[공개 미리 보기] 빠른 시작: 테스트 머신을 사용하여 Linux용 Azure 보안 기준 감사

준수 보고서 화면 코드 조각

이 가이드에서는 Azure Policy를 사용하여 Linux용 Azure 보안 기준에 대해 테스트 머신을 감사합니다.

특히 다음을 수행합니다.

1. 빈 리소스 그룹 만들기
2. 정책 정의를 가져와서 빈 리소스 그룹에 할당합니다.
3. 리소스 그룹에 VM 만들고 감사 결과를 확인합니다.

Azure 계정이 없는 경우 평가판만들 있습니다.

미리 보기 고려 사항

이 보안 기준 구현은 초기 미리 보기.

피드백 채널은 이 문서의 끝에 있는 관련 리소스 섹션을 참조하세요.

미리 보기의 알려진 문제 또는 제한 사항:

• 테스트 환경에서 정책을 테스트하는 것이 좋습니다.
• 정책 정의는 기본 제공이 아닌 Azure로 수동으로 가져옵니다(롤아웃이 시작되면 Azure Policy에 대한 기본 제공 정책이 됩니다. 이 페이지에서 지역 롤아웃을 업데이트합니다.)
• 관리되는 컴퓨터는 Azure 서비스에 대한 일반적인 연결 요구 사항 외에도 다음 액세스 권한이 필요합니다. https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
• 현재 기준은 CIS 배포판 독립 벤치마크 버전 2.0.0을 기반으로 하며 해당 기준의 약 63개의% 적용 범위를 가집니다.
• 기준 설정의 사용자 지정은 정책의 효과로 제한됩니다. AuditIfNotExist 및 DeployIfNotExist(자동 수정은 제한된 공개 미리 보기에 있습니다).

필수 구성 요소

이 문서의 단계를 시도하기 전에 다음이 이미 있는지 확인합니다.

1. 리소스 그룹, 정책 할당 및 가상 머신을 만들 수 있는 액세스 권한이 있는 Azure 계정입니다.
2. 다음과 같이 Azure와 상호 작용하기 위한 기본 설정 환경:
   1. [권장] Azure Cloud Shell 사용(https://shell.azure.com 또는 로컬에 해당)
   2. OR Azure CLI가 설치되고 로그인된 사용자 고유의 컴퓨터 및 셸 환경 사용
   3. 또는 Azure Portal 사용(https://portal.azure.com 또는 로컬에 해당)

테스트 환경에 로그인되어 있는지 확인합니다.

1. 포털의 계정 정보를 사용하여 현재 컨텍스트를 확인합니다.

   Azure Portal 계정 정보를 보여 주는 화면 캡처

1. az account show 사용하여 현재 컨텍스트를 볼 수 있습니다. 로그인하거나 컨텍스트를 변경하려면 az account login사용합니다.
2. 정책 정의는 az account show 대한 응답으로 id 표시되는 구독으로 가져옵니다.

리소스 그룹 만들기

팁

이 문서에서 예제 위치로 "미국 동부"(eastus)를 사용하는 것은 임의입니다. 사용 가능한 모든 Azure 위치를 선택할 수 있습니다.

1. Azure Portal에서 리소스 그룹 찾습니다.
2. + 만들기
3. "my-demo-rg" 및 "미국 동부"와 같은 이름 및 지역 선택
4. 검토 + 만들기 진행

az group create --name my-demo-rg --location eastus

정책 정의 가져오기

현재 미리 보기 정책 정의는 Azure에 기본 제공되지 않습니다. 다음 단계에서는 사용자 지정 정책 정의로 가져오는 방법을 보여 줍니다.

1. 정책 정의 JSON 다운로드하여 원하는 텍스트 편집기에서 엽니다. 이후 단계에서는 이 파일의 내용을 복사하여 붙여넣습니다.
2. Azure Portal 검색 창에서 정책을 입력하고 서비스 결과에서 정책 선택합니다.
3. Azure Policy 개요에서 작성>정의이동합니다.
4. + 정책 정의선택하고 다음과 같이 결과 양식을 채웁니다.
   1. 정의 위치: 테스트 Azure 구독<>선택합니다.
   2. 이름: [미리 보기]: Linux용 Azure 보안 기준(OSConfig별)
   3. 범주: 기존 > 게스트 구성 사용
   4. 정책 규칙: 미리 채워진 콘텐츠를 삭제한 다음 1단계의 파일에서 JSON에 붙여넣을 있습니다.

