[OPENBARE PREVIEW] quickstart: Azure-beveiligingsbasislijn voor Linux controleren met een testmachine

In deze handleiding gebruikt u Azure Policy om een testmachine te controleren op basis van de Azure-beveiligingsbasislijn voor Linux.

In het bijzonder gaat u het volgende doen:

1. Een lege resourcegroep maken
2. Een -beleid importeren definitie en deze toewijzen aan de lege resourcegroep
3. Maak een VM- in de resourcegroep en bekijk de controleresultaten

Als u geen Azure-account hebt, kunt u een gratis proefversiemaken.

Overwegingen voor preview

Deze implementatie van de beveiligingsbasislijn is een vroege preview-.

Zie de sectie gerelateerde resources aan het einde van dit artikel voor feedbackkanalen.

Bekende problemen of beperkingen van de preview:

• We raden u aan het beleid in een testomgeving te testen
• Beleidsdefinitie wordt handmatig geïmporteerd in Azure, niet ingebouwd (zodra de implementatie wordt gestart, wordt het een ingebouwd beleid voor Azure Policy. De regionale implementatie op deze pagina wordt bijgewerkt)
• Naast typische connectiviteitsvereisten voor Azure-services hebben beheerde machines toegang nodig tot: https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
• De huidige basislijn is gebaseerd op de CIS Distro Independent Benchmark - versie 2.0.0 en heeft ongeveer 63% dekking van die basislijn
• Aanpassing van basislijninstellingen is beperkt tot effect van het beleid - AuditIfNotExist versus DeployIfNotExist (automatisch herstel is in beperkte openbare preview)

Voorwaarden

Voordat u de stappen in dit artikel uitvoert, moet u ervoor zorgen dat u het volgende al hebt:

1. Een Azure-account waar u toegang hebt om een resourcegroep, beleidstoewijzingen en een virtuele machine te maken.
2. Uw voorkeursomgeving voor interactie met Azure, zoals:
   1. [Aanbevolen] Azure Cloud Shell gebruiken (op https://shell.azure.com of uw lokale equivalent)
   2. OF Uw eigen machine- en shellomgeving gebruiken met Azure CLI geïnstalleerd en aangemeld
   3. OF Azure Portal gebruiken (op https://portal.azure.com of uw lokale equivalent)

Controleer of u bent aangemeld bij uw testomgeving

Azure Portal

1. Gebruik de accountgegevens in de portal om uw huidige context te bekijken.

   

Azure CLI-

1. U kunt az account show gebruiken om uw huidige context te bekijken. Gebruik az account loginom u aan te melden of contexten te wijzigen.
2. De beleidsdefinitie wordt geïmporteerd in het abonnement dat wordt weergegeven als id als reactie op az account show

Een resourcegroep maken

Fooi

Het gebruik van 'VS - oost' (eastus) als voorbeeldlocatie in dit artikel is willekeurig. U kunt elke beschikbare Azure-locatie kiezen.

Azure Portal

1. Blader in Azure Portal naar Resourcegroepen
2. Selecteer + maken
3. Kies een naam en regio, zoals 'my-demo-rg' en 'VS - oost'
4. Ga door naar Beoordelen en maken

Azure CLI-

az group create --name my-demo-rg --location eastus

De beleidsdefinitie importeren

De preview-beleidsdefinitie is momenteel niet ingebouwd in Azure. De volgende stappen illustreren het importeren als een aangepaste beleidsdefinitie.

Azure Portal

1. Download de JSON- van de beleidsdefinitie naar uw computer en open deze in de teksteditor van uw voorkeur. In een latere stap kopieert en plakt u de inhoud van dit bestand.
2. Typ beleid in de zoekbalk van Azure Portal en selecteer Policy in de resultaten van services.
3. Ga in het overzicht van Azure Policy naar Ontwerp>Definities.
4. Selecteer + Beleidsdefinitieen vul het resulterende formulier als volgt in:
   1. definitielocatie: <uw Azure-testabonnement kiezen>
   2. naam: [preview]: Azure-beveiligingsbasislijn voor Linux (door OSConfig)
   3. Category: Bestaande > Gastconfiguratie gebruiken
   4. beleidsregel: de vooraf ingevulde inhoud verwijderen en plak in de JSON uit het bestand in stap 1

