[VISUALIZAÇÃO PÚBLICA] Guia de início rápido: auditar a linha de base de segurança do Azure para Linux com uma máquina de teste

Neste guia, você usará a Política do Azure para auditar uma máquina de teste em relação à linha de base de segurança do Azure para Linux.

Especificamente, irá:

1. Criar um grupo de recursos vazio
2. Importar uma definição de de política de e atribuí-la ao grupo de recursos vazio
3. Criar um de VM no grupo de recursos e observar os resultados da auditoria

Se não tiver uma conta do Azure, pode criar uma versão de avaliação gratuita.

Considerações de pré-visualização

Esta implementação de linha de base de segurança é uma pré-visualização .

Para canais de feedback, consulte a seção Recursos relacionados no final deste artigo.

Problemas conhecidos ou limitações da visualização:

• Incentivamos o teste da política em um ambiente de teste
• A definição de política é importada manualmente para o Azure, não interna (assim que a distribuição for iniciada, ela se tornará uma política interna para a Política do Azure - atualizaremos a distribuição regional nesta página)
• Além dos requisitos de conectividade típicos para os serviços do Azure, as máquinas gerenciadas exigem acesso a: https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
• A linha de base atual é baseada no CIS Distro Independent Benchmark - versão 2.0.0 e tem cerca de 63% de cobertura dessa linha de base
• A personalização das configurações da linha de base é limitada ao efeito da política - AuditIfNotExist vs. DeployIfNotExist (a correção automática está em Visualização Pública Limitada)

Pré-requisitos

Antes de tentar as etapas neste artigo, verifique se você já tem:

1. Uma conta do Azure onde você tem acesso para criar um grupo de recursos, atribuições de política e uma máquina virtual.
2. Seu ambiente preferido para interagir com o Azure, como:
   1. [Recomendado] Usar o Azure Cloud Shell (em https://shell.azure.com ou seu equivalente local)
   2. OU Usar sua própria máquina e ambiente de shell com a CLI do Azure instalada e conectada
   3. OU Usar o portal do Azure (em https://portal.azure.com ou seu equivalente local)

Verifique se você está conectado ao seu ambiente de teste

1. Use as informações da conta no portal para ver seu contexto atual.

   

1. Você pode usar az account show para ver seu contexto atual. Para iniciar sessão ou alterar contextos, utilize az account login.
2. A definição de política será importada para a assinatura, que é mostrada como id em resposta a az account show

Criar um grupo de recursos

Dica

O uso de "East US" (eastus) como um local de exemplo ao longo deste artigo é arbitrário. Você pode escolher qualquer local disponível do Azure.

1. No portal do Azure, navegue até Grupos de recursos
2. Selecione + Criar
3. Escolha um nome e uma região, como "my-demo-rg" e "East US"
4. Avançar para Revisão + criar

az group create --name my-demo-rg --location eastus

Importar a definição de política

A definição de política de visualização não está incorporada no Azure neste momento. As etapas a seguir ilustram a importação como uma definição de política personalizada.

1. Transfira a definição de política JSON para o seu computador e abra-a no seu editor de texto preferido. Em uma etapa posterior, você copiará e colará o conteúdo deste arquivo.
2. Na barra de pesquisa do portal do Azure, digite Política e selecione Política nos resultados dos Serviços.
3. Na visão geral da Política do Azure, navegue até Criação>Definições.
4. Selecione + Definição de políticae preencha o formulário resultante da seguinte forma:
   1. Local de definição: <escolher sua assinatura de teste do Azure>
   2. Nome: [Preview]: linha de base de segurança do Azure para Linux (pelo OSConfig)
   3. Categoria: Usar configuração existente > Guest
   4. Regra de política: Excluir conteúdo pré-preenchido e, em seguida, colar no JSON do arquivo na etapa 1

Se você estiver usando um ambiente especializado do Azure, como uma nuvem governamental, talvez seja necessário substituir management.azure.com no comando az rest a seguir pelo ponto de extremidade local.

curl -L https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

Atribuir a política ao seu grupo de recursos de teste vazio

1. Na página Definição de política, selecione Atribuirde política , que leva você ao fluxo de trabalho para atribuir a política
2. guia Noções básicas:
   1. Escopo: Selecione seu teste grupo de recursos (por exemplo, my-demo-rg)
      1. Tome cuidado não selecionar a assinatura inteira ou o grupo de recursos errado
   2. Definição de política: [Preview]: linha de base de segurança do Azure para Linux (pelo OSConfig)
   3. Nome da atribuição: Auditoria [Pré-visualização]: Linha de base de segurança do Azure para Linux (por OSConfig)
3. separador Parâmetros
   1. Opcional: Vá para a guia Parâmetros para inspecionar quais parâmetros estão disponíveis. Se você estiver testando com uma máquina habilitada para Arc em vez de uma Máquina Virtual do Azure, certifique-se de alterar "include Arc machines" para true.
   2. Opcional: Escolha o efeito da política:
      1. "AuditIfNotExist" significa que a política será auditoria apenas
      2. !! Aviso - a correção automática definirá as definições de política para o estado desejado e poderá causar interrupções - esta é uma Visualização Pública Limitada!!
      3. "DeployIfNotExist" significa que ele será executado em modo de de correção automática - não o use na produção
4. guia de correção
   1. Escolha a opção para criar identidade gerenciadae escolha "sistema gerenciado"
5. separador Rever + criar
   1. Selecione Criar
6. De volta à página de definição de política, navegue até a atribuição de política que você acabou de criar, na guia Atribuições

