[PUBLIC PREVIEW] Snabbstart: Granska Azures säkerhetsbaslinje för Linux med en testdator

I den här guiden använder du Azure Policy för att granska en testdator mot Azure-säkerhetsbaslinjen för Linux.

Mer specifikt kommer du att:

1. Skapa en tom resursgrupp
2. Importera en princip definition och tilldela den till den tomma resursgruppen
3. Skapa en virtuell dator i resursgruppen och observera granskningsresultaten

Om du inte har något Azure-konto kan du skapa en kostnadsfri utvärderingsversion.

Förhandsversionsöverväganden

Den här implementeringen av säkerhetsbaslinjen är en tidig förhandsversion.

Feedbackkanaler finns i avsnittet Relaterade resurser i slutet av den här artikeln.

Kända problem eller begränsningar i förhandsversionen:

• Vi rekommenderar att du testar principen i en testmiljö
• Principdefinitionen importeras manuellt till Azure, inte inbyggd (när distributionen startar blir den en inbyggd princip för Azure Policy – vi uppdaterar den regionala distributionen på den här sidan)
• Förutom vanliga anslutningskrav för Azure-tjänster kräver hanterade datorer åtkomst till: https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
• Den aktuella baslinjen baseras på CIS Distro Independent Benchmark – version 2.0.0 och har cirka 63% täckning av baslinjen
• Anpassningen av baslinjeinställningarna är begränsad till principens effekt – AuditIfNotExist jämfört med DeployIfNotExist (automatisk reparation finns i begränsad offentlig förhandsversion)

Förutsättningar

Kontrollera att du redan har följande innan du försöker utföra stegen i den här artikeln:

1. Ett Azure-konto där du har åtkomst till att skapa en resursgrupp, principtilldelningar och en virtuell dator.
2. Din föredragna miljö för att interagera med Azure, till exempel:
   1. [Rekommenderas] Använda Azure Cloud Shell (på https://shell.azure.com eller din lokala motsvarighet)
   2. ELLER Använd din egen dator- och gränssnittsmiljö med Azure CLI installerat och loggat in
   3. ELLER Använd Azure-portalen (på https://portal.azure.com eller din lokala motsvarighet)

Kontrollera att du är inloggad i testmiljön

Azure-portalen

1. Använd kontoinformationen i portalen för att se din aktuella kontext.

   

Azure CLI-

1. Du kan använda az account show för att se din aktuella kontext. Om du vill logga in eller ändra kontexter använder du az account login.
2. Principdefinitionen importeras till prenumerationen som visas som id som svar på az account show

Skapa en resursgrupp

Dricks

Det är godtyckligt att använda "USA, östra" (eastus) som en exempelplats i den här artikeln. Du kan välja valfri tillgänglig Azure-plats.

Azure-portalen

1. Från Azure-portalen bläddrar du till resursgrupper
2. Välj + Skapa
3. Välj ett namn och en region, till exempel "my-demo-rg" och "USA, östra"
4. Gå vidare till Granska + skapa

Azure CLI-

az group create --name my-demo-rg --location eastus

Importera principdefinitionen

Principdefinitionen för förhandsversionen är inte inbyggd i Azure just nu. Följande steg visar hur du importerar den som en anpassad principdefinition.

Azure-portalen

1. Ladda ned principdefinitionen JSON till datorn och öppna den i önskad textredigerare. I ett senare steg kopierar och klistrar du in innehållet i den här filen.
2. I sökfältet i Azure-portalen skriver du Princip och väljer Princip i tjänsternas resultat.
3. I översikten över Azure Policy navigerar du till Redigering>Definitioner.
4. Välj + Principdefinitionoch fyll i det resulterande formuläret på följande sätt:
   1. Definitionsplats: <välja din Azure-testprenumeration>
   2. Namn: [Förhandsversion]: Azure-säkerhetsbaslinje för Linux (efter OSConfig)
   3. Category: Använd befintlig > gästkonfiguration
   4. principregel: Ta bort det förfyllda innehållet och klistra sedan in i JSON från filen i steg 1

