[общедоступная предварительная версия] краткое руководство. Аудит базовых показателей безопасности Azure для Linux с помощью тестового компьютера

В этом руководстве вы будете использовать политику Azure для аудита тестового компьютера в базовой конфигурации безопасности Azure для Linux.

В частности, вы будете:

1. Создание пустой группы ресурсов
2. Импорт определения политики и назначение ее пустой группе ресурсов
3. Создание виртуальной машины в группе ресурсов и наблюдение за результатами аудита

Если у вас нет учетной записи Azure, вы можете создать бесплатную пробную версию.

Рекомендации по предварительной версии

Эта реализация базовых показателей безопасности является ранней предварительной версии.

Каналы обратной связи см. в разделе Связанные ресурсы в конце этой статьи.

Известные проблемы или ограничения предварительной версии:

• Мы рекомендуем протестировать политику в тестовой среде
• Определение политики импортируется вручную в Azure, а не встроенное (после запуска развертывания она становится встроенной политикой в политике Azure. Мы обновим региональный выпуск на этой странице).
• Помимо типичных требований к подключению для служб Azure управляемые компьютеры требуют доступа к: https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
• Текущие базовые показатели основаны на cis Distro Independent Benchmark - версии 2.0.0, и она имеет около 63% охват этого базового плана.
• Настройка базовых параметров ограничена действием политики — AuditIfNotExist vs. DeployIfNotExist (автоматическое исправление находится в ограниченной общедоступной предварительной версии)

Необходимые условия

Прежде чем выполнить действия, описанные в этой статье, убедитесь, что у вас уже есть:

1. Учетная запись Azure, в которой у вас есть доступ к созданию группы ресурсов, назначений политик и виртуальной машины.
2. Предпочитаемая среда для взаимодействия с Azure, например:
   1. [Рекомендуется] Использование Azure Cloud Shell (в https://shell.azure.com или локальном эквиваленте)
   2. ИЛИ Использовать собственную среду компьютера и оболочки с установленным и вошедшего в систему Azure CLI
   3. ИЛИ использовать портал Azure (по https://portal.azure.com или локальному эквиваленту).

Убедитесь, что вы вошли в тестовую среду

портале Azure

1. Используйте сведения об учетной записи на портале, чтобы просмотреть текущий контекст.

   

Azure CLI

1. Вы можете использовать az account show для просмотра текущего контекста. Чтобы войти в систему или изменить контексты, используйте az account login.
2. Определение политики будет импортировано в подписку, которая отображается как id в ответ на az account show

Создание группы ресурсов

Кончик

Использование "Восточная часть США" (eastus) в качестве примера расположения в этой статье является произвольным. Вы можете выбрать любое доступное расположение Azure.

портале Azure

1. На портале Azure перейдите к группам ресурсов
2. Выберите + Создать
3. Выберите имя и регион, например my-demo-rg и "Восточная часть США"
4. Перейдите к просмотру и созданию

Azure CLI

az group create --name my-demo-rg --location eastus

Импорт определения политики

Определение политики предварительной версии не встроено в Azure в настоящее время. В следующих шагах показано, как импортировать его в качестве настраиваемого определения политики.

портале Azure

1. Скачайте код JSON определения политики на компьютер и откройте его в предпочитаемом текстовом редакторе. На следующем шаге вы скопируете и вставьте содержимое этого файла.
2. В строке поиска на портале Azure введите политику и выберите политики из результатов служб.
3. В обзоре политики Azure перейдите к разработке>определений.
4. Выберите + определение политикии заполните итоговую форму следующим образом:
   1. расположение определения : выберите тестовую подписку Azure
   2. имя: [предварительная версия]: базовый план безопасности Azure для Linux (by OSConfig)
   3. категория: используйте существующую конфигурацию > гостевой
   4. правила политики : удалить предварительно заполненное содержимое, а затем вставить в JSON из файла на шаге 1

Azure CLI

Если вы используете специализированную среду Azure, например облако для государственных организаций, вам может потребоваться заменить management.azure.com в следующей команде az rest локальной конечной точкой.

curl -L https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

Назначение политики пустой группе тестового ресурса

портале Azure

1. На странице определения политики выберите Назначить политику, которая принимает вас в рабочий процесс для назначения политики.
2. вкладка "Основы" :
   1. области: выберите группу ресурсов (например, my-demo-rg)
      1. Следите за не, чтобы выбрать всю подписку или неправильную группу ресурсов
   2. определение политики: [предварительная версия]: базовый план безопасности Azure для Linux (by OSConfig)
   3. имя назначения: аудит [предварительная версия]: базовый план безопасности Azure для Linux (by OSConfig)
3. вкладка "Параметры "
   1. Необязательно. Перейдите на вкладку "Параметры ", чтобы проверить доступные параметры. Если вы тестируете компьютер с поддержкой Arc в отличие от виртуальной машины Azure, обязательно измените значение "включить компьютеры Arc" на true.
   2. Необязательно. Выберите эффект политики:
      1. AuditIfNotExist означает, что политика будет аудита только
      2. !! Предупреждение. Автоматическое исправление установит определения политики в нужное состояние и может привести к прерываниям - это ограниченная общедоступная предварительная версия!!
      3. DeployIfNotExist означает, что он будет работать в режиме автоматического исправления . не использовать его в рабочей
4. вкладка исправления
   1. Выберите вариант создания управляемого удостоверенияи выберите "Управляемое системой"
5. вкладка Просмотр и создание
   1. Выберите Создать
6. Вернитесь на страницу определения политики, перейдите к только что созданному назначению политики на вкладке назначения

