[パブリック プレビュー] クイック スタート: テスト マシンを使用して Linux 用の Azure セキュリティ ベースラインを監査する

の画面スニペット

このガイドでは、Azure Policy を使用して、Linux 用の Azure セキュリティ ベースラインに対してテスト マシンを監査します。

具体的には、次の手順を実行します。

1. 空の リソース グループ を作成する
2. ポリシー 定義をインポートし、空のリソース グループに割り当てる
3. リソース グループに VM を作成し、監査結果を確認する

Azure アカウントをお持ちでない場合は、無料試用版を作成 。

プレビューに関する考慮事項

このセキュリティ ベースラインの実装は、初期の プレビューです。

フィードバック チャネルについては、この記事の最後にある 関連リソースの セクションを参照してください。

プレビューの既知の問題または制限事項:

• テスト環境でポリシーをテストすることをお勧めします
• ポリシー定義は、組み込みではなく Azure に手動でインポートされます (ロールアウトが開始されると、Azure Policy の組み込みポリシーになります。このページでは、リージョンロールアウトが更新されます)。
• マネージド マシンには、Azure サービスの一般的な接続要件に加えて、次へのアクセスが必要 https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
• 現在のベースラインは、CIS Distro 独立ベンチマーク バージョン 2.0.0 に基づいており、そのベースラインのカバレッジは約 63% です。
• ベースライン設定のカスタマイズは、ポリシーの影響に限定されます - AuditIfNotExist と DeployIfNotExist (自動修復は制限付きパブリック プレビュー段階)

前提 条件

この記事の手順を実行する前に、次のものが既にあることを確認してください。

1. リソース グループ、ポリシーの割り当て、仮想マシンを作成するためのアクセス権を持つ Azure アカウント。
2. 次のような、Azure と対話するための好みの環境。
   1. [推奨]Azure Cloud Shell を使用する (https://shell.azure.com またはそれと同等のローカル)
   2. OR Azure CLI をインストールしてサインインした状態で独自のコンピューターとシェル環境を使用する
   3. OR Azure portal を使用する (https://portal.azure.com またはそれと同等のローカル)

テスト環境にサインインしていることを確認する

1. ポータルのアカウント情報を使用して、現在のコンテキストを確認します。

   のアカウント情報を示す画面キャプチャ

1. az account show を使用して、現在のコンテキストを確認できます。 サインインまたはコンテキストを変更するには、az account loginを使用します。
2. ポリシー定義は、az account show に応答して id として表示されるサブスクリプションにインポートされます。

リソース グループを作成する

先端

この記事全体の場所の例として "米国東部" (eastus) を使用するのは任意です。 使用可能な任意の Azure の場所を選択できます。

1. Azure portal から、リソース グループ 参照します。
2. [+ 作成 を選択します
3. 名前とリージョン ("my-demo-rg" や "米国東部" など) を選択します
4. 確認と作成に進

az group create --name my-demo-rg --location eastus

ポリシー定義をインポートする

現時点では、プレビュー ポリシー定義は Azure に組み込まれていません。 次の手順は、カスタム ポリシー定義としてインポートする方法を示しています。

1. ポリシー定義 JSON をコンピューター ダウンロードし、任意のテキスト エディターで開きます。 後の手順では、このファイルの内容をコピーして貼り付けます。
2. Azure portal の検索バーに「ポリシー」と入力し、サービスの結果から Policy を選択します。
3. Azure Policy の概要から、作成>定義に移動します。
4. + ポリシー定義を選択し、結果のフォームに次のように入力します。
   1. 定義の場所: テスト用の Azure サブスクリプション< を選択 >
   2. 名前: [プレビュー]: Linux 用 Azure セキュリティ ベースライン (OSConfig 別)
   3. カテゴリ: 既存の > ゲスト構成を使用する
   4. ポリシールールの: 事前入力されたコンテンツ 削除してから、手順 1 でファイルから JSON に を貼り付

政府機関向けクラウドなどの特殊な Azure 環境を使用している場合は、次の az rest コマンドの management.azure.com をローカル エンドポイントに置き換える必要がある場合があります。

curl -L https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

空のテスト リソース グループにポリシーを割り当てる

1. [ポリシー定義] ページ [ポリシーの割り当て] を選択すると、ポリシーを割り当てるためのワークフローに移動します。
2. の [基本] タブ:
   1. スコープ: テスト リソース グループ (例: my-demo-rg) を選択します
      1. サブスクリプション全体または間違ったリソース グループを選択する 注意してください
   2. ポリシー定義: [プレビュー]: Linux 用 Azure セキュリティ ベースライン (OSConfig 別)
   3. 割り当て名: 監査 [プレビュー]: Linux 用 Azure セキュリティ ベースライン (OSConfig 別)
3. パラメーター タブ
   1. 省略可能: パラメーター タブに進み、使用可能なパラメーターを調べます。 Azure 仮想マシンではなく Arc 対応マシンでテストする場合は、必ず "Arc マシンを含める" を trueに変更してください。
   2. オプション: ポリシーの効果を選択します。
      1. "AuditIfNotExist" は、ポリシーが のみを監査 されることを意味します
      2. !!警告 - 自動修復では、ポリシー定義が目的の状態に設定され、中断が発生する可能性があります。これは制限付きパブリック プレビューです。
      3. "DeployIfNotExist" は、自動修復 モード 実行されることを意味 運用環境では使用しません
4. 修復 タブ
   1. マネージド ID作成するオプションを選択し、[システムマネージド] を選択します
5. 確認と作成 タブ
   1. の作成 選択する
6. ポリシー定義ページに戻り、先ほど作成したポリシー割り当ての [割り当て] タブに移動します。