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Audit [Preview]: Azure security baseline for Linux (by OSConfig)" --scope "$RG_ID" --params '{"banner":{"value":"TEST VALUE. KEEP OUT!"}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Criar uma VM de teste (Máquina Virtual) e prepará-la para a Configuração da Máquina

1. Crie uma máquina virtual Linux, com as seguintes opções:
   1. Nome da máquina virtual: my-demo-vm-01
   2. Grupo de recursos: O grupo de recursos vazio criado anteriormente, por exemplo, my-demo-rg
   3. Imagem: Ubuntu Server 22.04 ou RedHat Enterprise Linux (RHEL) 9
   4. da arquitetura VM: x64
   5. tamanho da VM: sua escolha, mas observe que tamanhos menores de VM da série B, como Standard_B2s, podem ser uma opção econômica para testes
2. Após a criação da VM, atualize-a para trabalhar com a Configuração da Máquina:
   1. Adicionar uma identidade atribuída ao sistema, se ainda não estiver presente
   2. Adicione a extensão Configuração da Máquina (rotulada no portal como Azure Automanage Machine Configuration)

Dica

As etapas de extensão de identidade gerenciada e Configuração da Máquina foram executadas manualmente neste guia para reduzir a espera e as alterações de contexto. Em termos de escala, estes podem ser satisfeitos através da iniciativa política Deploy prerequisites to enable Guest Configuration policies on virtual machines incorporada.

1. Criar uma VM Linux com uma identidade atribuída ao sistema

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   Dica

   É normal receber um alerta semelhante a "Ainda não foi dado acesso...",. A Configuração de Máquina do Azure requer apenas que a máquina tenha uma identidade gerenciada, não qualquer acesso a recursos específicos.

2. Instalar o agente de Configuração de Máquina, como uma extensão de VM do Azure

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

IMPORTANTE: Faça uma pausa antes de prosseguir

Várias etapas agora acontecerão automaticamente. Cada um destes passos pode demorar alguns minutos. Por conseguinte, aguarde pelo menos 15 minutos antes de prosseguir.

Observe os resultados

Os exemplos a seguir mostram como obter:

1. Contagem de máquinas por estado de conformidade (útil em escalas de produção, onde você pode ter milhares de máquinas)
2. Lista de máquinas com estado de conformidade para cada
3. Lista detalhada das regras de base com o estado de conformidade e as provas (também conhecidas como Reasons) para cada uma delas

Dica

Espere ver resultados de vermelhos não compatíveis nos seguintes resultados. O caso de uso somente auditoria é sobre descobrir a diferença entre os sistemas existentes e a linha de base de segurança do Azure.

1. Navegue até a página de visão geral da Política do Azure
2. Clique em "Conformidade" no painel de navegação esquerdo
3. Clique em "Minha tarefa de demonstração de..." Atribuição de políticas
4. Observe que esta página fornece ambos:
   1. Contagem de máquinas por estado de conformidade
   2. Lista de máquinas com estado de conformidade para cada
5. Quando estiver pronto para ver uma lista detalhada das regras de linha de base com o estado de conformidade e as evidências, faça o seguinte:
   1. Na lista de máquinas (mostrada em de conformidade de recursos ), selecione o nome da máquina de teste
   2. Clique em Exibir de recursos para ir para a página de visão geral da máquina
   3. No painel de navegação esquerdo, localize e selecione Gerenciamento de configuração
   4. Na lista de configurações, selecione a configuração cujo nome começa com LinuxSecurityBaseline...
   5. Na visualização de detalhes da configuração, use a lista suspensa de filtros para Selecione todas as se quiser ver regras de conformidade e não conformidade

Os exemplos de CLI do Azure a seguir são de um ambiente de bash . Para usar outro ambiente de shell, talvez seja necessário ajustar exemplos para comportamento de terminação de linha, regras de aspas, fuga de caracteres e assim por diante.

1. Contagem de máquinas por estado de conformidade:

   QUERY='
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

2. Lista de máquinas com estado de conformidade para cada uma:

   QUERY='
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

3. Lista detalhada das regras de base com o estado de conformidade e as provas (também conhecidas como Reasons) para cada uma delas:

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "LinuxSecurityBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

Opcional: adicione mais máquinas de teste para experimentar a escala

Neste artigo, a política foi atribuída a um grupo de recursos que inicialmente estava vazio e, em seguida, ganhou uma VM. Embora demonstre que o sistema funciona de ponta a ponta, ele não fornece uma sensação de operações em escala. Por exemplo, na exibição de conformidade de atribuição de política, um gráfico de pizza de uma máquina pode parecer artificial.

Considere adicionar mais máquinas de teste ao grupo de recursos, seja manualmente ou por meio de automação. Essas máquinas podem ser VMs do Azure ou máquinas habilitadas para Arc. À medida que você vê essas máquinas entrarem em conformidade (ou até mesmo falharem), você pode obter uma noção mais apurada de operacionalização da linha de base de segurança do Azure em escala.

Limpar recursos

Para evitar cobranças contínuas, considere excluir o grupo de recursos usado neste artigo. Por exemplo, o comando da CLI do Azure seria az group delete --name "my-demo-rg".

---

Conteúdo relacionado

• Para fornecer comentários, discutir solicitações de recursos, etc., entre em contato com: linux_sec_config_mgmt@service.microsoft.com
• Leia sobre o blog de lançamento anunciado no Ignite 2024
• Inscreva-se na Pré-visualização Limitada de Auto-Remediação trabalhar em conjunto connosco e ajudar a moldar o futuro desta capacidade