

az group create --name my-demo-rg --location eastus

Importare la definizione dei criteri

La definizione dei criteri di anteprima non è attualmente incorporata in Azure. La procedura seguente illustra l'importazione come definizione di criteri personalizzata.

1. Scaricare la definizione di criteri JSON nel computer e aprirla nell'editor di testo preferito. In un passaggio successivo verrà copiato e incollato il contenuto di questo file.
2. Nella barra di ricerca del portale di Azure digitare Criteri e selezionare criteri nei risultati dei servizi.
3. Nella panoramica di Criteri di Azure passare a Creazione di definizioni>.
4. Selezionare + Definizione di criterie compilare il modulo risultante nel modo seguente:
   1. percorso di definizione: <scegliere la sottoscrizione di Azure di test>
   2. Nome: [Anteprima]: Baseline di sicurezza di Azure per Linux (by OSConfig)
   3. Categoria: usare la configurazione guest > esistente
   4. regola dei criteri: Eliminare il contenuto precompilato, quindi incollare nel file JSON nel passaggio 1

Se si usa un ambiente Azure specializzato, ad esempio un cloud per enti pubblici, potrebbe essere necessario sostituire management.azure.com nel comando az rest seguente con l'endpoint locale.

curl -L https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

Assegnare i criteri al gruppo di risorse di test vuoto

1. Nella pagina Definizione criteri selezionare Assegnare i criteri, che consente di passare al flusso di lavoro per l'assegnazione dei criteri
2. scheda Informazioni di base:
   1. Ambito: selezionare il gruppo di risorse test (ad esempio my-demo-rg)
      1. Prestare attenzione non selezionare l'intera sottoscrizione o il gruppo di risorse errato
   2. definizione di criteri: [anteprima]: baseline di sicurezza di Azure per Linux (by OSConfig)
   3. nome assegnazione: controlla [anteprima]: baseline di sicurezza di Azure per Linux (by OSConfig)
3. scheda parametri
   1. Facoltativo: passare alla scheda Parametri per controllare quali parametri sono disponibili. Se si esegue il test con una macchina abilitata per Arc anziché una macchina virtuale di Azure, assicurarsi di modificare "includere le macchine Arc" in true.
   2. Facoltativo: scegliere l'effetto del criterio:
      1. "AuditIfNotExist" indica che il criterio verrà solo
      2. !! Avviso: la correzione automatica imposta le definizioni dei criteri sullo stato desiderato e potrebbe causare interruzioni. Si tratta di un'anteprima pubblica limitata!!
      3. "DeployIfNotExist" significa che verrà eseguito in modalità di correzione automatica: non usarlo nell' di produzione
4. scheda correzione
   1. Scegliere l'opzione per creare 'identità gestitae scegliere "gestito dal sistema"
5. scheda Rivedi e crea
   1. Selezionare Crea
6. Tornare alla pagina di definizione dei criteri, passare all'assegnazione di criteri appena creata, nella scheda Assegnazioni

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Audit [Preview]: Azure security baseline for Linux (by OSConfig)" --scope "$RG_ID" --params '{"banner":{"value":"TEST VALUE. KEEP OUT!"}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Creare una macchina virtuale di test (macchina virtuale) e prepararla per la configurazione del computer

1. Creare una macchina virtuale Linux con le opzioni seguenti:
   1. nome macchina virtuale: my-demo-vm-01
   2. gruppo di risorse: gruppo di risorse vuoto creato in precedenza, ad esempio my-demo-rg
   3. 'immagine: Ubuntu Server 22.04 o RedHat Enterprise Linux (RHEL) 9
   4. architettura macchina virtuale: x64
   5. dimensioni della macchina virtuale: scelta, ma si noti che le dimensioni delle macchine virtuali serie B più piccole, ad esempio Standard_B2s, possono essere un'opzione conveniente per i test
2. Dopo la creazione della macchina virtuale, aggiornare la macchina virtuale in modo che funzioni con Configurazione computer:
   1. Aggiungere un'identità assegnata dal sistema, se non è già presente
   2. Aggiungere l'estensione Configurazione computer (etichettata nel portale come Configurazione automatica computer di Azure)

Mancia

I passaggi relativi all'identità gestita e all'estensione Configurazione computer sono stati eseguiti manualmente in questa guida per ridurre l'attesa e ridurre le modifiche del contesto. Su larga scala, questi possono essere soddisfatti usando l'iniziativa di criteri predefinita Deploy prerequisites to enable Guest Configuration policies on virtual machines.

