Freigeben über

Schnellstart: Konfigurieren der Azure-Sicherheitsbasislinie für Linux mit einem Testcomputer

Bildschirmausschnitt des Complianceberichts

In diesem Handbuch verwenden Sie Azure-Richtlinie, um einen Computer mit Einstellungen aus der Azure-Sicherheitsbasislinie für Linux-zu konfigurieren. Beachten Sie, dass sich das Anwenden von Sicherheitseinstellungen auf Den Zugriff, die Workloadkompatibilität usw. auswirken kann. Eine sicherheitsrelevante Konfiguration sollte sorgfältig in ihre Umgebung eingeführt werden, während Testcomputer auf Kompatibilität überprüft werden. In diesem Leitfaden erstellen Sie eine einweg-Ressourcengruppe mit einer verfügbaren VM, um den Anwendungsumfang einzuschränken. Insbesondere werden Sie Folgendes ausführen:

  1. Erstellen einer leeren Ressourcengruppe
  2. Importieren einer Richtlinie Definition und Zuweisen der Richtlinie zur leeren Ressourcengruppe
  3. Erstellen einer VM- in der Ressourcengruppe und Beobachten der Überwachungsergebnisse

Überlegungen zur Vorschau

  1. Diese Implementierung der Sicherheitsgrundsätze ist eine eingeschränkte öffentliche Vorschauund sollte in isolierten Testumgebungen verwendet werden.
  2. Feedbackkanäle finden Sie im Abschnitt Verwandte Ressourcen am Ende dieses Artikels.
  3. Die Richtliniendefinition ist nicht in Azure integriert. Sie muss importiert werden.
  4. Beachten Sie, dass die Standardaktion dieser Richtlinie "DeployIfNotExist" lautet, und aufgrund dieser azure-osconfig versucht, alle Nicht-Compliance-Ergebnisse auf dem Zielcomputer automatisch zu beheben.
  5. Die Art und Weise, wie Sie sicherstellen können, dass die Richtlinie funktioniert hat, wenn Sie zuerst versuchen, die Richtlinie "Überwachung" zu verwenden und die Menge der "nicht konformen" Elemente anzuzeigen – sobald Sie diese Richtlinie auf den Zielcomputer anwenden, werden die nicht kompatiblen Elemente geringfügig reduziert.

Voraussetzungen

Bevor Sie die Schritte in diesem Artikel versuchen, stellen Sie sicher, dass Sie bereits folgendes haben:

  1. Ein Azure-Konto, in dem Sie Zugriff haben, um eine Ressourcengruppe, Richtlinienzuweisungen und einen virtuellen Computer zu erstellen.
    1. Wenn Sie nicht über ein Azure-Konto verfügen, können Sie eine kostenlose Testversionerstellen.
  2. Ihre bevorzugte Umgebung für die Interaktion mit Azure, z. B.:
    1. [Empfohlen] Verwenden von Azure Cloud Shell (bei https://shell.azure.com oder Ihrer lokalen Entsprechung)
    2. ODER Verwenden Ihrer eigenen Computer- und Shellumgebung mit installierter und angemeldeter Azure CLI
    3. ODER Verwenden des Azure-Portals (bei https://portal.azure.com oder Ihrer lokalen Entsprechung)

Überprüfen Sie, ob Sie bei Ihrer Testumgebung angemeldet sind

  1. Verwenden Sie die Kontoinformationen im Portal, um Ihren aktuellen Kontext anzuzeigen.

    Bildschirmaufnahme mit Kontoinformationen im Azure-Portal

Schritt 1: Erstellen einer Ressourcengruppe

Trinkgeld

Die Verwendung von "East US" (eastus) als Beispielspeicherort in diesem Artikel ist willkürlich. Sie können einen beliebigen verfügbaren Azure-Speicherort auswählen.

  1. Navigieren Sie im Azure-Portal zu Ressourcengruppen
  2. Wählen Sie + erstellen aus.
  3. Wählen Sie einen Namen und eine Region aus, z. B. "my-demo-rg" und "East US"
  4. Fahren Sie mit Überprüfung fort und erstellen Sie

Schritt 2: Importieren der Richtliniendefinition

Die Vorschaurichtliniendefinition ist derzeit nicht in Azure integriert. Die folgenden Schritte veranschaulichen den Import als benutzerdefinierte Richtliniendefinition.