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Audit [Preview]: Azure security baseline for Linux (by OSConfig)" --scope "$RG_ID" --params '{"banner":{"value":"TEST VALUE. KEEP OUT!"}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

テスト VM (仮想マシン) を作成し、マシン構成用に準備する

1. 次の選択肢を使用して、Linux 仮想マシンを作成します。
   1. 仮想マシン名の: my-demo-vm-01
   2. リソース グループの: 前に作成した空のリソース グループ (例: my-demo-rg )
   3. イメージ: Ubuntu Server 22.04 または RedHat Enterprise Linux (RHEL) 9
   4. VM アーキテクチャの: x64
   5. VM サイズ: 選択できますが、Standard_B2sなどの B シリーズの VM サイズが小さいほど、テストにコスト効率の高いオプションになる可能性があることに注意してください
2. VM の作成後、マシン構成で動作するように VM を更新します。
   1. まだ存在しない場合は、システム割り当て ID を追加する
   2. マシン構成拡張機能を追加する (ポータルで Azure Automanage Machine Configurationラベルが付いています)

先端

このガイドでは、マネージド ID とマシン構成拡張機能の手順を手動で実行して、待機を減らし、コンテキストの変更を減らしました。 これらは、Deploy prerequisites to enable Guest Configuration policies on virtual machines 組み込みのポリシー イニシアチブを使用して大規模に満たすことができます。

1. システム割り当て ID を使用して Linux VM を作成する

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   先端

   通常、"No access was given yet... (アクセス権がまだ与えられていない....のようなアラートを受け取ります。 Azure Machine Configuration では、マシン がマネージド ID を するだけで、特定のリソース アクセスは必要ありません。

2. Azure VM 拡張機能として Machine Configuration エージェントをインストールする

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

重要: 続行する前に休憩を取る

複数の手順が自動的に実行されるようになりました。 これらの各手順には数分かかる場合があります。 したがって、先に進む前に 少なくとも15分 待ってください。

結果を観察する

次の例は、取得方法を示しています。

1. コンプライアンス状態別のマシンの数 (数千台のマシンがある可能性がある運用環境のスケールで役立ちます)
2. コンプライアンス状態が各マシンの一覧
3. コンプライアンスの状態と証拠 (理由とも呼ばれます) を含むベースライン 規則の詳細な一覧

先端

赤 準拠していない が表示され、次のようになります。 監査のみのユース ケースは、既存のシステムと Azure セキュリティ ベースラインの違いを検出することです。

1. Azure Policy の概要ページに移動します
2. 左側のナビゲーションで [コンプライアンス] をクリックします
3. [マイ デモの割り当て...] をクリックします。ポリシーの割り当て
4. このページでは、次の両方が提供されることに注意してください。
   1. コンプライアンス状態別のマシンの数
   2. コンプライアンス状態が各マシンの一覧
5. コンプライアンスの状態と証拠を含むベースライン 規則の詳細な一覧を表示する準備ができたら、次の操作を行います。
   1. マシンの一覧 (リソース コンプライアンスの下に表示) で、テスト マシンの名前を選択します
   2. [リソース の表示] をクリックして、コンピューターの概要ページに移動します
   3. 左側のナビゲーションで、構成管理 見つけて選択します
   4. 構成の一覧で、名前が LinuxSecurityBaseline...で始まる構成を選択
   5. [構成の詳細] ビューで、[フィルター] ドロップダウンを使用して コンプライアンス規則と非準拠ルールの両方を表示する場合は、すべての を選択します

次の Azure CLI の例は、bash 環境の例です。 別のシェル環境を使用するには、行の終了動作、引用符の規則、文字エスケープなどの例を調整する必要がある場合があります。

1. コンプライアンス状態別のマシンの数:

   QUERY='
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

2. コンプライアンス状態が各マシンの一覧:

   QUERY='
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

3. コンプライアンスの状態と証拠 (理由とも呼ばれます) を含むベースライン 規則の詳細な一覧。

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "LinuxSecurityBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

省略可能: スケーリングを体験するためにテスト マシンを追加する

この記事では、ポリシーは最初は空だったリソース グループに割り当てられ、その後 1 つの VM を取得しました。 システムがエンド ツー エンドで動作することを示していますが、大規模な操作の感覚は提供されません。 たとえば、ポリシー割り当てコンプライアンス ビューでは、1 台のコンピューターの円グラフが人為的に感じることができるとします。

手動でも自動化でも、リソース グループにテスト マシンを追加することを検討してください。 これらのマシンは、Azure VM または Arc 対応マシンです。 これらのマシンがコンプライアンスに準拠している (または障害が発生する) のを見ると、Azure セキュリティ ベースラインを大規模に運用化する感覚を深めることができます。

リソースのクリーンアップ

継続的な料金を回避するには、この記事で使用されているリソース グループを削除することを検討してください。 たとえば、Azure CLI コマンドは az group delete --name "my-demo-rg"。

---

関連コンテンツ

• フィードバックを提供するには、機能要求などについて話し合います。連絡先: linux_sec_config_mgmt@service.microsoft.com
• Ignite 2024 で発表 発表のブログを読む
• 自動修復 の限定プレビューにサインアップして、Microsoft と連携し、この機能の将来を形成するのに役立ちます