1. Creare una macchina virtuale Linux con un'identità assegnata dal sistema

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   Mancia

   È normale ricevere un avviso simile a "Non è stato ancora concesso l'accesso...". Configurazione di Azure Machine richiede solo che il computer abbia un'identità gestita, non un accesso specifico alle risorse.

2. Installare l'agente di configurazione del computer come estensione della macchina virtuale di Azure

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

IMPORTANTE: fare una pausa prima di procedere

Verranno ora eseguiti automaticamente diversi passaggi. Ognuno di questi passaggi può richiedere alcuni minuti. Di conseguenza, attendere almeno 15 minuti prima di procedere.

Osservare i risultati

Gli esempi seguenti illustrano come ottenere:

1. Numero di computer in base allo stato di conformità (utile su scala di produzione, in cui potrebbero essere presenti migliaia di computer)
2. Elenco di computer con stato di conformità per ogni computer
3. Elenco dettagliato delle regole di base con stato di conformità e evidenza (noto anche come motivi ) per ogni

Mancia

Si prevede di visualizzare il rosso risultati non conformi nei risultati seguenti. Il caso d'uso solo controllo riguarda l'individuazione della differenza tra i sistemi esistenti e la baseline di sicurezza di Azure.

1. Passare alla pagina di panoramica di Criteri di Azure
2. Fare clic su "Conformità" nel riquadro di spostamento a sinistra
3. Fare clic sul pulsante "My demo assignment of..." assegnazione di criteri
4. Si noti che in questa pagina sono disponibili entrambe le opzioni seguenti:
   1. Numero di computer in base allo stato di conformità
   2. Elenco di computer con stato di conformità per ogni computer
5. Quando si è pronti a visualizzare un elenco dettagliato delle regole di base con stato di conformità e prove, eseguire le operazioni seguenti:
   1. Nell'elenco dei computer (mostrati in Conformità risorse) selezionare il nome del computer di test
   2. Fare clic su Visualizza risorsa per passare alla pagina di panoramica del computer
   3. Nel riquadro di spostamento a sinistra individuare e selezionare Gestione della configurazione
   4. Nell'elenco delle configurazioni selezionare la configurazione il cui nome inizia con LinuxSecurityBaseline...
   5. Nella visualizzazione dei dettagli di configurazione usare l'elenco a discesa del filtro per Selezionare tutte le se si desidera visualizzare sia le regole di conformità che le regole non conformi

Gli esempi seguenti dell'interfaccia della riga di comando di Azure provengono da un ambiente bash . Per usare un altro ambiente della shell, potrebbe essere necessario modificare esempi per il comportamento finale della riga, le regole di citazione, l'escape dei caratteri e così via.

1. Numero di computer in base allo stato di conformità:

   QUERY='
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

2. Elenco di computer con stato di conformità per ognuno di essi:

   QUERY='
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

3. Elenco dettagliato delle regole di base con stato di conformità e evidenza (noto anche come motivi ) per ognuno di essi:

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "LinuxSecurityBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

Facoltativo: aggiungere altri computer di test per l'esperienza di scalabilità

In questo articolo i criteri sono stati assegnati a un gruppo di risorse inizialmente vuoto e quindi ottenuto una macchina virtuale. Anche se illustra il sistema end-to-end, non fornisce un'idea delle operazioni su larga scala. Ad esempio, nella visualizzazione conformità dell'assegnazione dei criteri un grafico a torta di un computer può essere artificiale.

Prendere in considerazione l'aggiunta di più computer di test al gruppo di risorse, sia manualmente che tramite automazione. Questi computer possono essere macchine virtuali di Azure o computer abilitati per Arc. Come si può notare, tali computer sono conformi (o addirittura hanno esito negativo), è possibile acquisire un'idea più approfondita dell'operazionalizzazione della baseline di sicurezza di Azure su larga scala.

Pulire le risorse

Per evitare addebiti in corso, è consigliabile eliminare il gruppo di risorse usato in questo articolo. Ad esempio, il comando dell'interfaccia della riga di comando di Azure sarà az group delete --name "my-demo-rg".

---

Contenuto correlato

• Per fornire commenti e suggerimenti, discutere le richieste di funzionalità e così via: linux_sec_config_mgmt@service.microsoft.com
• Leggi il blog di lancio annunciato a Ignite 2024
• iscriversi all'anteprima limitata del correzione automatica per collaborare con microsoft e contribuire a modellare il futuro di questa funzionalità