  1. Laden Sie json- der Richtliniendefinition auf Ihren Computer herunter, und öffnen Sie sie in Ihrem bevorzugten Text-Editor. In einem späteren Schritt kopieren und einfügen Sie den Inhalt dieser Datei.
  2. Geben Sie in der Suchleiste des Azure-Portals "Richtlinie" ein, und wählen Sie Richtlinie aus den Ergebnissen der Dienste aus.
  3. Navigieren Sie in der Azure-Richtlinienübersicht zu Authoring>Definitions.
  4. Wählen Sie + Richtliniendefinitionaus, und füllen Sie das resultierende Formular wie folgt aus:
    1. Definitionsspeicherort: <Wählen Sie Ihr Azure-Testabonnement>
    2. Name: Konfigurieren der Azure-Sicherheitsbasislinie für Linux (unterstützt von OSConfig)
    3. Kategorie-: Vorhandene > Gastkonfiguration verwenden
    4. Richtlinienregel: Löschen den vorgefüllten Inhalt, und dann in den JSON-Code aus der Datei in Schritt 1 einfügen
Beachten Sie, dass sich Portalworkflows, URLs usw. im Laufe der Zeit weiterentwickeln. Verwenden Sie das Video für einen allgemeinen Sinn für den Workflow und nicht für technische Details.

Schritt 3: Zuweisen der Richtlinie zu Ihrer leeren Testressourcengruppe

  1. Wählen Sie auf der Seite "Richtliniendefinition" Richtlinie zuweisenaus, die Sie zum Workflow zum Zuweisen der Richtlinie führt.
  2. registerkarte Grundlagen:
    1. Bereichs-: Wählen Sie Ihre Test Ressourcengruppe aus (z. B. my-demo-rg)
      1. Achten Sie darauf, nicht, das gesamte Abonnement oder die falsche Ressourcengruppe auszuwählen.
    2. Richtliniendefinition: Konfigurieren der Azure-Sicherheitsbasislinie für Linux (unterstützt von OSConfig)
    3. Zuordnungsname: Konfigurieren der Azure-Sicherheitsbasislinie für Linux (unterstützt von OSConfig)
  3. Registerkarte Parameter
    1. Optional: Fahren Sie mit der Registerkarte Parameter fort, um zu prüfen, welche Parameter verfügbar sind. Wenn Sie einen Arc-aktivierten Computer im Gegensatz zu einem virtuellen Azure-Computer testen, müssen Sie "Arc-Computer einschließen" in trueändern.
  4. Registerkarte Korrektur
    1. Wählen Sie die Option aus, verwaltete Identitätzu erstellen, und wählen Sie "vom System verwaltet" aus.
  5. Überprüfen + Erstellen Registerkarte
    1. Wählen Sie erstellen aus.
  6. Navigieren Sie zurück auf der Seite "Richtliniendefinition" zu der soeben erstellten Richtlinienzuweisung unter der Registerkarte Aufgaben
Beachten Sie, dass sich Portalworkflows, URLs usw. im Laufe der Zeit weiterentwickeln. Verwenden Sie das Video für einen allgemeinen Sinn für den Workflow und nicht für technische Details.

Schritt 4: Erstellen eines virtuellen Testcomputers (virtueller Computer) und Vorbereiten der Computerkonfiguration

Trinkgeld

Die Wahl von Ubuntu in diesem Beispiel ist willkürlich. Informationen zu kompatiblen Distros finden Sie unter Was ist die Azure-Sicherheitsbasislinie für Linux?.

  1. Erstellen Sie einen virtuellen Linux-Computer mit den folgenden Optionen:
    1. Name des virtuellen Computers: my-demo-vm-01
    2. Ressourcengruppe: Die zuvor erstellte leere Ressourcengruppe, z. B. my-demo-rg
    3. Image: Ubuntu Server 22.04 LTS - x64 Gen2
    4. VM-Architektur: x64
    5. VM-Größe: Ihre Wahl, beachten Sie jedoch, dass kleinere VM-Größen der B-Serie wie Standard_B2s eine kostengünstige Option zum Testen sein können.
  2. Aktualisieren Sie nach der Vm-Erstellung den virtuellen Computer so, dass er mit der Computerkonfiguration funktioniert:
    1. Hinzufügen einer zugewiesenen Systemidentität, sofern noch nicht vorhanden
    2. Hinzufügen der Computerkonfigurationserweiterung (im Portal als Azure Automanage Machine Configurationbezeichnet)

Trinkgeld

Die Schritte für verwaltete Identitäts- und Computerkonfigurationserweiterungen wurden in diesem Handbuch manuell ausgeführt, um eine lineare Benutzeroberfläche bereitzustellen. Im Großen und Maßstab können diese mit der integrierten Deploy prerequisites to enable Guest Configuration policies on virtual machines-Richtlinieninitiative zufrieden sein.

