[PUBLIC PREVIEW] Início Rápido: Auditar a linha de base de segurança do Azure para Linux com um computador de teste

Neste guia, você usará o Azure Policy para auditar um computador de teste na linha de base de segurança do Azure para Linux.

Especificamente, você vai:

1. Criar um grupo de recursos de vazio
2. Importar uma política definição e atribuí-la ao grupo de recursos vazio
3. Criar uma VM no grupo de recursos e observar os resultados da auditoria

Se você não tiver uma conta do Azure, poderá criar uma avaliação gratuita.

Considerações de visualização

Essa implementação de linha de base de segurança é uma versão prévia de .

Para obter canais de comentários, consulte a seção Recursos relacionados no final deste artigo.

Problemas conhecidos ou limitações da versão prévia:

• Incentivamos o teste da política em um ambiente de teste
• A definição de política é importada manualmente para o Azure, não interna (depois que a distribuição for iniciada, ela se tornará uma política interna para o Azure Policy – atualizaremos a distribuição regional nesta página)
• Além dos requisitos típicos de conectividade para os serviços do Azure, os computadores gerenciados exigem acesso a: https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
• A linha de base atual baseia-se no CIS Distro Independent Benchmark – versão 2.0.0 e tem cerca de 63% cobertura dessa linha de base
• A personalização das configurações de linha de base é limitada ao efeito da política – AuditIfNotExist vs. DeployIfNotExist (a correção automática está em Versão Prévia Pública Limitada)

Pré-requisitos

Antes de tentar as etapas neste artigo, verifique se você já tem:

1. Uma conta do Azure em que você tem acesso para criar um grupo de recursos, atribuições de política e uma máquina virtual.
2. Seu ambiente preferencial para interagir com o Azure, como:
   1. [Recomendado] Usar o Azure Cloud Shell (em https://shell.azure.com ou seu equivalente local)
   2. OU Use seu próprio ambiente de computador e shell com a CLI do Azure instalada e conectado
   3. OU Use o portal do Azure (em https://portal.azure.com ou seu equivalente local)

Verifique se você está conectado ao seu ambiente de teste

portal do Azure

1. Use as informações da conta no portal para ver o contexto atual.

   captura de tela

CLI do Azure

1. Você pode usar az account show para ver o contexto atual. Para entrar ou alterar contextos, use az account login.
2. A definição de política será importada para a assinatura, que é mostrada como id em resposta a az account show

Criar um grupo de recursos

Ponta

O uso de "Leste dos EUA" (eastus) como um local de exemplo ao longo deste artigo é arbitrário. Você pode escolher qualquer local disponível do Azure.

portal do Azure

1. No portal do Azure, navegue até grupos de recursos
2. Selecione + Criar
3. Escolha um nome e uma região, como "my-demo-rg" e "East US"
4. Prossiga para Revisão + criar

CLI do Azure

az group create --name my-demo-rg --location eastus

Importar a definição de política

A definição de política de visualização não é interna no Azure no momento. As etapas a seguir ilustram importá-lo como uma definição de política personalizada.

portal do Azure

1. Baixe a definição de política JSON em seu computador e abra-a no editor de texto preferido. Em uma etapa posterior, você copiará e colará o conteúdo desse arquivo.
2. Na barra de pesquisa do portal do Azure, digite Política e selecione Política nos resultados dos Serviços.
3. Na visão geral do Azure Policy, navegue até definições dede criação.
4. Selecione + Definição de políticae preencha o formulário resultante da seguinte maneira:
   1. de local de definição de : escolha sua assinatura de teste do Azure
   2. Name: [Versão prévia]: linha de base de segurança do Azure para Linux (por OSConfig)
   3. Categoria: usar a configuração de convidado de > existente
   4. Regra de política: Excluir o conteúdo pré-preenchido e colar no JSON do arquivo na etapa 1

CLI do Azure

Se você estiver usando um ambiente especializado do Azure, como uma nuvem governamental, talvez seja necessário substituir management.azure.com no comando az rest a seguir pelo ponto de extremidade local.

curl -L https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

Atribuir a política ao grupo de recursos de teste vazio

portal do Azure

1. Na página Definição de política, selecione Atribuirde política, que leva você ao fluxo de trabalho para atribuir a política
2. guia noções básicas do :
   1. Escopo: selecione o grupo de recursos de teste de (por exemplo, my-demo-rg)
      1. Tome cuidado não selecionar a assinatura inteira ou o grupo de recursos errado
   2. Definição de política: [Versão prévia]: linha de base de segurança do Azure para Linux (por OSConfig)
   3. Nome da Atribuição: Auditoria [Versão Prévia]: linha de base de segurança do Azure para Linux (por OSConfig)
3. Guia parâmetros de
   1. Opcional: vá para a guia parâmetros para inspecionar quais parâmetros estão disponíveis. Se você estiver testando com um computador habilitado para Arc em vez de uma Máquina Virtual do Azure, altere "incluir máquinas Arc" para verdadeiro.
   2. Opcional: escolha o efeito da política:
      1. "AuditIfNotExist" significa que a política será auditoria somente
      2. !! Aviso – a correção automática definirá as definições de política para o estado desejado e poderá causar interrupções – essa é uma Visualização Pública Limitada!!
      3. "DeployIfNotExist" significa que ele será executado no modo de de correção automática - não usá-lo no de produção
4. Guia de Correção de
   1. Escolha a opção para criar de identidade gerenciada e escolha "gerenciado pelo sistema"
5. Revisão + criar guia
   1. Selecione Criar
6. De volta à página de definição de política, navegue até a atribuição de política que você acabou de criar, na guia atribuições de