Azure CLI-

Als u een gespecialiseerde Azure-omgeving zoals een overheidscloud gebruikt, moet u mogelijk management.azure.com vervangen in de volgende az rest opdracht door uw lokale eindpunt.

curl -L https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

Het beleid toewijzen aan uw lege testresourcegroep

Azure Portal

1. Selecteer op de pagina Beleidsdefinitie Beleid toewijzen. Hiermee gaat u naar de werkstroom voor het toewijzen van het beleid
2. tabblad Basisinformatie:
   1. Bereik: selecteer uw test resourcegroep (bijvoorbeeld my-demo-rg)
      1. Zorg ervoor dat niet om het hele abonnement of de verkeerde resourcegroep te selecteren
   2. beleidsdefinitie: [preview]: Azure-beveiligingsbasislijn voor Linux (per OSConfig)
   3. toewijzingsnaam: Controleren [preview]: Azure-beveiligingsbasislijn voor Linux (door OSConfig)
3. tabblad Parameters
   1. Optioneel: ga door naar het tabblad Parameters om te controleren welke parameters beschikbaar zijn. Als u test met een machine met Arc in plaats van een virtuele Machine van Azure, moet u 'Arc-machines opnemen' wijzigen in waar.
   2. Optioneel: Kies het effect van het beleid:
      1. 'AuditIfNotExist': het beleid wordt alleen controle
      2. !! Waarschuwing: de automatische herstelbewerking stelt de beleidsdefinities in op de gewenste status en kan onderbrekingen veroorzaken- dit is een beperkte openbare preview!!
      3. DeployIfNotExist betekent dat deze wordt uitgevoerd in modus voor automatisch herstel- deze niet gebruiken in productie
4. tabblad Herstel
   1. Kies de optie om beheerde identiteit te makenen kies 'Door systeem beheerd'
5. tabblad Controleren en maken
   1. Selecteer Maken
6. Ga terug op de pagina beleidsdefinitie naar de beleidstoewijzing die u zojuist hebt gemaakt, onder het tabblad Toewijzingen

Azure CLI-

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Audit [Preview]: Azure security baseline for Linux (by OSConfig)" --scope "$RG_ID" --params '{"banner":{"value":"TEST VALUE. KEEP OUT!"}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Een test-VM (virtuele machine) maken en voorbereiden op machineconfiguratie

Azure Portal

1. Maak een virtuele Linux-machine met de volgende opties:
   1. naam van virtuele machine: my-demo-vm-01
   2. resourcegroep: de lege resourcegroep die u eerder hebt gemaakt, bijvoorbeeld my-demo-rg
   3. Image: Ubuntu Server 22.04 of RedHat Enterprise Linux (RHEL) 9
   4. VM-architectuur: x64
   5. VM-grootte: uw keuze, maar houd er rekening mee dat kleinere VM-grootten uit de B-serie, zoals Standard_B2s, een rendabele optie kunnen zijn voor het testen
2. Nadat de VM is gemaakt, werkt u de VM bij zodat deze werkt met machineconfiguratie:
   1. Een door het systeem toegewezen identiteit toevoegen, als deze nog niet aanwezig is
   2. Voeg de machineconfiguratie-extensie toe (gelabeld in de portal als Azure Automanage Machine Configuration)

Fooi

De stappen voor de extensie voor beheerde identiteiten en machineconfiguratie zijn handmatig uitgevoerd in deze handleiding om wachten te verminderen en om contextwijzigingen te verminderen. Op schaal kunnen deze worden voldaan met behulp van het ingebouwde beleidsinitiatief Deploy prerequisites to enable Guest Configuration policies on virtual machines.

Azure CLI-

1. Een Virtuele Linux-machine maken met een door het systeem toegewezen identiteit

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   Fooi

   Het is normaal om een waarschuwing te ontvangen die vergelijkbaar is met 'Er is nog geen toegang gegeven...'. Voor Azure Machine Configuration is alleen vereist dat de machine een beheerde identiteit, geen specifieke resourcetoegang.

