[パブリック プレビュー] クイック スタート: テスト マシンを使用して Linux 用の Azure セキュリティ ベースラインを監査する
の画面スニペット
このガイドでは、Azure Policy を使用して、Linux 用の Azure セキュリティ ベースラインに対してテスト マシンを監査します。
具体的には、次の手順を実行します。
- 空の リソース グループ を作成する
- ポリシー 定義をインポートし、空のリソース グループに割り当てる
- リソース グループに VM を作成し、監査結果を確認する
Azure アカウントをお持ちでない場合は、無料試用版を作成
プレビューに関する考慮事項
このセキュリティ ベースラインの実装は、初期の プレビューです。
フィードバック チャネルについては、この記事の最後にある 関連リソースの セクションを参照してください。
プレビューの既知の問題または制限事項:
- テスト環境でポリシーをテストすることをお勧めします
- ポリシー定義は、組み込みではなく Azure に手動でインポートされます (ロールアウトが開始されると、Azure Policy の組み込みポリシーになります。このページでは、リージョンロールアウトが更新されます)。
- マネージド マシンには、Azure サービスの一般的な接続要件に加えて、次へのアクセスが必要
https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
- 現在のベースラインは、CIS Distro 独立ベンチマーク バージョン 2.0.0 に基づいており、そのベースラインのカバレッジは約 63% です。
- ベースライン設定のカスタマイズは、ポリシーの影響に限定されます - AuditIfNotExist と DeployIfNotExist (自動修復は制限付きパブリック プレビュー段階)
前提 条件
この記事の手順を実行する前に、次のものが既にあることを確認してください。
- リソース グループ、ポリシーの割り当て、仮想マシンを作成するためのアクセス権を持つ Azure アカウント。
- 次のような、Azure と対話するための好みの環境。
- [推奨]Azure Cloud Shell を使用する (https://shell.azure.com またはそれと同等のローカル)
- OR Azure CLI をインストールしてサインインした状態で独自のコンピューターとシェル環境を使用する
- OR Azure portal を使用する (https://portal.azure.com またはそれと同等のローカル)
テスト環境にサインインしていることを確認する
-
Azure portal を
する -
Azure CLI の
ポータルのアカウント情報を使用して、現在のコンテキストを確認します。
のアカウント情報を示す画面キャプチャ
リソース グループを作成する
先端
この記事全体の場所の例として "米国東部" (eastus
) を使用するのは任意です。 使用可能な任意の Azure の場所を選択できます。
-
Azure portal を
する -
Azure CLI の
- Azure portal から、リソース グループ
参照します。 - [+ 作成 を選択します
- 名前とリージョン ("my-demo-rg" や "米国東部" など) を選択します
- 確認と作成に進
ポリシー定義をインポートする
現時点では、プレビュー ポリシー定義は Azure に組み込まれていません。 次の手順は、カスタム ポリシー定義としてインポートする方法を示しています。
-
Azure portal を
する -
Azure CLI の
- ポリシー定義 JSON をコンピューター
ダウンロードし、任意のテキスト エディターで開きます。 後の手順では、このファイルの内容をコピーして貼り付けます。 - Azure portal の検索バーに「ポリシー」と入力し、サービスの結果から Policy を選択します。
- Azure Policy の概要から、作成>定義に移動します。
-
+ ポリシー定義を選択し、結果のフォームに次のように入力します。
- 定義の場所: テスト用の Azure サブスクリプション< を選択 >
- 名前: [プレビュー]: Linux 用 Azure セキュリティ ベースライン (OSConfig 別)
- カテゴリ: 既存の > ゲスト構成を使用する
ポリシールールの :事前入力されたコンテンツ 削除してから、手順 1 でファイルから JSON に を貼り付
空のテスト リソース グループにポリシーを割り当てる
-
Azure portal を
する -
Azure CLI の
- [ポリシー定義] ページ [ポリシーの割り当て] を選択すると、ポリシーを割り当てるためのワークフローに移動します。
-
の [基本] タブ:
-
スコープ: テスト リソース グループ (例: my-demo-rg) を選択します
- サブスクリプション全体または間違ったリソース グループを選択する
注意してください
- サブスクリプション全体または間違ったリソース グループを選択する
- ポリシー定義: [プレビュー]: Linux 用 Azure セキュリティ ベースライン (OSConfig 別)
- 割り当て名: 監査 [プレビュー]: Linux 用 Azure セキュリティ ベースライン (OSConfig 別)
-
スコープ: テスト リソース グループ (例: my-demo-rg) を選択します
-
パラメーター タブ
- 省略可能: パラメーター タブに進み、使用可能なパラメーターを調べます。 Azure 仮想マシンではなく Arc 対応マシンでテストする場合は、必ず "Arc マシンを含める" を true
に変更してください。 - オプション: ポリシーの効果を選択します。
- "AuditIfNotExist" は、ポリシーが のみを監査
