共用方式為

[PUBLIC PREVIEW] 快速入門:使用測試計算機稽核 Linux 的 Azure 安全性基準

  • 發行項

合規性報告的螢幕代碼段

在本指南中,您將使用 Azure 原則來針對適用於 Linux 的 Azure 安全性基準稽核測試計算機。

具體來說,您將:

  1. 建立空白 資源群組
  2. 匯入 原則 定義,並將其指派給空的資源群組
  3. 在資源群組中建立 VM,並觀察稽核結果

如果您沒有 Azure 帳戶,您可以 建立免費試用

預覽考慮

此安全性基準實作是早期 預覽

如需意見反應通道,請參閱本文結尾的 相關資源 一節。

預覽的已知問題或限制:

  • 我們鼓勵在測試環境中測試原則
  • 原則定義是手動匯入至 Azure,而不是內建的 (一旦推出開始,它會成為 Azure 原則的內建原則 - 我們將在此頁面上更新區域推出)
  • 除了 Azure 服務的一般連線需求之外,受控機器還需要存取:https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
  • 目前的基準是以 CIS 散發版本獨立基準 為基礎, 2.0.0 版,該基準的涵蓋範圍約為 63%
  • 基準設定的自定義僅限於原則的效果 - AuditIfNotExist 與 DeployIfNotExist (自動補救在有限的公開預覽中)

先決條件

嘗試本文中的步驟之前,請確定您已具備:

  1. 您有權建立資源群組、原則指派和虛擬機的 Azure 帳戶。
  2. 與 Azure 互動的慣用環境,例如:
    1. [建議]使用 Azure Cloud Shell (https://shell.azure.com 或您的本機對等專案)
    2. OR 使用您自己的電腦和殼層環境,並安裝並登入 Azure CLI
    3. OR 使用 Azure 入口網站 (https://portal.azure.com 或您的本機對等專案)

確認您已登入測試環境

  1. 使用入口網站中的帳戶資訊來查看您目前的內容。

    螢幕擷取顯示 Azure 入口網站中的帳戶資訊

建立資源群組

提示

使用「美國東部」(eastus)作為本文中範例位置是任意的。 您可以選擇任何可用的 Azure 位置。

  1. 從 Azure 入口網站流覽至 資源群組
  2. 選取 [+ 建立
  3. 選擇名稱和區域,例如 “my-demo-rg” 和 “East US”
  4. 繼續 檢閱 + 建立

匯入原則定義

預覽原則定義目前並未內建至 Azure。 下列步驟說明將它匯入為自定義原則定義。

  1. 下載 原則定義 JSON 到您的電腦,然後在您慣用的文字編輯器中開啟它。 在稍後的步驟中,您將複製並貼上此檔案的內容。
  2. 在 Azure 入口網站搜尋列中,輸入 [原則],然後從 [服務] 結果中選取 [原則]。
  3. 從 Azure 原則概觀中,流覽至 撰寫>定義
  4. 選取 [+ 原則定義],然後填入產生的窗體,如下所示:
    1. 定義位置:<選擇您的測試 Azure 訂用帳戶>
    2. 名稱:[預覽]:適用於 Linux 的 Azure 安全性基準(由 OSConfig)
    3. 類別:使用現有的 > 來賓設定
    4. 原則規則刪除 預先填入的內容,然後在步驟 1 的檔案中 貼上 JSON

