[PUBLICZNA WERSJA ZAPOZNAWCZA] Szybki start: inspekcja punktu odniesienia zabezpieczeń platformy Azure dla systemu Linux przy użyciu maszyny testowej

raportu zgodności

W tym przewodniku użyjesz usługi Azure Policy do przeprowadzenia inspekcji maszyny testowej pod kątem punktu odniesienia zabezpieczeń platformy Azure dla systemu Linux.

W szczególności:

1. Tworzenie pustej grupy zasobów
2. Importowanie definicji zasad i przypisywanie jej do pustej grupy zasobów
3. Tworzenie maszyny wirtualnej w grupie zasobów i obserwowanie wyników inspekcji

Jeśli nie masz konta platformy Azure, możesz utworzyć bezpłatną wersję próbną.

Zagadnienia dotyczące wersji zapoznawczej

Ta implementacja punktu odniesienia zabezpieczeń to wczesna wersja zapoznawcza.

Aby uzyskać informacje o kanałach opinii, zobacz sekcję Powiązane zasoby na końcu tego artykułu.

Znane problemy lub ograniczenia wersji zapoznawczej:

• Zachęcamy do testowania zasad w środowisku testowym
• Definicja zasad jest ręcznie importowana na platformę Azure, a nie wbudowana (po uruchomieniu wdrożenia zostanie ona wbudowana w usłudze Azure Policy — będziemy aktualizować wdrożenie regionalne na tej stronie)
• Oprócz typowych wymagań dotyczących łączności dla usług platformy Azure zarządzane maszyny wymagają dostępu do: https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
• Bieżący punkt odniesienia jest oparty na CIS Distro Independent Benchmark — wersja 2.0.0 i ma około 63% pokrycie tego punktu odniesienia
• Dostosowanie ustawień punktu odniesienia jest ograniczone do efektu zasad — AuditIfNotExist a DeployIfNotExist (automatyczne korygowanie jest dostępne w ograniczonej publicznej wersji zapoznawczej)

Warunki wstępne

Przed podjęciem próby wykonania kroków opisanych w tym artykule upewnij się, że masz już następujące elementy:

1. Konto platformy Azure, na którym masz dostęp do tworzenia grupy zasobów, przypisań zasad i maszyny wirtualnej.
2. Preferowane środowisko do interakcji z platformą Azure, takie jak:
   1. [Zalecane] Użyj usługi Azure Cloud Shell (w https://shell.azure.com lub lokalnego odpowiednika)
   2. LUB Użyj własnego środowiska maszyny i powłoki z zainstalowanym i zalogowanym interfejsem wiersza polecenia platformy Azure
   3. LUB Użyj witryny Azure Portal (https://portal.azure.com lub odpowiednika lokalnego)

Sprawdź, czy zalogowałeś się do środowiska testowego

witryny Azure Portal

1. Użyj informacji o koncie w portalu, aby wyświetlić bieżący kontekst.

   przechwytywanie ekranu

interfejsu wiersza polecenia platformy Azure

1. Możesz użyć az account show, aby wyświetlić bieżący kontekst. Aby zalogować się lub zmienić konteksty, użyj az account login.
2. Definicja zasad zostanie zaimportowana do subskrypcji, która jest wyświetlana jako id w odpowiedzi na az account show

Tworzenie grupy zasobów

Napiwek

Użycie "Wschodnie stany USA" (eastus) jako przykładowej lokalizacji w tym artykule jest dowolne. Możesz wybrać dowolną dostępną lokalizację platformy Azure.

witryny Azure Portal

1. W witrynie Azure Portal przejdź do grupy zasobów
2. Wybieranie i tworzenie
3. Wybierz nazwę i region, taki jak "my-demo-rg" i "Wschodnie stany USA"
4. Przejdź do przeglądanie i tworzenie

interfejsu wiersza polecenia platformy Azure

az group create --name my-demo-rg --location eastus

Importowanie definicji zasad

Definicja zasad w wersji zapoznawczej nie jest obecnie wbudowana na platformę Azure. Poniższe kroki ilustrują importowanie go jako niestandardowej definicji zasad.

witryny Azure Portal

1. Pobierz pliku JSON definicji zasad na komputer i otwórz go w preferowanym edytorze tekstów. W późniejszym kroku skopiujesz i wklejesz zawartość tego pliku.
2. Na pasku wyszukiwania w witrynie Azure Portal wpisz Zasady i wybierz pozycję Zasady w wynikach usług.
3. Z przeglądu usługi Azure Policy przejdź do Authoring>Definitions.
4. Wybierz i definicję zasadi wypełnij wynikowy formularz w następujący sposób:
   1. lokalizacja definicji: <wybrać testowej subskrypcji platformy Azure>
   2. nazwa: [wersja zapoznawcza]: punkt odniesienia zabezpieczeń platformy Azure dla systemu Linux (według konfiguracji systemu operacyjnego)
   3. kategorii: użyj istniejącej konfiguracji gościa >
   4. reguła zasad: Usuń wstępnie wypełnionej zawartości, a następnie wklej w formacie JSON z pliku w kroku 1

interfejsu wiersza polecenia platformy Azure

Jeśli używasz wyspecjalizowanego środowiska platformy Azure, takiego jak chmura dla instytucji rządowych, może być konieczne zastąpienie management.azure.com w poniższym poleceniu az rest lokalnym punktem końcowym.

