Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Azure-Sicherheitsbasislinie für Linux ist eine Liste der Sicherheitsempfehlungen für allgemeine Linux-Computer. Der Basisplan wird über Azure Governance-Dienste (Azure Policy, Azure Machine Configuration) implementiert. Azure VMs und Azure Arc-fähige Computer sind im Bereich.
Namen und Einstiegspunkte
Der Basisplan wird über mehrere Synonyme in verschiedenen Blogs, Dokumenten und Tools bezeichnet. Beispiel: "Azure compute security baseline", "Guest Configuration baseline", "Azure security baseline for Virtual Machines - Linux Virtual Machines" usw.
Azure-Richtlinienerfahrung
- Weisen Sie für Nur-Überwachungs- Verhalten die integrierte Richtliniendefinition zu, Linux-Computer anforderungen für die Azure Compute Security Baselineerfüllen sollten. Weitere Informationen finden Sie unter Schnellstart: Überwachen der Azure-Sicherheitsbasislinie für Linux mit einem Testcomputer.
- Verwenden Sie für Audit-and-Configure (Remediate)-Verhalten eine benutzerdefinierte Vorschaurichtliniendefinition gemäß Schnellstart: Konfigurieren der Azure-Sicherheitsbasislinie für Linux mit einem Testcomputer.
Microsoft Defender für Cloud-Erfahrung
In Microsoft Defender für Cloud (MDC) basiert die Empfehlungen Erfahrung auf der Azure-Richtlinienerfahrung. Wenn Sie die Serversicherheitsfeatures in ihren MDC-Einstellungen aktiviert haben, wird eine Empfehlung zum Starten von Überwachungscomputern angezeigt. Diese Empfehlung führt zur Bereitstellung derselben Linux-Computer, die anforderungen erfüllen sollten... oben beschriebene Überwachungsrichtlinie. Nachdem Computer mindestens einmal überwacht wurden, werden zusätzliche Empfehlungen angezeigt, die nicht konformen Basisregeln entsprechen.
Überlegungen zur Vorschau
- Die computerseitige Implementierung des Basisplans ist eine Vorschau-und sollte in Testumgebungen verwendet werden.
- Wir arbeiten daran, alle Vorschaubeschränkungen zu entfernen, und wir beabsichtigen, diesen Vorschauabschnitt aus diesem Dokument zu entfernen, wenn dies stattfindet.
- In der neuesten Vorschauimplementierung können Sie im Vergleich zu früheren Vorschauen folgende Änderungen feststellen:
- Für denselben Computer kann sich die Compliancebewertung für bestimmte Basisplanregeln von vorher unterscheiden. Dies ist ein Ergebnis einer verbesserten Fehlerbehandlung, einer verbesserten Behandlung von Distro-Unterschieden usw. zur Reduzierung falsch positiver ergebnisse und falsch negativer Ergebnisse.
- Robuste Gründe wurden für jeden Regelstatus hinzugefügt, um Nachweise und Klarheit darüber zu liefern, wie die Compliance bewertet wurde.
- Bestimmte Regeldefinitionen wurden für Klarheit und Konsistenz neu berechnet (kombiniert, geteilt), was zu einer aktualisierten Regelanzahl führt.
- Feedbackkanäle finden Sie im Abschnitt Verwandte Ressourcen am Ende dieses Artikels.
Basisumfang und Einschränkungen
- Die Basisregeln werden durch Sicherheitsleitlinien aus mehreren Quellen motiviert, insbesondere die CIS Distro Independent Benchmark Version 2.0.0, mit rund 63% Abdeckung dieses Basisplans.
- Basisregeleinstellungen (z. B. erwarteter SSH-Port) können nicht über Richtlinienparameter angepasst werden. Es stehen nur zuordnungsbezogene Parameter zur Verfügung, einschließlich:
- Gibt an, ob Arc-fähige Computer eingeschlossen werden sollen.
- Gibt an, ob die Richtlinie Auswirkung
disabledsein soll oder der normale Effekt für die angegebene Richtlinie sein soll (AuditIfNotExistsfür die Überwachungsrichtlinie,DeployIfNotExistsfür die Richtlinie konfigurieren)