정부 클라우드와 같은 특수 Azure 환경을 사용하는 경우 다음 az rest 명령의 management.azure.com 로컬 엔드포인트로 바꿔야 할 수 있습니다.

curl -L https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

빈 테스트 리소스 그룹에 정책 할당

1. 정책 정의 페이지에서 정책할당 선택합니다. 그러면 정책을 할당하기 위한 워크플로로 이동합니다.
2. 기본 탭:
   1. 범위: 테스트 리소스 그룹 선택(예: my-demo-rg)
      1. 전체 구독 또는 잘못된 리소스 그룹을 선택할 주의
   2. 정책 정의: [미리 보기]: Linux용 Azure 보안 기준(OSConfig별)
   3. 할당 이름: 감사 [미리 보기]: Linux용 Azure 보안 기준(OSConfig별)
3. 매개 변수 탭
   1. 선택 사항: 매개 변수 탭으로 이동하여 사용할 수 있는 매개 변수를 검사합니다. Azure Virtual Machine이 아닌 Arc 지원 머신으로 테스트하는 경우 "Arc 머신 포함"을 실제변경해야 합니다.
   2. 선택 사항: 정책의 효과를 선택합니다.
      1. "AuditIfNotExist"는 정책이 감사만 것을 의미합니다.
      2. !! 경고 - 자동 수정은 정책 정의를 원하는 상태로 설정하고 중단을 일으킬 수 있습니다. 제한된 공개 미리 보기입니다.
      3. "DeployIfNotExist"는 자동 수정 모드에서 실행되고 프로덕션
4. 수정 탭
   1. 관리 ID만드는 옵션을 선택하고 "시스템 관리"를 선택합니다.
5. 검토 + 만들기 탭
   1. 만들기 선택
6. 정책 정의 페이지로 돌아가서 할당 탭에서 방금 만든 정책 할당으로 이동합니다.

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Audit [Preview]: Azure security baseline for Linux (by OSConfig)" --scope "$RG_ID" --params '{"banner":{"value":"TEST VALUE. KEEP OUT!"}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

테스트 VM(Virtual Machine)을 만들고 컴퓨터 구성을 준비합니다.

1. 다음 선택 항목을 사용하여 Linux 가상 머신을 만듭니다.
   1. 가상 머신 이름: my-demo-vm-01
   2. 리소스 그룹: 이전에 만든 빈 리소스 그룹(예: my-demo-rg )입니다.
   3. 이미지: Ubuntu Server 22.04 또는 RHEL(RedHat Enterprise Linux) 9
   4. VM 아키텍처: x64
   5. VM 크기: 선택 사항이지만 Standard_B2s 같은 작은 B 시리즈 VM 크기는 테스트에 비용 효율적인 옵션이 될 수 있습니다.
2. VM을 만든 후 컴퓨터 구성에서 작동하도록 VM을 업데이트합니다.
   1. 시스템 할당 ID를 추가합니다(아직 없는 경우).
   2. 컴퓨터 구성 확장 추가(포털에서 Azure Automanage Machine Configuration레이블 지정)

팁

이 가이드에서는 관리 ID 및 Machine Configuration 확장 단계를 수동으로 수행하여 대기 시간을 줄이고 컨텍스트 변경을 줄였습니다. 대규모로 Deploy prerequisites to enable Guest Configuration policies on virtual machines 기본 제공 정책 이니셔티브를 사용하여 충족할 수 있습니다.

1. 시스템 할당 ID를 사용하여 Linux VM 만들기

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   팁

   "아직 액세스 권한이 부여되지 않았습니다..."유사한 경고를 수신하는 것이 정상입니다. Azure Machine Configuration을 사용하려면 특정 리소스 액세스가 아닌 관리 ID를 컴퓨터 있어야 합니다.

2. Azure VM 확장으로 Machine Configuration 에이전트 설치

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

중요: 계속하기 전에 휴식을 취하십시오.

