[VISUALIZAÇÃO PÚBLICA] Guia de início rápido: auditar a linha de base de segurança do Azure para Linux com uma máquina de teste
Neste guia, você usará a Política do Azure para auditar uma máquina de teste em relação à linha de base de segurança do Azure para Linux.
Especificamente, irá:
- Criar um grupo de recursos vazio
- Importar uma definição de de política de
e atribuí-la ao grupo de recursos vazio - Criar um de VM
no grupo de recursos e observar os resultados da auditoria
Se não tiver uma conta do Azure, pode criar uma versão de avaliação gratuita.
Considerações de pré-visualização
Esta implementação de linha de base de segurança é uma pré-visualização .
Para canais de feedback, consulte a seção Recursos relacionados no final deste artigo.
Problemas conhecidos ou limitações da visualização:
- Incentivamos o teste da política em um ambiente de teste
- A definição de política é importada manualmente para o Azure, não interna (assim que a distribuição for iniciada, ela se tornará uma política interna para a Política do Azure - atualizaremos a distribuição regional nesta página)
- Além dos requisitos de conectividade típicos para os serviços do Azure, as máquinas gerenciadas exigem acesso a:
https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
- A linha de base atual é baseada no CIS Distro Independent Benchmark - versão 2.0.0 e tem cerca de 63% de cobertura dessa linha de base
- A personalização das configurações da linha de base é limitada ao efeito da política - AuditIfNotExist vs. DeployIfNotExist (a correção automática está em Visualização Pública Limitada)
Pré-requisitos
Antes de tentar as etapas neste artigo, verifique se você já tem:
- Uma conta do Azure onde você tem acesso para criar um grupo de recursos, atribuições de política e uma máquina virtual.
- Seu ambiente preferido para interagir com o Azure, como:
- [Recomendado] Usar o Azure Cloud Shell (em https://shell.azure.com ou seu equivalente local)
- OU Usar sua própria máquina e ambiente de shell com a CLI do Azure instalada e conectada
- OU Usar o portal do Azure (em https://portal.azure.com ou seu equivalente local)
Verifique se você está conectado ao seu ambiente de teste
Use as informações da conta no portal para ver seu contexto atual.
Criar um grupo de recursos
Dica
O uso de "East US" (eastus
) como um local de exemplo ao longo deste artigo é arbitrário. Você pode escolher qualquer local disponível do Azure.
- No portal do Azure, navegue até Grupos de recursos
- Selecione + Criar
- Escolha um nome e uma região, como "my-demo-rg" e "East US"
- Avançar para Revisão + criar
Importar a definição de política
A definição de política de visualização não está incorporada no Azure neste momento. As etapas a seguir ilustram a importação como uma definição de política personalizada.
- Transfira a definição de política JSON para o seu computador e abra-a no seu editor de texto preferido. Em uma etapa posterior, você copiará e colará o conteúdo deste arquivo.
- Na barra de pesquisa do portal do Azure, digite Política e selecione Política nos resultados dos Serviços.
- Na visão geral da Política do Azure, navegue até Criação>Definições.
- Selecione + Definição de políticae preencha o formulário resultante da seguinte forma:
- Local de definição: <escolher sua assinatura de teste do Azure>
- Nome: [Preview]: linha de base de segurança do Azure para Linux (pelo OSConfig)
- Categoria: Usar configuração existente > Guest
- Regra de política: Excluir conteúdo pré-preenchido e, em seguida, colar no JSON do arquivo na etapa 1
Atribuir a política ao seu grupo de recursos de teste vazio
- Na página Definição de política, selecione Atribuirde política , que leva você ao fluxo de trabalho para atribuir a política
-
guia Noções básicas:
-
Escopo: Selecione seu teste grupo de recursos (por exemplo, my-demo-rg)
- Tome cuidado não selecionar a assinatura inteira ou o grupo de recursos errado
- Definição de política: [Preview]: linha de base de segurança do Azure para Linux (pelo OSConfig)
- Nome da atribuição: Auditoria [Pré-visualização]: Linha de base de segurança do Azure para Linux (por OSConfig)
-
Escopo: Selecione seu teste grupo de recursos (por exemplo, my-demo-rg)
-
separador Parâmetros
- Opcional: Vá para a guia Parâmetros
para inspecionar quais parâmetros estão disponíveis. Se você estiver testando com uma máquina habilitada para Arc em vez de uma Máquina Virtual do Azure, certifique-se de alterar "include Arc machines" para true. - Opcional: Escolha o efeito da política:
- "AuditIfNotExist" significa que a política será auditoria apenas
- !! Aviso - a correção automática definirá as definições de política para o estado desejado e poderá causar interrupções - esta é uma Visualização Pública Limitada!!
