Partilhar via


[VISUALIZAÇÃO PÚBLICA] Guia de início rápido: auditar a linha de base de segurança do Azure para Linux com uma máquina de teste

Trecho de tela do relatório de conformidade

Neste guia, você usará a Política do Azure para auditar uma máquina de teste em relação à linha de base de segurança do Azure para Linux.

Especificamente, irá:

  1. Criar um grupo de recursos vazio
  2. Importar uma definição de de política de e atribuí-la ao grupo de recursos vazio
  3. Criar um de VM no grupo de recursos e observar os resultados da auditoria

Se não tiver uma conta do Azure, pode criar uma versão de avaliação gratuita.

Considerações de pré-visualização

Esta implementação de linha de base de segurança é uma pré-visualização .

Para canais de feedback, consulte a seção Recursos relacionados no final deste artigo.

Problemas conhecidos ou limitações da visualização:

  • Incentivamos o teste da política em um ambiente de teste
  • A definição de política é importada manualmente para o Azure, não interna (assim que a distribuição for iniciada, ela se tornará uma política interna para a Política do Azure - atualizaremos a distribuição regional nesta página)
  • Além dos requisitos de conectividade típicos para os serviços do Azure, as máquinas gerenciadas exigem acesso a: https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
  • A linha de base atual é baseada no CIS Distro Independent Benchmark - versão 2.0.0 e tem cerca de 63% de cobertura dessa linha de base
  • A personalização das configurações da linha de base é limitada ao efeito da política - AuditIfNotExist vs. DeployIfNotExist (a correção automática está em Visualização Pública Limitada)

Pré-requisitos

Antes de tentar as etapas neste artigo, verifique se você já tem:

  1. Uma conta do Azure onde você tem acesso para criar um grupo de recursos, atribuições de política e uma máquina virtual.
  2. Seu ambiente preferido para interagir com o Azure, como:
    1. [Recomendado] Usar o Azure Cloud Shell (em https://shell.azure.com ou seu equivalente local)
    2. OU Usar sua própria máquina e ambiente de shell com a CLI do Azure instalada e conectada
    3. OU Usar o portal do Azure (em https://portal.azure.com ou seu equivalente local)

Verifique se você está conectado ao seu ambiente de teste

  • do portal do Azure
  • da CLI do Azure
  1. Use as informações da conta no portal para ver seu contexto atual.

    Captura de tela mostrando informações da conta no portal do Azure

Criar um grupo de recursos

Dica

O uso de "East US" (eastus) como um local de exemplo ao longo deste artigo é arbitrário. Você pode escolher qualquer local disponível do Azure.

  • do portal do Azure
  • da CLI do Azure
  1. No portal do Azure, navegue até Grupos de recursos
  2. Selecione + Criar
  3. Escolha um nome e uma região, como "my-demo-rg" e "East US"
  4. Avançar para Revisão + criar

Importar a definição de política

A definição de política de visualização não está incorporada no Azure neste momento. As etapas a seguir ilustram a importação como uma definição de política personalizada.

  • do portal do Azure
  • da CLI do Azure
  1. Transfira a definição de política JSON para o seu computador e abra-a no seu editor de texto preferido. Em uma etapa posterior, você copiará e colará o conteúdo deste arquivo.
  2. Na barra de pesquisa do portal do Azure, digite Política e selecione Política nos resultados dos Serviços.
  3. Na visão geral da Política do Azure, navegue até Criação>Definições.
  4. Selecione + Definição de políticae preencha o formulário resultante da seguinte forma:
    1. Local de definição: <escolher sua assinatura de teste do Azure>
    2. Nome: [Preview]: linha de base de segurança do Azure para Linux (pelo OSConfig)
    3. Categoria: Usar configuração existente > Guest
    4. Regra de política: Excluir conteúdo pré-preenchido e, em seguida, colar no JSON do arquivo na etapa 1

Atribuir a política ao seu grupo de recursos de teste vazio

  • do portal do Azure
  • da CLI do Azure
  1. Na página Definição de política, selecione Atribuirde política , que leva você ao fluxo de trabalho para atribuir a política
  2. guia Noções básicas:
    1. Escopo: Selecione seu teste grupo de recursos (por exemplo, my-demo-rg)
      1. Tome cuidado não selecionar a assinatura inteira ou o grupo de recursos errado
    2. Definição de política: [Preview]: linha de base de segurança do Azure para Linux (pelo OSConfig)
    3. Nome da atribuição: Auditoria [Pré-visualização]: Linha de base de segurança do Azure para Linux (por OSConfig)
  3. separador Parâmetros
    1. Opcional: Vá para a guia Parâmetros para inspecionar quais parâmetros estão disponíveis. Se você estiver testando com uma máquina habilitada para Arc em vez de uma Máquina Virtual do Azure, certifique-se de alterar "include Arc machines" para true.
    2. Opcional: Escolha o efeito da política:
      1. "AuditIfNotExist" significa que a política será auditoria apenas
      2. !! Aviso - a correção automática definirá as definições de política para o estado desejado e poderá causar interrupções - esta é uma Visualização Pública Limitada!!
      3. "DeployIfNotExist" significa que ele será executado em modo de de correção automática - não o use na produção
  4. guia de correção
    1. Escolha a opção para criar identidade gerenciadae escolha "sistema gerenciado"
  5. separador Rever + criar
    1. Selecione Criar
  6. De volta à página de definição de política, navegue até a atribuição de política que você acabou de criar, na guia Atribuições