Wichtig

Machen Sie eine Pause, bevor Sie fortfahren

Mehrere Schritte werden jetzt automatisch ausgeführt. Jeder dieser Schritte kann einige Minuten dauern. Bitte warten Sie daher mindestens 15 Minuten, bevor Sie fortfahren.

Schritt 5: Beobachten von Ergebnissen

Die folgenden Beispiele zeigen, wie Sie folgendes abrufen:

  1. Anzahl der Computer nach Compliancestatus (nützlich bei Produktionsmaßstaben, wo Sie möglicherweise Tausende von Computern haben)
  2. Liste der Computer mit dem Konformitätsstatus für die einzelnen Computer
  3. Detaillierte Liste der Basisregeln mit Konformitätsstatus und Nachweisen (auch bekannt als Gründe) für jede

Trinkgeld

Erwarten Sie, dass einige verbleibende nicht konformen Ergebnisse in der folgenden Abbildung angezeigt werden. Dieses Feature kann >90% von Basisplanregeln für die meisten Systeme konfigurieren, einige Basisplanregeln sind jedoch unmöglich oder riskant für die automatische Korrektur.

Beispielsweise gibt eine der Basisregeln an, dass die Hostfirewall über eine standardmäßige DROP-Richtlinie verfügen soll. Das ist wünschenswert, aber erst nachdem Sie unabhängig alle erforderlichen ALLOW-Regeln für Ihre Umgebung erstellt haben. Dementsprechend bleibt dies der manuellen Wartung überlassen.

  1. Navigieren Sie zur Übersichtsseite für Azure-Richtlinien
  2. Klicken Sie im linken Navigationsbereich auf "Compliance".
  3. Klicken Sie auf die zuvor erstellte Richtlinienzuweisung, z. B. Konfigurieren der Azure-Sicherheitsbasislinie für Linux (unterstützt von OSConfig)
  4. Beachten Sie, dass diese Seite beides bietet:
    1. Anzahl der Computer nach Compliancestatus
    2. Liste der Computer mit dem Konformitätsstatus für die einzelnen Computer
  5. Wenn Sie bereit sind, eine detaillierte Liste der Basisregeln mit Compliancestatus und Nachweisen anzuzeigen, gehen Sie wie folgt vor:
    1. Wählen Sie in der Liste der Computer (unter Ressourcenkompatibilität) den Namen Ihres Testcomputers aus.
    2. Klicken Sie auf Ressource anzeigen, um zur Seite "Computerübersicht" zu wechseln.
    3. Suchen Und wählen Sie in der linken Navigationsleiste Konfigurationsverwaltung
    4. Wählen Sie in der Liste der Konfigurationen die Konfiguration aus, deren Name mit SetAzureLinuxBaseline beginnt...
    5. Verwenden Sie in der Ansicht "Konfigurationsdetails" die Dropdownliste "Filter", um "Alle auswählen", wenn sowohl kompatible als auch nicht kompatible Regeln angezeigt werden sollen.

Optional: Hinzufügen weiterer Testcomputer zur Skalierung der Oberfläche

In diesem Artikel wurde die Richtlinie einer Ressourcengruppe zugewiesen, die anfangs leer war und dann eine VM erhielt. Während es zeigt, dass das System end-to-End funktioniert, bietet es kein Gefühl für vorgänge im großen Maßstab. Beispielsweise kann sich in der Richtlinienzuweisungskompatibilitätsansicht ein Kreisdiagramm eines Computers künstlich fühlen.

Erwägen Sie das Hinzufügen weiterer Testcomputer zur Ressourcengruppe, unabhängig davon, ob manuell oder über automatisierung. Diese Computer können Azure-VMs oder Arc-fähige Computer sein. Wenn Sie sehen, dass diese Computer in Die Compliance kommen (oder sogar fehlschlagen), können Sie ein starkes Gefühl für die Operationalisierung von Azure-Sicherheitsgrundwerten im Großen und Umfang gewinnen.

Bereinigen von Ressourcen

Um laufende Gebühren zu vermeiden, sollten Sie die in diesem Artikel verwendete Ressourcengruppe löschen. Der Azure CLI-Befehl wäre z. B. az group delete --name "my-demo-rg".

Verwandte Inhalte

  • Last updated on