curl -L https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

Przypisywanie zasad do pustej grupy zasobów testowych

witryny Azure Portal

1. Na stronie Definicja zasad wybierz pozycję Przypisz zasady, co spowoduje przejście do przepływu pracy na potrzeby przypisywania zasad
2. karta Podstawowe:
   1. zakres: wybierz test grupy zasobów (na przykład my-demo-rg)
      1. nie wybrać całej subskrypcji lub niewłaściwej grupy zasobów
   2. definicja zasad: [wersja zapoznawcza]: Punkt odniesienia zabezpieczeń platformy Azure dla systemu Linux (według konfiguracji systemu operacyjnego)
   3. nazwa przypisania: Inspekcja [wersja zapoznawcza]: Punkt odniesienia zabezpieczeń platformy Azure dla systemu Linux (według konfiguracji systemu operacyjnego)
3. Karta Parametry
   1. Opcjonalnie: przejdź do karty parametry , aby sprawdzić, które parametry są dostępne. Jeśli testujesz przy użyciu maszyny z obsługą usługi Arc, a nie maszyny wirtualnej platformy Azure, pamiętaj, aby zmienić wartość "include Arc machines" na true.
   2. Opcjonalnie: wybierz efekt zasad:
      1. "AuditIfNotExist" oznacza, że zasady będą inspekcji tylko
      2. !! Ostrzeżenie — automatyczne korygowanie ustawi definicje zasad na żądany stan i może spowodować przerwy — jest to ograniczona publiczna wersja zapoznawcza!!
      3. "DeployIfNotExist" oznacza, że będzie on uruchomiony w trybie automatycznego korygowania — nie używać go w środowisku produkcyjnym
4. Karta korygowania
   1. Wybierz opcję tworzenia tożsamości zarządzanej i wybierz pozycję "Zarządzana przez system"
5. karta Przeglądanie i tworzenie
   1. Wybierz pozycję Utwórz
6. Wróć do strony definicji zasad, przejdź do właśnie utworzonego przypisania zasad na karcie Przypisania

interfejsu wiersza polecenia platformy Azure

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Audit [Preview]: Azure security baseline for Linux (by OSConfig)" --scope "$RG_ID" --params '{"banner":{"value":"TEST VALUE. KEEP OUT!"}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Tworzenie testowej maszyny wirtualnej (maszyny wirtualnej) i przygotowanie jej do konfiguracji maszyny

witryny Azure Portal

1. Utwórz maszynę wirtualną z systemem Linux z następującymi opcjami:
   1. Nazwa maszyny wirtualnej: my-demo-vm-01
   2. grupa zasobów: utworzona wcześniej pusta grupa zasobów, np. my-demo-rg
   3. obraz: Ubuntu Server 22.04 lub RedHat Enterprise Linux (RHEL) 9
   4. architektura maszyny wirtualnej : x64
   5. rozmiar maszyny wirtualnej: Wybór jest jednak następujący: mniejsze rozmiary maszyn wirtualnych serii B, takie jak Standard_B2s, mogą być opłacalną opcją testowania
2. Po utworzeniu maszyny wirtualnej zaktualizuj maszynę wirtualną do pracy z konfiguracją maszyny:
   1. Dodawanie tożsamości przypisanej przez system, jeśli jeszcze nie istnieje
   2. Dodaj rozszerzenie Konfiguracja maszyny (oznaczone w portalu jako Azure Automanage Machine Configuration)

Napiwek

Kroki tożsamości zarządzanej i rozszerzenia konfiguracji maszyny zostały wykonane ręcznie w tym przewodniku, aby zmniejszyć oczekiwanie i zmniejszyć zmiany kontekstu. Na dużą skalę można je spełnić przy użyciu wbudowanej inicjatywy zasad Deploy prerequisites to enable Guest Configuration policies on virtual machines.

interfejsu wiersza polecenia platformy Azure

1. Tworzenie maszyny wirtualnej z systemem Linux z tożsamością przypisaną przez system

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   Napiwek

   Zwykle otrzymujesz alert podobny do "Nie podano jeszcze dostępu...". Usługa Azure Machine Configuration wymaga tylko, aby maszyny tożsamości zarządzanej, a nie żadnego określonego dostępu do zasobów.

