Recomendações de segurança para imagens do Azure Marketplace
Antes de carregar imagens para o Azure Marketplace, a sua imagem tem de ser atualizada com vários requisitos de configuração de segurança. Esses requisitos ajudam a manter um alto nível de segurança para imagens de soluções de parceiros no Azure Marketplace.
Certifique-se de executar uma deteção de vulnerabilidade de segurança na sua imagem antes de enviá-la para o Azure Marketplace. Se você detetar uma vulnerabilidade de segurança em sua própria imagem já publicada, deverá informar seus clientes em tempo hábil sobre os detalhes da vulnerabilidade e como corrigi-la nas implantações atuais.
Imagens do sistema operacional Linux e de código aberto
| Categoria | Marcar |
|---|---|
| Segurança | Instale todos os patches de segurança mais recentes para a distribuição Linux. |
| Segurança | Siga as diretrizes do setor para proteger a imagem da VM para a distribuição Linux específica. |
| Segurança | Limite a superfície de ataque mantendo o mínimo de espaço ocupado apenas com funções, recursos, serviços e portas de rede necessários do Windows Server. |
| Segurança | Analise o código-fonte e a imagem resultante da VM em busca de malware. |
| Segurança | A imagem VHD inclui apenas contas bloqueadas necessárias que não têm senhas padrão que permitiriam login interativo; sem portas traseiras. |
| Segurança | Desative as regras de firewall, a menos que o aplicativo dependa funcionalmente delas, como um dispositivo de firewall. |
| Segurança | Remova todas as informações confidenciais da imagem VHD, como chaves SSH de teste, arquivo de hosts conhecidos, arquivos de log e certificados desnecessários. |
| Segurança | Evite usar LVM. O LVM é vulnerável a problemas de cache de gravação com hipervisores de VM e também aumenta a complexidade de recuperação de dados para os usuários de sua imagem. |
| Segurança | Inclua as versões mais recentes das bibliotecas necessárias: - OpenSSL v1.0 ou superior - Python 2.5 ou superior (Python 2.6+ é altamente recomendado) - Pacote Python pyasn1 se ainda não estiver instalado - d.OpenSSL v 1.0 ou superior |
| Segurança | Limpe as entradas do histórico do Bash/Shell. Isso pode incluir informações privadas ou credenciais de texto simples para outros sistemas. |
| Rede | Inclua o servidor SSH por padrão. Defina SSH keep alive como sshd config com a seguinte opção: ClientAliveInterval 180. |
| Rede | Remova qualquer configuração de rede personalizada da imagem. Exclua o resolv.conf: rm /etc/resolv.conf. |
| Implementação | Instale o Agente Linux do Azure mais recente. - Instale usando o pacote RPM ou Deb. - Você também pode usar o processo de instalação manual, mas os pacotes de instalação são recomendados e preferidos. - Se instalar o agente manualmente a partir do repositório GitHub, primeiro copie o arquivo e execute (como root): # /usr/sbin/waagent -install # chmod 755 /usr/sbin/waagent O arquivo de configuração do agente é colocado em . /etc/waagent.conf/usr/sbin waagent |
| Implementação | Certifique-se de que o Suporte do Azure pode fornecer aos nossos parceiros uma saída de consola série quando necessário e fornecer um tempo limite adequado para a montagem do disco do SO a partir do armazenamento na nuvem. Adicione os seguintes parâmetros à imagem Kernel Boot Line: console=ttyS0 earlyprintk=ttyS0 rootdelay=300. |
| Implementação | Nenhuma partição swap no disco do sistema operacional. Swap pode ser solicitado para criação no disco de recurso local pelo Agente Linux. |
| Implementação | Crie uma partição de raiz única para o disco do SO. |
| Implementação | Apenas sistema operacional de 64 bits. |
Imagens do Windows Server
| Categoria | Marcar |
|---|---|
| Segurança | Use uma imagem base segura do sistema operacional. O VHD usado para a origem de qualquer imagem baseada no Windows Server deve ser das imagens do sistema operacional Windows Server fornecidas pelo Microsoft Azure. |
| Segurança | Instale todas as atualizações de segurança mais recentes. |
| Segurança | Os aplicativos não devem depender de nomes de usuário restritos, como administrador, raiz ou administrador. |
| Segurança | Habilite a Criptografia de Unidade de Disco BitLocker para discos rígidos do sistema operacional e discos rígidos de dados. |
| Segurança | Limite a superfície de ataque mantendo o mínimo de espaço ocupado apenas com as funções, recursos, serviços e portas de rede necessários do Windows Server habilitados. |
| Segurança | Analise o código-fonte e a imagem resultante da VM em busca de malware. |
| Segurança | Defina a atualização de segurança de imagens do Windows Server como atualização automática. |
| Segurança | A imagem VHD inclui apenas contas bloqueadas necessárias que não têm senhas padrão que permitiriam login interativo; sem portas traseiras. |
| Segurança | Desative as regras de firewall, a menos que o aplicativo dependa funcionalmente delas, como um dispositivo de firewall. |
| Segurança | Remova todas as informações confidenciais da imagem VHD, incluindo arquivos HOSTS, arquivos de log e certificados desnecessários. |
| Implementação | Apenas sistema operacional de 64 bits. |
Mesmo que sua organização não tenha imagens no mercado do Azure, considere verificar suas configurações de imagem do Windows e Linux em relação a essas recomendações.