Azure CLI-

Om du använder en specialiserad Azure-miljö, till exempel ett myndighetsmoln, kan du behöva ersätta management.azure.com i följande az rest-kommando med din lokala slutpunkt.

curl -L https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

Tilldela principen till din tomma testresursgrupp

Azure-portalen

1. På sidan Principdefinition väljer du Tilldela princip, som tar dig till arbetsflödet för att tilldela principen
2. fliken Grundläggande:
   1. Scope: Välj din testa resursgrupp (till exempel my-demo-rg)
      1. Var försiktig inte att välja hela prenumerationen eller fel resursgrupp
   2. Principdefinition: [Förhandsversion]: Azure-säkerhetsbaslinje för Linux (efter OSConfig)
   3. Tilldelningsnamn: Granskning [förhandsversion]: Azure-säkerhetsbaslinje för Linux (efter OSConfig)
3. fliken Parametrar
   1. Valfritt: Gå till fliken Parametrar för att kontrollera vilka parametrar som är tillgängliga. Om du testar med en Arc-aktiverad dator i stället för en virtuell Azure-dator måste du ändra "inkludera Arc-datorer" till sant.
   2. Valfritt: Välj effekten av principen:
      1. "AuditIfNotExist" innebär att principen endast granska
      2. !! Varning – den automatiska reparationen anger principdefinitionerna till önskat tillstånd och kan orsaka avbrott – det här är en begränsad offentlig förhandsversion!
      3. "DeployIfNotExist" innebär att det körs i automatiskt reparationsläge läge – inte använder det i produktionsläge
4. fliken Reparation
   1. Välj alternativet för att skapa hanterad identitetoch välj "systemhanterad"
5. fliken Granska + skapa
   1. Välj Skapa
6. Gå tillbaka till principdefinitionssidan och gå till den principtilldelning som du nyss skapade under fliken Tilldelningar

Azure CLI-

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Audit [Preview]: Azure security baseline for Linux (by OSConfig)" --scope "$RG_ID" --params '{"banner":{"value":"TEST VALUE. KEEP OUT!"}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Skapa en virtuell testdator (virtuell dator) och förbered den för datorkonfiguration

Azure-portalen

1. Skapa en virtuell Linux-dator med följande alternativ:
   1. Namn på virtuell dator: my-demo-vm-01
   2. Resursgrupp: Den tomma resursgruppen som skapades tidigare, t.ex. my-demo-rg
   3. Image: Ubuntu Server 22.04 eller RedHat Enterprise Linux (RHEL) 9
   4. VM-arkitektur: x64
   5. VM-storlek: Ditt val, men observera att mindre vm-storlekar i B-serien, till exempel Standard_B2s, kan vara ett kostnadseffektivt alternativ för testning
2. När den virtuella datorn har skapats uppdaterar du den virtuella datorn så att den fungerar med Datorkonfiguration:
   1. Lägg till en systemtilldelad identitet, om den inte redan finns
   2. Lägg till datorkonfigurationstillägget (märkt i portalen som Azure Automanage Machine Configuration)

Dricks

Tilläggsstegen för hanterad identitet och datorkonfiguration utfördes manuellt i den här guiden för att minska väntetiden och minska kontextändringarna. I stor skala kan dessa uppfyllas med hjälp av det Deploy prerequisites to enable Guest Configuration policies on virtual machines inbyggda principinitiativet.

Azure CLI-

1. Skapa en virtuell Linux-dator med en systemtilldelad identitet

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   Dricks

   Det är normalt att ta emot en avisering som liknar "Ingen åtkomst har getts ännu...". Azure Machine Configuration kräver bara att datorn har en hanterad identitet, inte någon specifik resursåtkomst.

