Рекомендации по обеспечению безопасности для образов Azure Marketplace
Перед отправкой изображений в Azure Marketplace образ необходимо обновить с помощью нескольких требований к конфигурации безопасности. Эти требования помогают обеспечить высокий уровень безопасности образов решений партнеров в Azure Marketplace.
Перед отправкой ее в Azure Marketplace обязательно выполните обнаружение уязвимостей безопасности на образе. Если вы обнаруживаете уязвимость безопасности в своем уже опубликованном образе, необходимо своевременно сообщить клиентам как о деталях уязвимости, так и о том, как исправить ее в текущих развертываниях.
Образы ОС Linux и открытый код
| Категория | Проверить |
|---|---|
| Безопасность | Установите все последние обновления системы безопасности для дистрибутива Linux. |
| Безопасность | Соблюдайте отраслевые рекомендации по защите образа виртуальной машины для конкретного дистрибутива Linux. |
| Безопасность | Снизьте уязвимость среды, используя минимальный объем памяти и только необходимые роли Windows Server, компоненты, службы и сетевые порты. |
| Безопасность | Сканируйте исходный код и итоговый образ виртуальной машины на наличие вредоносных программ. |
| Безопасность | Образ VHD должен содержать только необходимые заблокированные учетные записи, которые не имеют паролей по умолчанию, позволяющих выполнять интерактивный вход в систему, и не имеют "черных входов". |
| Безопасность | Отключите правила брандмауэра. Исключением будут случаи, когда приложение зависит от них функционально, например устройство брандмауэра. |
| Безопасность | Удалите всю конфиденциальную информацию из образа VHD, например тестовые ключи SSH, файлы известных узлов, файлы журналов и ненужные сертификаты. |
| Безопасность | Старайтесь не использовать диспетчер логических томов (LVM). LVM уязвим для записи проблем с кэшированием с гипервизорами виртуальных машин, а также повышает сложность восстановления данных для пользователей образа. |
| Безопасность | Включите последние версии требуемых библиотек: — OpenSSL версии 1.0 или выше; — Python 2.5 или выше (настоятельно рекомендуем Python 2.6+); — пакет Python pyasn1, если он еще не установлен; — d.OpenSSL версии 1.0 или выше. |
| Безопасность | Очистите записи журнала Bash/Shell. Это может включать частную информацию или учетные данные обычного текста для других систем. |
| Сеть | Включите сервер SSH по умолчанию. Настройте функцию проверки активности SSH в конфигурации sshd, указав следующий параметр: ClientAliveInterval 180. |
| Сеть | Удалите из образа любую пользовательскую конфигурацию сети. Удалите файл resolv.conf: rm /etc/resolv.conf. |
| Развертывание | Установите последнюю версию агента Linux для Azure. — Установите с помощью пакета RPM или DEB. — Можно использовать процесс установки вручную, но рекомендуется применять пакеты установщика. — При установке агента вручную из репозитория GitHub сначала скопируйте waagent файл в файл /usr/sbin и запустите его (как корневой # chmod 755 /usr/sbin/waagent# /usr/sbin/waagent -install ): файл конфигурации агента помещается в /etc/waagent.confпапку . |
| Развертывание | Убедитесь, что Служба поддержки Azure может при необходимости предоставить нашим партнерам выходные данные последовательной консоли и предоставить достаточно времени ожидания для подключения диска операционной системы из облачного хранилища. Добавьте следующие параметры в загрузочную строку ядра образа: console=ttyS0 earlyprintk=ttyS0 rootdelay=300. |
| Развертывание | На диске операционной системы отсутствует раздел подкачки. Можно запросить подкачку для создания локального диска ресурсов с помощью агента Linux. |
| Развертывание | Создайте один корневой раздел для диска операционной системы. |
| Развертывание | Только 64-разрядная операционная система. |
Образы Windows Server
| Категория | Проверить |
|---|---|
| Безопасность | Используйте безопасный базовый образ ОС. Виртуальный жесткий диск, используемый для источника любого образа на основе Windows Server, должен быть из образов ОС Windows Server, предоставленных через Microsoft Azure. |
| Безопасность | Установите все последние обновления безопасности. |
| Безопасность | Приложения не должны зависеть от служебных имен пользователей, таких как administrator, root или admin. |
| Безопасность | Включите шифрование диска BitLocker как для жестких дисков ОС, так и для жестких дисков данных. |
| Безопасность | Снизьте уязвимость среды, используя минимальный объем памяти и включив только необходимые роли Windows Server, компоненты, службы и сетевые порты. |
| Безопасность | Сканируйте исходный код и итоговый образ виртуальной машины на наличие вредоносных программ. |
| Безопасность | Установите автоматическое обновление системы безопасности образов Windows Server. |
| Безопасность | Образ VHD должен содержать только необходимые заблокированные учетные записи, которые не имеют паролей по умолчанию, позволяющих выполнять интерактивный вход в систему, и не имеют "черных входов". |
| Безопасность | Отключите правила брандмауэра. Исключением будут случаи, когда приложение зависит от них функционально, например устройство брандмауэра. |
| Безопасность | Удалите всю конфиденциальную информацию из образа VHD, включая файлы hosts, файлы журналов и ненужные сертификаты. |
| Развертывание | Только 64-разрядная операционная система. |
Даже если ваша организация не публиковала образы в Azure Marketplace, рекомендуется проверить конфигурации образов Windows и Linux на соответствие этим рекомендациям.