2. Instalowanie agenta konfiguracji maszyny jako rozszerzenia maszyny wirtualnej platformy Azure

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

WAŻNE: Przed kontynuowaniem wykonaj przerwę

Teraz nastąpi automatyczne wykonanie kilku kroków. Każde z tych kroków może potrwać kilka minut. W związku z tym przed kontynuowaniem zaczekaj na co najmniej 15 minut.

Obserwowanie wyników

W poniższych przykładach pokazano, jak uzyskać:

1. Liczba maszyn według stanu zgodności (przydatna w skali produkcyjnej, gdzie mogą istnieć tysiące maszyn)
2. Lista maszyn ze stanem zgodności dla każdego
3. Szczegółowa lista reguł punktu odniesienia ze stanem zgodności i dowodami (znanymi również jako Przyczyny) dla każdego z nich

Napiwek

Oczekiwano, że czerwone wyniki są niezgodne. Przypadek użycia tylko do inspekcji dotyczy odnajdywania różnicy między istniejącymi systemami a punktem odniesienia zabezpieczeń platformy Azure.

witryny Azure Portal

1. Przejdź do strony przeglądu usługi Azure Policy
2. Kliknij pozycję "Zgodność" w obszarze nawigacji po lewej stronie
3. Kliknij pozycję "Moje przypisanie demonstracyjne..." przypisanie zasad
4. Zwróć uwagę, że ta strona zawiera oba następujące elementy:
   1. Liczba maszyn według stanu zgodności
   2. Lista maszyn ze stanem zgodności dla każdego
5. Gdy wszystko będzie gotowe do wyświetlenia szczegółowej listy reguł punktu odniesienia ze stanem zgodności i dowodami, wykonaj następujące czynności:
   1. Na liście maszyn (pokazanych w obszarze zgodność zasobów) wybierz nazwę maszyny testowej
   2. Kliknij pozycję Wyświetl zasobów, aby przejść do strony przeglądu maszyny
   3. W obszarze nawigacji po lewej stronie znajdź i wybierz pozycję Zarządzanie konfiguracją
   4. Na liście konfiguracji wybierz konfigurację, której nazwa rozpoczyna się od LinuxSecurityBaseline...
   5. W widoku szczegółów konfiguracji użyj listy rozwijanej filtru, aby Wybierz wszystkie, jeśli chcesz zobaczyć reguły zgodności i niezgodne

interfejsu wiersza polecenia platformy Azure

Poniższe przykłady interfejsu wiersza polecenia platformy Azure pochodzą ze środowiska powłoki bash . Aby użyć innego środowiska powłoki, może być konieczne dostosowanie przykładów zachowania zakończenia wiersza, reguł cudzysłowu, ucieczki znaków itd.

1. Liczba maszyn według stanu zgodności:

   QUERY='
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

2. Lista maszyn ze stanem zgodności dla każdego z nich:

   QUERY='
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

3. Szczegółowa lista reguł odniesienia ze stanem zgodności i dowodami (znanymi również jako Reasons) dla każdego z nich:

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "LinuxSecurityBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

Opcjonalnie: Dodawanie większej liczby maszyn testowych do skalowania

W tym artykule zasady zostały przypisane do grupy zasobów, która początkowo była pusta, a następnie zyskała jedną maszynę wirtualną. Chociaż pokazuje, że system działa kompleksowo, nie zapewnia sensu operacji na dużą skalę. Na przykład w widoku zgodności przypisania zasad wykres kołowy jednej maszyny może czuć się sztuczny.

Rozważ dodanie większej liczby maszyn testowych do grupy zasobów, niezależnie od tego, czy jest to ręczne, czy za pośrednictwem automatyzacji. Te maszyny mogą być maszynami wirtualnymi platformy Azure lub maszynami z obsługą usługi Arc. Jak widzisz, że te maszyny są zgodne (a nawet kończą się niepowodzeniem), możesz uzyskać bardziej chętny wgląd w operacjonalizacja punktu odniesienia zabezpieczeń platformy Azure na dużą skalę.

Czyszczenie zasobów

Aby uniknąć bieżących opłat, rozważ usunięcie grupy zasobów używanej w tym artykule. Na przykład polecenie interfejsu wiersza polecenia platformy Azure będzie az group delete --name "my-demo-rg".

---

Powiązana zawartość

• Aby przekazać opinię, omówić żądania funkcji itp.: linux_sec_config_mgmt@service.microsoft.com
• Przeczytaj o blogu dotyczącym uruchamiania ogłoszonym na Konferencji Ignite 2024
• utworzyć konto w ograniczonej wersji zapoznawczej automatycznego korygowania, aby współpracować z nami i pomóc w kształtowaniu przyszłości tej możliwości