2. Installera Machine Configuration-agenten som ett Azure VM-tillägg

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

VIKTIGT: Ta en paus innan du fortsätter

Flera steg kommer nu att utföras automatiskt. Var och en av dessa steg kan ta några minuter. Vänta därför minst 15 minuter innan du fortsätter.

Observera resultat

Följande exempel visar hur du hämtar:

1. Antal datorer efter efterlevnadstillstånd (användbart i produktionsskalor, där du kan ha tusentals datorer)
2. Lista över datorer med efterlevnadstillstånd för varje
3. Detaljerad lista över baslinjeregler med efterlevnadstillstånd och bevis (kallas även Reasons) för varje

Dricks

Förvänta dig att se röda icke-kompatibla resulterar i följande. Användningsfallet endast för granskning handlar om att identifiera skillnaden mellan befintliga system och Azure-säkerhetsbaslinjen.

Azure-portalen

1. Gå till översiktssidan för Azure Policy
2. Klicka på "Efterlevnad" i det vänstra navigeringsfältet
3. Klicka på din "Min demotilldelning av..." principtilldelning
4. Observera att den här sidan innehåller båda:
   1. Antal datorer efter efterlevnadstillstånd
   2. Lista över datorer med efterlevnadstillstånd för varje
5. När du är redo att se en detaljerad lista över baslinjeregler med efterlevnadstillstånd och bevis gör du följande:
   1. I listan över datorer (visas under Resursefterlevnad) väljer du namnet på testdatorn
   2. Klicka på Visa resurs för att gå till översiktssidan för datorn
   3. I det vänstra navigeringsfältet letar du upp och väljer Konfigurationshantering
   4. I listan med konfigurationer väljer du den konfiguration vars namn börjar med LinuxSecurityBaseline...
   5. I konfigurationsinformationsvyn använder du listrutan filter för att Välj alla om du vill se både efterlevnadsregler och icke-kompatibla regler

Azure CLI-

Följande Azure CLI-exempel kommer från en bash- miljö. Om du vill använda en annan gränssnittsmiljö kan du behöva justera exempel för radslutsbeteende, offertregler, tecken som flyr och så vidare.

1. Antal datorer efter kompatibilitetstillstånd:

   QUERY='
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

2. Lista över datorer med kompatibilitetstillstånd för var och en:

   QUERY='
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

3. Detaljerad lista över baslinjeregler med efterlevnadstillstånd och bevis (kallas även Reasons) för var och en:

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "LinuxSecurityBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

Valfritt: Lägg till fler testdatorer för att uppleva skalning

I den här artikeln tilldelades principen till en resursgrupp som ursprungligen var tom och sedan fick en virtuell dator. Även om det visar att systemet fungerar från slutpunkt till slutpunkt ger det ingen känsla av skalningsåtgärder. I kompatibilitetsvyn för principtilldelning kan till exempel ett cirkeldiagram över en dator kännas artificiellt.

Överväg att lägga till fler testdatorer i resursgruppen, antingen manuellt eller via automatisering. Dessa datorer kan vara virtuella Azure-datorer eller Arc-aktiverade datorer. När du ser att dessa datorer är kompatibla (eller till och med misslyckas) kan du få en mer omfattande känsla av att operationalisera Azure-säkerhetsbaslinjen i stor skala.

Rensa resurser

Om du vill undvika löpande avgifter bör du överväga att ta bort den resursgrupp som används i den här artikeln. Azure CLI-kommandot skulle till exempel vara az group delete --name "my-demo-rg".

---

Relaterat innehåll

• För att ge feedback, diskutera funktionsförfrågningar osv. kontakta: linux_sec_config_mgmt@service.microsoft.com
• Läs mer om lanseringsbloggen som tillkännagavs på Ignite 2024
• registrera dig för den begränsade förhandsversionen av automatisk reparation att arbeta tillsammans med oss och hjälpa till att forma framtiden för den här funktionen