Zalecenia dotyczące zabezpieczeń obrazów witryny Azure Marketplace
Przed przekazaniem obrazów do witryny Azure Marketplace obraz musi zostać zaktualizowany o kilka wymagań dotyczących konfiguracji zabezpieczeń. Te wymagania pomagają zachować wysoki poziom zabezpieczeń dla obrazów rozwiązań partnerskich w witrynie Azure Marketplace.
Przed przesłaniem go do witryny Azure Marketplace upewnij się, że na obrazie uruchomiono wykrywanie luk w zabezpieczeniach. Jeśli wykryjesz lukę w zabezpieczeniach we własnym, już opublikowanym obrazie, musisz poinformować klientów w odpowiednim czasie zarówno o szczegółach luki w zabezpieczeniach, jak i o tym, jak je poprawić w bieżących wdrożeniach.
Obrazy systemu operacyjnego open source i systemu operacyjnego typu open source
| Kategoria | Zaznacz |
|---|---|
| Zabezpieczenia | Zainstaluj wszystkie najnowsze poprawki zabezpieczeń dla dystrybucji systemu Linux. |
| Zabezpieczenia | Postępuj zgodnie z wytycznymi branżowymi, aby zabezpieczyć obraz maszyny wirtualnej dla określonej dystrybucji systemu Linux. |
| Zabezpieczenia | Ogranicz obszar ataków, zachowując minimalny rozmiar tylko przy użyciu niezbędnych ról, funkcji, usług i portów sieciowych systemu Windows Server. |
| Zabezpieczenia | Skanuj kod źródłowy i wynikowy obraz maszyny wirtualnej pod kątem złośliwego oprogramowania. |
| Zabezpieczenia | Obraz wirtualnego dysku twardego zawiera tylko niezbędne zablokowane konta, które nie mają domyślnych haseł, które zezwalałyby na logowanie interakcyjne; bez tylnych drzwi. |
| Zabezpieczenia | Wyłącz reguły zapory, chyba że aplikacja działa na nich, na przykład na urządzeniu zapory. |
| Zabezpieczenia | Usuń wszystkie poufne informacje z obrazu dysku VHD, takie jak testowanie kluczy SSH, znanych plików hostów, plików dziennika i niepotrzebnych certyfikatów. |
| Zabezpieczenia | Unikaj używania lvm. LvM jest narażony na problemy z zapisywaniem pamięci podręcznej z funkcjami hypervisor maszyn wirtualnych, a także zwiększa złożoność odzyskiwania danych dla użytkowników obrazu. |
| Zabezpieczenia | Uwzględnij najnowsze wersje wymaganych bibliotek: — Pakiet OpenSSL w wersji 1.0 lub nowszej — Python 2.5 lub nowszy (język Python 2.6 lub nowszy) — pakiet pyasn1 języka Python, jeśli nie został jeszcze zainstalowany — d.OpenSSL w wersji 1.0 lub nowszej |
| Zabezpieczenia | Wyczyść wpisy historii powłoki/powłoki. Może to obejmować prywatne informacje lub poświadczenia zwykłego tekstu dla innych systemów. |
| Sieć | Domyślnie dołącz serwer SSH. Ustaw protokół SSH na wartość sshd config z następującą opcją: ClientAliveInterval 180. |
| Sieć | Usuń dowolną niestandardową konfigurację sieci z obrazu. Usuń plik resolv.conf: rm /etc/resolv.conf. |
| Wdrożenie | Zainstaluj najnowszego agenta systemu Linux platformy Azure. - Zainstaluj przy użyciu pakietu RPM lub Deb. — Można również użyć procesu instalacji ręcznej, ale pakiety instalatora są zalecane i preferowane. — W przypadku ręcznego instalowania agenta z repozytorium GitHub najpierw skopiuj plik do i uruchom polecenie (jako katalog główny): # /usr/sbin/waagent -install # chmod 755 /usr/sbin/waagent plik konfiguracji agenta zostanie umieszczony w /etc/waagent.conflokalizacji ./usr/sbin waagent |
| Wdrożenie | Upewnij się, że pomoc techniczna platformy Azure może zapewnić naszym partnerom dane wyjściowe konsoli szeregowej w razie potrzeby i zapewnić odpowiedni limit czasu instalowania dysku systemu operacyjnego z magazynu w chmurze. Dodaj następujące parametry do obrazu Wiersz rozruchu jądra: console=ttyS0 earlyprintk=ttyS0 rootdelay=300. |
| Wdrożenie | Brak partycji wymiany na dysku systemu operacyjnego. Za pomocą agenta systemu Linux można zażądać zamiany na dysku zasobów lokalnych. |
| Wdrożenie | Należy utworzyć jedną partycję główną dla dysku systemu operacyjnego. |
| Wdrożenie | Tylko 64-bitowy system operacyjny. |
Obrazy systemu Windows Server
| Kategoria | Zaznacz |
|---|---|
| Zabezpieczenia | Użyj bezpiecznego obrazu podstawowego systemu operacyjnego. Wirtualny dysk twardy używany do źródła dowolnego obrazu opartego na systemie Windows Server musi pochodzić z obrazów systemu operacyjnego Windows Server udostępnianych za pośrednictwem platformy Microsoft Azure. |
| Zabezpieczenia | Zainstaluj wszystkie najnowsze aktualizacje zabezpieczeń. |
| Zabezpieczenia | Aplikacje nie powinny zależeć od ograniczonych nazw użytkowników, takich jak administrator, główny lub administrator. |
| Zabezpieczenia | Włącz szyfrowanie dysków funkcją BitLocker dla dysków twardych systemu operacyjnego i dysków twardych danych. |
| Zabezpieczenia | Ogranicz obszar ataków, zachowując minimalny rozmiar tylko z włączonymi wymaganymi rolami, funkcjami, usługami i portami sieciowymi systemu Windows Server. |
| Zabezpieczenia | Skanuj kod źródłowy i wynikowy obraz maszyny wirtualnej pod kątem złośliwego oprogramowania. |
| Zabezpieczenia | Ustaw aktualizację zabezpieczeń obrazów systemu Windows Server na automatyczną aktualizację. |
| Zabezpieczenia | Obraz wirtualnego dysku twardego zawiera tylko niezbędne zablokowane konta, które nie mają domyślnych haseł, które zezwalałyby na logowanie interakcyjne; bez tylnych drzwi. |
| Zabezpieczenia | Wyłącz reguły zapory, chyba że aplikacja działa na nich, na przykład na urządzeniu zapory. |
| Zabezpieczenia | Usuń wszystkie poufne informacje z obrazu wirtualnego dysku twardego, w tym pliki HOSTS, pliki dziennika i niepotrzebne certyfikaty. |
| Wdrożenie | Tylko 64-bitowy system operacyjny. |
Nawet jeśli Twoja organizacja nie ma obrazów w witrynie Azure Marketplace, rozważ sprawdzenie konfiguracji obrazów systemu Windows i Linux pod kątem tych zaleceń.