Criar uma VM de teste (Máquina Virtual) e prepará-la para a Configuração da Máquina

  • do portal do Azure
  • da CLI do Azure
  1. Crie uma máquina virtual Linux, com as seguintes opções:
    1. Nome da máquina virtual: my-demo-vm-01
    2. Grupo de recursos: O grupo de recursos vazio criado anteriormente, por exemplo, my-demo-rg
    3. Imagem: Ubuntu Server 22.04 ou RedHat Enterprise Linux (RHEL) 9
    4. da arquitetura VM: x64
    5. tamanho da VM: sua escolha, mas observe que tamanhos menores de VM da série B, como Standard_B2s, podem ser uma opção econômica para testes
  2. Após a criação da VM, atualize-a para trabalhar com a Configuração da Máquina:
    1. Adicionar uma identidade atribuída ao sistema, se ainda não estiver presente
    2. Adicione a extensão Configuração da Máquina (rotulada no portal como Azure Automanage Machine Configuration)

Dica

As etapas de extensão de identidade gerenciada e Configuração da Máquina foram executadas manualmente neste guia para reduzir a espera e as alterações de contexto. Em termos de escala, estes podem ser satisfeitos através da iniciativa política Deploy prerequisites to enable Guest Configuration policies on virtual machines incorporada.

IMPORTANTE: Faça uma pausa antes de prosseguir

Várias etapas agora acontecerão automaticamente. Cada um destes passos pode demorar alguns minutos. Por conseguinte, aguarde pelo menos 15 minutos antes de prosseguir.

Observe os resultados

Os exemplos a seguir mostram como obter:

  1. Contagem de máquinas por estado de conformidade (útil em escalas de produção, onde você pode ter milhares de máquinas)
  2. Lista de máquinas com estado de conformidade para cada
  3. Lista detalhada das regras de base com o estado de conformidade e as provas (também conhecidas como Reasons) para cada uma delas

Dica

Espere ver resultados de vermelhos não compatíveis nos seguintes resultados. O caso de uso somente auditoria é sobre descobrir a diferença entre os sistemas existentes e a linha de base de segurança do Azure.

  • do portal do Azure
  • da CLI do Azure
  1. Navegue até a página de visão geral da Política do Azure
  2. Clique em "Conformidade" no painel de navegação esquerdo
  3. Clique em "Minha tarefa de demonstração de..." Atribuição de políticas
  4. Observe que esta página fornece ambos:
    1. Contagem de máquinas por estado de conformidade
    2. Lista de máquinas com estado de conformidade para cada
  5. Quando estiver pronto para ver uma lista detalhada das regras de linha de base com o estado de conformidade e as evidências, faça o seguinte:
    1. Na lista de máquinas (mostrada em de conformidade de recursos ), selecione o nome da máquina de teste
    2. Clique em Exibir de recursos para ir para a página de visão geral da máquina
    3. No painel de navegação esquerdo, localize e selecione Gerenciamento de configuração
    4. Na lista de configurações, selecione a configuração cujo nome começa com LinuxSecurityBaseline...
    5. Na visualização de detalhes da configuração, use a lista suspensa de filtros para Selecione todas as se quiser ver regras de conformidade e não conformidade

Opcional: adicione mais máquinas de teste para experimentar a escala

Neste artigo, a política foi atribuída a um grupo de recursos que inicialmente estava vazio e, em seguida, ganhou uma VM. Embora demonstre que o sistema funciona de ponta a ponta, ele não fornece uma sensação de operações em escala. Por exemplo, na exibição de conformidade de atribuição de política, um gráfico de pizza de uma máquina pode parecer artificial.

Considere adicionar mais máquinas de teste ao grupo de recursos, seja manualmente ou por meio de automação. Essas máquinas podem ser VMs do Azure ou máquinas habilitadas para Arc. À medida que você vê essas máquinas entrarem em conformidade (ou até mesmo falharem), você pode obter uma noção mais apurada de operacionalização da linha de base de segurança do Azure em escala.

Limpar recursos

Para evitar cobranças contínuas, considere excluir o grupo de recursos usado neste artigo. Por exemplo, o comando da CLI do Azure seria az group delete --name "my-demo-rg".