Azure CLI

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Audit [Preview]: Azure security baseline for Linux (by OSConfig)" --scope "$RG_ID" --params '{"banner":{"value":"TEST VALUE. KEEP OUT!"}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Создайте тестовую виртуальную машину (виртуальную машину) и подготовьте ее к настройке компьютера

портале Azure

1. Создайте виртуальную машину Linux со следующими вариантами:
   1. имя виртуальной машины: my-demo-vm-01
   2. группа ресурсов: пустая группа ресурсов, созданная ранее, например my-demo-rg
   3. образ: Ubuntu Server 22.04 или RedHat Enterprise Linux (RHEL) 9
   4. архитектура виртуальной машины: x64
   5. размер виртуальной машины. При этом обратите внимание, что размеры виртуальных машин серии B, такие как Standard_B2s, могут быть экономичным вариантом тестирования.
2. После создания виртуальной машины обновите виртуальную машину для работы с конфигурацией компьютера:
   1. Добавьте назначенное системой удостоверение, если оно еще не присутствует
   2. Добавьте расширение конфигурации компьютера (помеченное на портале как конфигурации компьютера Azure Automanage)

Кончик

Действия по расширению управляемого удостоверения и конфигурации компьютера были выполнены вручную в этом руководстве, чтобы уменьшить ожидание и уменьшить изменения контекста. В большом масштабе их можно удовлетворить с помощью встроенной инициативы политики Deploy prerequisites to enable Guest Configuration policies on virtual machines.

Azure CLI

1. Создание виртуальной машины Linux с назначенным системой удостоверением

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   Кончик

   Обычно для получения оповещения, аналогичного "Доступ еще не предоставлен...". Конфигурация компьютера Azure требует только того, чтобы компьютера управляемое удостоверение, а не доступ к определенным ресурсам.

2. Установка агента конфигурации компьютера в качестве расширения виртуальной машины Azure

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

ВАЖНО. Прежде чем продолжить, сделайте перерыв

Теперь несколько шагов будут выполняться автоматически. Каждое из этих действий может занять несколько минут. Соответственно, дождитесь по крайней мере 15 минут, прежде чем продолжить.

Наблюдение за результатами

В следующих примерах показано, как получить:

1. Количество компьютеров по состоянию соответствия (полезно в рабочих масштабах, где могут быть тысячи компьютеров)
2. Список компьютеров с состоянием соответствия для каждого
3. Подробный список базовых правил с состоянием соответствия и доказательствами (также известными как причины) для каждого

Кончик

Ожидается, что красные несоответствующие приводятся ниже. Вариант использования только для аудита заключается в обнаружении разницы между существующими системами и базовыми показателями безопасности Azure.

портале Azure

1. Перейдите на страницу обзора политики Azure
2. Щелкните "Соответствие" в области навигации слева
3. Нажмите кнопку "Мое демонстрационное назначение..." Назначение политики
4. Обратите внимание, что эта страница содержит оба варианта:
   1. Количество компьютеров по состоянию соответствия
   2. Список компьютеров с состоянием соответствия для каждого
5. Когда вы будете готовы просмотреть подробный список базовых правил с состоянием соответствия и доказательствами, сделайте следующее:
   1. В списке компьютеров (в разделе соответствие ресурсов) выберите имя тестового компьютера.
   2. Щелкните Просмотреть ресурс, чтобы перейти на страницу обзора компьютера
   3. В области навигации слева найдите и выберите управление конфигурацией
   4. В списке конфигураций выберите конфигурацию, имя которой начинается с LinuxSecurityBaseline...
   5. В представлении сведений о конфигурации используйте раскрывающийся список фильтров, чтобы Выбрать все, если вы хотите просмотреть как правила соответствия, так и несоответствующие требованиям.

Azure CLI

Ниже приведены примеры Azure CLI из среды bash. Чтобы использовать другую среду оболочки, может потребоваться настроить примеры для поведения конца строки, правил кавычки, экранирования символов и т. д.

1. Количество компьютеров по состоянию соответствия:

   QUERY='
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

2. Список компьютеров с состоянием соответствия для каждого из них:

   QUERY='
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

3. Подробный список базовых правил с состоянием соответствия и доказательствами (также известными как причины) для каждого:

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "LinuxSecurityBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

Необязательно. Добавление дополнительных тестовых компьютеров для масштабирования

В этой статье политика была назначена группе ресурсов, которая изначально была пуста, а затем получила одну виртуальную машину. Несмотря на то, что система демонстрирует сквозную работу системы, она не обеспечивает ощущение масштабируемых операций. Например, в представлении соответствия требованиям политики круговая диаграмма одного компьютера может чувствовать себя искусственным.

Рассмотрите возможность добавления дополнительных тестовых компьютеров в группу ресурсов, будь то вручную или с помощью автоматизации. Эти компьютеры могут быть виртуальными машинами Azure или компьютерами с поддержкой Arc. Как вы видите, эти компьютеры приходят в соответствие (или даже сбой), вы можете получить более острое представление о работе базовых показателей безопасности Azure в масштабе.

Очистка ресурсов

Чтобы избежать текущих расходов, рассмотрите возможность удаления группы ресурсов, используемой в этой статье. Например, команда Azure CLI будет az group delete --name "my-demo-rg".

---

Связанное содержимое

• Чтобы предоставить отзыв, обсудить запросы на функции и т. д., обратитесь к linux_sec_config_mgmt@service.microsoft.com
• Читайте о запуска блога объявили на Ignite 2024
• регистрация в ограниченной предварительной версии автоматической исправления для совместной работы с нами и помогает сформировать будущее этой возможности.