CLI do Azure

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Audit [Preview]: Azure security baseline for Linux (by OSConfig)" --scope "$RG_ID" --params '{"banner":{"value":"TEST VALUE. KEEP OUT!"}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Criar uma VM de teste (Máquina Virtual) e prepará-la para a Configuração de Máquina

portal do Azure

1. Crie uma máquina virtual do Linux, com as seguintes opções:
   1. nome da máquina virtual: my-demo-vm-01
   2. grupo de recursos: o grupo de recursos vazio criado anteriormente, por exemplo, my-demo-rg
   3. Imagem: Ubuntu Server 22.04 ou RHEL (RedHat Enterprise Linux) 9
   4. arquitetura de VM: x64
   5. tamanho da VM: sua escolha, mas observe que tamanhos menores de VM da série B, como Standard_B2s, podem ser uma opção econômica para teste
2. Após a criação da VM, atualize a VM para trabalhar com a Configuração do Computador:
   1. Adicionar uma identidade atribuída pelo sistema, se ainda não estiver presente
   2. Adicionar a extensão de Configuração de Máquina (rotulada no portal como de Configuração de Máquina de Gerenciamento Automatizado do Azure)

Ponta

As etapas de extensão de configuração de máquina e identidade gerenciada foram executadas manualmente neste guia para reduzir a espera e reduzir as alterações de contexto. Em escala, eles podem ser satisfeitos usando o Deploy prerequisites to enable Guest Configuration policies on virtual machines iniciativa de política interna.

CLI do Azure

1. Criar uma VM do Linux com uma identidade atribuída pelo sistema

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   Ponta

   É normal receber um alerta semelhante ao "Nenhum acesso foi dado ainda...". A Configuração de Máquina do Azure requer apenas que o computador tenha uma identidade gerenciada, não qualquer acesso específico a recursos.

2. Instalar o agente de Configuração de Máquina, como uma extensão de VM do Azure

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

IMPORTANTE: faça uma pausa antes de continuar

Várias etapas agora ocorrerão automaticamente. Cada uma dessas etapas pode levar alguns minutos. Portanto, aguarde pelo menos 15 minutos antes de prosseguir.

Observar resultados

Os exemplos a seguir mostram como obter:

1. Contagem de computadores por estado de conformidade (útil em escalas de produção, em que você pode ter milhares de computadores)
2. Lista de computadores com estado de conformidade para cada
3. Lista detalhada de regras de linha de base com estado de conformidade e evidência (também conhecida como Razões) para cada

Ponta

Espere ver vermelho não compatível resultados no seguinte. O caso de uso somente auditoria é sobre a descoberta da diferença entre os sistemas existentes e a linha de base de segurança do Azure.

portal do Azure

1. Navegue até a página de visão geral do Azure Policy
2. Clique em "Conformidade" na navegação à esquerda
3. Clique em "Minha atribuição de demonstração de..." atribuição de política
4. Observe que esta página fornece ambos:
   1. Contagem de computadores por estado de conformidade
   2. Lista de computadores com estado de conformidade para cada
5. Quando você estiver pronto para ver uma lista detalhada de regras de linha de base com estado de conformidade e evidências, faça o seguinte:
   1. Na lista de computadores (mostrada em de conformidade de recursos) selecione o nome do computador de teste
   2. Clique em Exibir de recursos para ir para a página de visão geral do computador
   3. Na navegação à esquerda, localize e selecione de gerenciamento de configuração
   4. Na lista de configurações, selecione a configuração cujo nome começa com LinuxSecurityBaseline...
   5. No modo de exibição de detalhes de configuração, use a lista suspensa de filtro para Selecionar todos os se quiser ver regras de conformidade e não compatíveis

CLI do Azure

Os exemplos da CLI do Azure a seguir são de um ambiente de de bash. Para usar outro ambiente de shell, talvez seja necessário ajustar exemplos de comportamento de término de linha, regras de aspas, escape de caracteres e assim por diante.

1. Contagem de computadores por estado de conformidade:

   QUERY='
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

2. Lista de computadores com estado de conformidade para cada um:

   QUERY='
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

3. Lista detalhada de regras de linha de base com estado de conformidade e evidência (também conhecida como Razões) para cada um:

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "LinuxSecurityBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

Opcional: adicionar mais computadores de teste para experimentar a escala

Neste artigo, a política foi atribuída a um grupo de recursos que inicialmente estava vazio e ganhou uma VM. Embora demonstre que o sistema está funcionando de ponta a ponta, ele não fornece uma sensação de operações em escala. Por exemplo, na exibição de conformidade de atribuição de política, um gráfico de pizza de uma máquina pode parecer artificial.

Considere adicionar mais computadores de teste ao grupo de recursos, seja manualmente ou por meio da automação. Esses computadores podem ser VMs do Azure ou computadores habilitados para Arc. Ao ver que esses computadores entram em conformidade (ou até mesmo falham), você pode obter uma noção mais profunda de operacionalização da linha de base de segurança do Azure em escala.

Limpar recursos

Para evitar encargos contínuos, considere excluir o grupo de recursos usado neste artigo. Por exemplo, o comando da CLI do Azure seria az group delete --name "my-demo-rg".

---

Conteúdo relacionado

• Para fornecer comentários, discutir solicitações de recursos etc. contate: linux_sec_config_mgmt@service.microsoft.com
• Leia sobre o blog de lançamento do anunciado no Ignite 2024
• Inscrição para a Visualização Limitada do de Correção Automática para trabalhar em conjunto conosco e ajudar a moldar o futuro dessa funcionalidade