將原則指派給空的測試資源群組

  1. 從 [原則定義] 頁面中,選取 [指派原則,這會帶您前往指派原則的工作流程
  2. [基本] 索引標籤:
    1. 範圍:選取您的 測試 資源群組(例如 my-demo-rg)
      1. 請小心 不要 選取整個訂用帳戶或錯誤的資源群組
    2. 原則定義:[預覽]:適用於 Linux 的 Azure 安全性基準(由 OSConfig)
    3. 指派名稱:稽核 [預覽]:Linux 的 Azure 安全性基準(由 OSConfig)
  3. [參數] 索引標籤
    1. 選擇性:繼續前往 [參數] 索引卷標,以檢查可用的參數。 如果您要使用已啟用 Arc 的電腦進行測試,而不是 Azure 虛擬機器,請務必將 「包含 Arc 機器」變更為 true
    2. 選擇性:選擇原則的效果:
      1. “AuditIfNotExist” 表示原則只會 稽核
      2. !!警告 - 自動補救會將原則定義設定為所需的狀態,並可能導致中斷 - 這是有限的公開預覽!!
      3. “DeployIfNotExist” 表示它將在 自動補救 模式中執行 - 不要在生產環境中使用它
  4. 補救 索引標籤
    1. 選擇選項以建立 受控識別,然後選擇 [系統管理]
  5. 檢閱 + 建立 索引標籤
    1. 選取 [建立
  6. 回到原則定義頁面,流覽至您剛才建立的原則指派,在 [指派] 索引卷標底下

建立測試 VM (虛擬機)並準備進行機器設定

  1. 使用下列選項建立 Linux 虛擬機:
    1. 虛擬機名稱:my-demo-vm-01
    2. 資源群組:稍早建立的空白資源群組,例如 my-demo-rg
    3. 映射:Ubuntu Server 22.04 或 RedHat Enterprise Linux (RHEL) 9
    4. VM 架構: x64
    5. VM 大小:您選擇的,但請注意,較小的 B 系列 VM 大小,例如 Standard_B2s 可以是符合成本效益的測試選項
  2. 建立 VM 之後,更新 VM 以使用電腦設定:
    1. 如果尚未存在,請新增系統指派的身分識別
    2. 新增計算機組態延伸模組 (標示為 azure Automanage Machine Configuration ]

提示

本指南中手動執行受控識別和機器設定擴充功能步驟,以減少等候和減少內容變更。 使用 Deploy prerequisites to enable Guest Configuration policies on virtual machines 內建原則方案,即可滿足這些需求。

重要:在繼續之前先休息一下

現在會自動執行數個步驟。 這些步驟可能需要幾分鐘的時間。 因此,請至少等候 15 分鐘,然後再繼續進行。

觀察結果

下列範例示範如何取得:

  1. 依合規性狀態計算的計算機計數(適用於生產規模,您可能會有數千部機器)
  2. 每個機器的合規性狀態清單
  3. 具有合規性狀態和辨識項的基準規則詳細清單(也稱為 原因

提示

預期會看到紅色 不符合規範的 結果如下。 僅限稽核的使用案例是探索現有系統與 Azure 安全性基準之間的差異。

  1. 流覽至 Azure 原則概觀頁面
  2. 點選左側導覽中的 [合規性]
  3. 按下您的 [我的示範指派...]原則指派
  4. 請注意,此頁面提供下列兩項:
    1. 依合規性狀態的計算機計數
    2. 每個機器的合規性狀態清單
  5. 當您準備好查看具有合規性狀態和辨識項的基準規則詳細清單時,請執行下列動作:
    1. 在計算機清單中(如 資源合規性所示)選取測試計算機的名稱
    2. 按兩下 [檢視資源 移至電腦概觀頁面
    3. 在左側導覽中,尋找並選取 [設定管理
    4. 在組態清單中,選取名稱以 LinuxSecurityBaseline 開頭的組態...
    5. 在設定詳細數據檢視中,使用篩選下拉式清單來 如果您想要同時查看合規性和不符合規範的規則,請選取所有

選擇性:新增更多測試機器以體驗調整規模

在本文中,原則已指派給資源群組,該群組一開始是空的,然後取得一個 VM。 雖然它會示範系統端對端工作,但不會提供大規模作業的感覺。 例如,在原則指派合規性檢視中,一部機器的餅圖可能會感到人為。

請考慮手動或透過自動化,將更多測試機器新增至資源群組。 這些機器可以是 Azure VM 或已啟用 Arc 的機器。 當您看到這些機器符合規範(或甚至失敗)時,您可以更敏銳地大規模運作 Azure 安全性基準。

清除資源

若要避免持續產生費用,請考慮刪除本文中使用的資源群組。 例如,Azure CLI 命令會 az group delete --name "my-demo-rg"

相關內容