されることを意味します - !!警告 - 自動修復では、ポリシー定義が目的の状態に設定され、中断が発生する可能性があります。これは制限付きパブリック プレビューです。
- "DeployIfNotExist" は、自動修復 モード
実行されることを意味 運用環境では使用しません
- "AuditIfNotExist" は、ポリシーが のみを監査
- 省略可能: パラメーター タブに進み、使用可能なパラメーターを調べます。 Azure 仮想マシンではなく Arc 対応マシンでテストする場合は、必ず "Arc マシンを含める" を true
-
修復 タブ
- マネージド ID
作成するオプションを選択し、[システムマネージド] を選択します
- マネージド ID
-
確認と作成 タブ
- の作成
選択する
- の作成
- ポリシー定義ページに戻り、先ほど作成したポリシー割り当ての [割り当て] タブに移動します。
テスト VM (仮想マシン) を作成し、マシン構成用に準備する
-
Azure portal を
する -
Azure CLI の
- 次の選択肢を使用して、Linux 仮想マシンを作成します。
- 仮想マシン名の: my-demo-vm-01
リソース グループの : 前に作成した空のリソース グループ (例: my-demo-rg) - イメージ: Ubuntu Server 22.04 または RedHat Enterprise Linux (RHEL) 9
- VM アーキテクチャの: x64
- VM サイズ: 選択できますが、Standard_B2sなどの B シリーズの VM サイズが小さいほど、テストにコスト効率の高いオプションになる可能性があることに注意してください
- VM の作成後、マシン構成で動作するように VM を更新します。
- まだ存在しない場合は、システム割り当て ID を追加する
- マシン構成拡張機能を追加する (ポータルで Azure Automanage Machine Configuration
ラベルが付いています)
先端
このガイドでは、マネージド ID とマシン構成拡張機能の手順を手動で実行して、待機を減らし、コンテキストの変更を減らしました。 これらは、Deploy prerequisites to enable Guest Configuration policies on virtual machines
組み込みのポリシー イニシアチブを使用して大規模に満たすことができます。
重要: 続行する前に休憩を取る
複数の手順が自動的に実行されるようになりました。 これらの各手順には数分かかる場合があります。 したがって、先に進む前に 少なくとも15分 待ってください。
結果を観察する
次の例は、取得方法を示しています。
- コンプライアンス状態別のマシンの数 (数千台のマシンがある可能性がある運用環境のスケールで役立ちます)
- コンプライアンス状態が各マシンの一覧
- コンプライアンスの状態と証拠 (理由とも呼ばれます) を含むベースライン 規則の詳細な一覧
先端
赤 準拠していない が表示され、次のようになります。 監査のみのユース ケースは、既存のシステムと Azure セキュリティ ベースラインの違いを検出することです。
-
Azure portal を
する -
Azure CLI の
- Azure Policy の概要ページに移動します
- 左側のナビゲーションで [コンプライアンス] をクリックします
- [マイ デモの割り当て...] をクリックします。ポリシーの割り当て
- このページでは、次の両方が提供されることに注意してください。
- コンプライアンス状態別のマシンの数
- コンプライアンス状態が各マシンの一覧
- コンプライアンスの状態と証拠を含むベースライン 規則の詳細な一覧を表示する準備ができたら、次の操作を行います。
- マシンの一覧 (リソース コンプライアンスの下に表示) で、テスト マシンの名前を選択します
- [リソース の表示] をクリックして、コンピューターの概要ページに移動します
- 左側のナビゲーションで、構成管理
見つけて選択します - 構成の一覧で、名前が LinuxSecurityBaseline...で始まる構成を選択
- [構成の詳細] ビューで、[フィルター] ドロップダウンを使用して コンプライアンス規則と非準拠ルールの両方を表示する場合は、すべての を選択します
省略可能: スケーリングを体験するためにテスト マシンを追加する
この記事では、ポリシーは最初は空だったリソース グループに割り当てられ、その後 1 つの VM を取得しました。 システムがエンド ツー エンドで動作することを示していますが、大規模な操作の感覚は提供されません。 たとえば、ポリシー割り当てコンプライアンス ビューでは、1 台のコンピューターの円グラフが人為的に感じることができるとします。
手動でも自動化でも、リソース グループにテスト マシンを追加することを検討してください。 これらのマシンは、Azure VM または Arc 対応マシンです。 これらのマシンがコンプライアンスに準拠している (または障害が発生する) のを見ると、Azure セキュリティ ベースラインを大規模に運用化する感覚を深めることができます。
リソースのクリーンアップ
継続的な料金を回避するには、この記事で使用されているリソース グループを削除することを検討してください。 たとえば、Azure CLI コマンドは az group delete --name "my-demo-rg"
。
関連コンテンツ
- フィードバックを提供するには、機能要求などについて話し合います。連絡先: linux_sec_config_mgmt@service.microsoft.com
- Ignite 2024 で発表
発表のブログを読む - 自動修復 の限定プレビューにサインアップして、Microsoft と連携し、この機能の将来を形成するのに役立ちます