- "DeployIfNotExist" significa que ele será executado em modo de de correção automática - não o use na produção
- Opcional: Vá para a guia Parâmetros
-
guia de correção
- Escolha a opção para criar identidade gerenciadae escolha "sistema gerenciado"
-
separador Rever + criar
- Selecione Criar
- De volta à página de definição de política, navegue até a atribuição de política que você acabou de criar, na guia Atribuições
Criar uma VM de teste (Máquina Virtual) e prepará-la para a Configuração da Máquina
- Crie uma máquina virtual Linux, com as seguintes opções:
- Nome da máquina virtual: my-demo-vm-01
- Grupo de recursos: O grupo de recursos vazio criado anteriormente, por exemplo, my-demo-rg
- Imagem: Ubuntu Server 22.04 ou RedHat Enterprise Linux (RHEL) 9
- da arquitetura VM: x64
- tamanho da VM: sua escolha, mas observe que tamanhos menores de VM da série B, como Standard_B2s, podem ser uma opção econômica para testes
- Após a criação da VM, atualize-a para trabalhar com a Configuração da Máquina:
- Adicionar uma identidade atribuída ao sistema, se ainda não estiver presente
- Adicione a extensão Configuração da Máquina (rotulada no portal como Azure Automanage Machine Configuration)
Dica
As etapas de extensão de identidade gerenciada e Configuração da Máquina foram executadas manualmente neste guia para reduzir a espera e as alterações de contexto. Em termos de escala, estes podem ser satisfeitos através da iniciativa política Deploy prerequisites to enable Guest Configuration policies on virtual machines
incorporada.
IMPORTANTE: Faça uma pausa antes de prosseguir
Várias etapas agora acontecerão automaticamente. Cada um destes passos pode demorar alguns minutos. Por conseguinte, aguarde pelo menos 15 minutos antes de prosseguir.
Observe os resultados
Os exemplos a seguir mostram como obter:
- Contagem de máquinas por estado de conformidade (útil em escalas de produção, onde você pode ter milhares de máquinas)
- Lista de máquinas com estado de conformidade para cada
- Lista detalhada das regras de base com o estado de conformidade e as provas (também conhecidas como Reasons) para cada uma delas
Dica
Espere ver resultados de vermelhos
- Navegue até a página de visão geral da Política do Azure
- Clique em "Conformidade" no painel de navegação esquerdo
- Clique em "Minha tarefa de demonstração de..." Atribuição de políticas
- Observe que esta página fornece ambos:
- Contagem de máquinas por estado de conformidade
- Lista de máquinas com estado de conformidade para cada
- Quando estiver pronto para ver uma lista detalhada das regras de linha de base com o estado de conformidade e as evidências, faça o seguinte:
- Na lista de máquinas (mostrada em de conformidade de recursos ), selecione o nome da máquina de teste
- Clique em Exibir de recursos para ir para a página de visão geral da máquina
- No painel de navegação esquerdo, localize e selecione Gerenciamento de configuração
- Na lista de configurações, selecione a configuração cujo nome começa com LinuxSecurityBaseline...
- Na visualização de detalhes da configuração, use a lista suspensa de filtros para Selecione todas as se quiser ver regras de conformidade e não conformidade
Opcional: adicione mais máquinas de teste para experimentar a escala
Neste artigo, a política foi atribuída a um grupo de recursos que inicialmente estava vazio e, em seguida, ganhou uma VM. Embora demonstre que o sistema funciona de ponta a ponta, ele não fornece uma sensação de operações em escala. Por exemplo, na exibição de conformidade de atribuição de política, um gráfico de pizza de uma máquina pode parecer artificial.
Considere adicionar mais máquinas de teste ao grupo de recursos, seja manualmente ou por meio de automação. Essas máquinas podem ser VMs do Azure ou máquinas habilitadas para Arc. À medida que você vê essas máquinas entrarem em conformidade (ou até mesmo falharem), você pode obter uma noção mais apurada de operacionalização da linha de base de segurança do Azure em escala.
Limpar recursos
Para evitar cobranças contínuas, considere excluir o grupo de recursos usado neste artigo. Por exemplo, o comando da CLI do Azure seria az group delete --name "my-demo-rg"
.
Conteúdo relacionado
- Para fornecer comentários, discutir solicitações de recursos, etc., entre em contato com: linux_sec_config_mgmt@service.microsoft.com
- Leia sobre o blog de lançamento anunciado no Ignite 2024
- Inscreva-se na Pré-visualização Limitada de Auto-Remediação trabalhar em conjunto connosco e ajudar a moldar o futuro desta capacidade