2. De Machine Configuration-agent installeren als een Azure VM-extensie

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

BELANGRIJK: Neem een pauze voordat u doorgaat

Er worden nu automatisch verschillende stappen uitgevoerd. Elk van deze stappen kan enkele minuten duren. Wacht daarom minstens 15 minuten voordat u doorgaat.

Resultaten bekijken

In de volgende voorbeelden ziet u hoe u dit kunt doen:

1. Aantal machines op nalevingsstatus (handig op productieschaal, waar u mogelijk duizenden machines hebt)
2. Lijst met machines met nalevingsstatus voor elke
3. Gedetailleerde lijst met basislijnregels met nalevingsstatus en bewijs (ook wel bekend als Redenen) voor elk

Fooi

Verwacht dat rode niet-compatibele het volgende oplevert. Het gebruiksscenario voor alleen controle gaat over het detecteren van het verschil tussen bestaande systemen en de Azure-beveiligingsbasislijn.

Azure Portal

1. Ga naar de overzichtspagina van Azure Policy
2. Klik in het linkernavigatievenster op Naleving
3. Klik op uw 'Mijn demoopdracht van...' beleidstoewijzing
4. Houd er rekening mee dat deze pagina beide mogelijkheden biedt:
   1. Aantal machines op nalevingsstatus
   2. Lijst met machines met nalevingsstatus voor elke
5. Wanneer u klaar bent om een gedetailleerde lijst met basislijnregels met nalevingsstatus en bewijs te zien, gaat u als volgt te werk:
   1. Selecteer in de lijst met machines (weergegeven onder Resourcecompatibiliteit) de naam van uw testmachine
   2. Klik op Resource weergeven om naar de overzichtspagina van de machine te gaan
   3. Zoek en selecteer in het linkernavigatievenster Configuratiebeheer
   4. Selecteer in de lijst met configuraties de configuratie waarvan de naam begint met LinuxSecurityBaseline...
   5. Gebruik in de weergave configuratiedetails de vervolgkeuzelijst filter om Selecteer alle als u zowel nalevings- als niet-compatibele regels wilt zien

Azure CLI-

De volgende Azure CLI-voorbeelden zijn afkomstig uit een bash--omgeving. Als u een andere shell-omgeving wilt gebruiken, moet u mogelijk voorbeelden aanpassen voor regeleindgedrag, aanhalingsregels, escape-tekens, enzovoort.

1. Aantal machines op nalevingsstatus:

   QUERY='
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

2. Lijst met machines met nalevingsstatus voor elk:

   QUERY='
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

3. Gedetailleerde lijst met basislijnregels met nalevingsstatus en bewijs (ook wel bekend als Redenen) voor elk:

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "LinuxSecurityBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

Optioneel: Meer testmachines toevoegen om schaal te ervaren

In dit artikel is het beleid toegewezen aan een resourcegroep die aanvankelijk leeg was en vervolgens één virtuele machine heeft gekregen. Hoewel het systeem end-to-end aan het werk is, biedt het geen idee van bewerkingen op schaal. In de nalevingsweergave voor beleidstoewijzingen kan een cirkeldiagram van één computer bijvoorbeeld kunstmatig aanvoelen.

Overweeg om meer testmachines toe te voegen aan de resourcegroep, of dit nu handmatig of via automatisering is. Deze machines kunnen Azure-VM's of machines met Arc zijn. Naarmate u ziet dat deze machines voldoen aan de naleving (of zelfs mislukken), kunt u een scherper beeld krijgen van het operationeel maken van de Azure-beveiligingsbasislijn op schaal.

Resources opschonen

Als u doorlopende kosten wilt voorkomen, kunt u overwegen de resourcegroep te verwijderen die in dit artikel wordt gebruikt. De Azure CLI-opdracht wordt bijvoorbeeld az group delete --name "my-demo-rg".

---

Verwante inhoud

• Als u feedback wilt geven, functieaanvragen, enzovoort wilt bespreken, neemt u contact op met: linux_sec_config_mgmt@service.microsoft.com
• Lees meer over de lanceringsblog aangekondigd op Ignite 2024
• aanmelden voor de beperkte preview van automatische herstel om samen met ons samen te werken en de toekomst van deze mogelijkheid vorm te geven