이제 몇 가지 단계가 자동으로 수행됩니다. 이러한 각 단계는 몇 분 정도 걸릴 수 있습니다. 따라서 계속하기 전에 15분 이상 기다려 주세요.

결과 관찰

다음 예제에서는 가져오는 방법을 보여 줍니다.

1. 규정 준수 상태별 컴퓨터 수(프로덕션 규모에서 유용하며 수천 대의 머신이 있을 수 있는 경우)
2. 각각에 대한 준수 상태가 있는 컴퓨터 목록
3. 준수 상태 및 증명(이유이라고도 함)이 있는 기준 규칙의 자세한 목록

팁

다음과 같은 빨간색 비준수 결과가 표시됩니다. 감사 전용 사용 사례는 기존 시스템과 Azure 보안 기준 간의 차이를 검색하는 것입니다.

1. Azure Policy 개요 페이지로 이동합니다.
2. 왼쪽 탐색 창에서 "준수"를 클릭합니다.
3. "내 데모 할당..."을 클릭합니다. 정책 할당
4. 이 페이지에서는 다음을 모두 제공합니다.
   1. 준수 상태별 컴퓨터 수
   2. 각각에 대한 준수 상태가 있는 컴퓨터 목록
5. 규정 준수 상태 및 증거가 있는 기준 규칙의 자세한 목록을 볼 준비가 되면 다음을 수행합니다.
   1. 컴퓨터 목록(리소스 준수아래에 표시됨)에서 테스트 머신의 이름을 선택합니다.
   2. 리소스 보기를 클릭하여 컴퓨터 개요 페이지로 이동합니다.
   3. 왼쪽 탐색 창에서 구성 관리 찾아 선택합니다.
   4. 구성 목록에서 이름이 LinuxSecurityBaseline으로 시작하는 구성을 선택합니다...
   5. 구성 세부 정보 보기에서 필터 드롭다운을 사용하여 준수 규칙과 비준수 규칙을 모두 확인하려면 모든 선택합니다.

다음 Azure CLI 예제는 bash 환경에서 제공됩니다. 다른 셸 환경을 사용하려면 줄 끝 동작, 따옴표 규칙, 문자 이스케이프 등에 대한 예제를 조정해야 할 수 있습니다.

1. 준수 상태별 컴퓨터 수:

   QUERY='
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

2. 각각에 대한 준수 상태가 있는 컴퓨터 목록:

   QUERY='
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

3. 준수 상태 및 증명 정보(이유라고도 함)가 있는 기준 규칙의 자세한 목록은 다음과 같습니다.

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "LinuxSecurityBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

선택 사항: 크기 조정을 경험하기 위해 더 많은 테스트 머신 추가

이 문서에서는 정책이 처음에 비어 있던 리소스 그룹에 할당된 다음 하나의 VM을 얻었습니다. 시스템이 종단 간 작동함을 보여 주지만 대규모 작업 감각을 제공하지는 않습니다. 예를 들어 정책 할당 준수 보기에서 한 컴퓨터의 원형 차트는 인위적으로 느껴질 수 있습니다.

수동으로 또는 자동화를 통해 리소스 그룹에 더 많은 테스트 머신을 추가하는 것이 좋습니다. 이러한 컴퓨터는 Azure VM 또는 Arc 지원 컴퓨터일 수 있습니다. 이러한 머신이 규정 준수(또는 실패)로 전환되는 것을 볼 때 대규모로 Azure 보안 기준을 운용하는 데 더 예리한 감각을 얻을 수 있습니다.

리소스 정리

지속적인 요금을 방지하려면 이 문서에 사용된 리소스 그룹을 삭제하는 것이 좋습니다. 예를 들어 Azure CLI 명령은 az group delete --name "my-demo-rg".

---

관련 콘텐츠

• 피드백을 제공하려면 기능 요청 등에 대해 논의하세요. 연락처: linux_sec_config_mgmt@service.microsoft.com
• Ignite 2024에서 발표된 출시 블로그 대해 읽어보세요.
• 자동 수정 제한된 미리 보기에 등록하여 함께 작업하고 이 기능의 미래를 구체화하는 데 도움이 됩니다.