Freigeben über

Sichere Bereitstellung von SSH-Servereinstellungen mit Azure-Richtlinie

Erfahren Sie, wie Sie SSHD-Einstellungen in Ihrer Serverflotte nahtlos mit diesem Artikel konfigurieren können, beginnend mit einer sorgfältigen Prüfung vorhandener Konfigurationen, um sicherzustellen, dass jede Änderung präzise und sorgfältig implementiert wird.

Eine detailliertere Übersicht über das SSH-Haltungssteuerelement finden Sie unter Übersicht: Was ist SSH-Haltungssteuerung?.

Die Herausforderung

Stellen Sie sich vor, Sie sind ein Administrator, der für eine ausgedehnte Flotte von Linux-Computern verantwortlich ist. Jeder Computer ist ein potenzieller Einstiegspunkt für Angreifer, wenn er nicht ordnungsgemäß gesichert ist. Einer der kritischen Aspekte der Sicherung dieser Computer ist die Standardisierung von SSHD-basierten Einstellungen. Die Sicherheitsrichtlinie Ihrer Organisation schreibt vor, dass alle SSHD-Ports auf einen einzelnen Port standardisiert werden. Das klingt vielleicht einfach, aber mit Hunderten oder sogar Tausenden von Maschinen kann es schnell zu einem logistischen Albtraum werden.

Die Lösung

Sie können die SSH-Haltungssteuerungsfunktion in der Azure-Richtlinien-/Computerkonfiguration verwenden. Mit diesem leistungsstarken Feature können Sie den SSH-Sicherheitsstatus über Ihre gesamte Geräteflotte hinweg überwachen und erzwingen, um Konsistenz zu gewährleisten und die Sicherheit zu verbessern. Sehen wir uns schrittweise durch den Prozess.

Schritt 1: Überwachen der aktuellen SSH-Einstellungen über die Richtlinie "Überwachen der SSH-Sicherheit für Linux"

GIF, in dem gezeigt wird, wie Sie die SSH-Richtlinie überwachen

Um bei der Konfiguration von Richtlinien über Azure-Richtlinien zu vermeiden, müssen wir den aktuellen Zustand unserer Computer verstehen. Dazu gehört die Überwachung der Computer über die SSH-Richtlinie, um festzustellen, welche Ports derzeit verwendet werden.

  1. Navigieren Sie im Azure-Portal zu "Richtlinie".
  2. Klicken Sie auf Definitionen.
  3. Filtern Sie nach SSH, und wählen Sie die Überwachungs-SSH-Sicherheitslage für Linux-Richtlinie aus.
  4. Weisen Sie die Richtlinie zu, wenden Sie den Bereich an, und legen Sie die Parameter fest, um sicherzustellen, dass der SSH-Port auf Ihren gewünschten Port festgelegt ist.
  5. Erstellen Sie eine verwaltete Identität, überprüfen Und erstellen Sie die Richtlinie.

Lassen Sie 10 bis 15 Minuten zu, damit die Richtlinie alle Linux-Computer in Ihrer Flotte überwacht.

Die Überwachung der SSH-Richtlinie ist entscheidend, da sie ein grundlegendes Verständnis Ihres aktuellen Sicherheitsstatus bietet. Ohne diesen Schritt würden Sie richtlinien blind erzwingen, was zu Unterbrechungen oder fehlenden nicht kompatiblen Computern führen könnte. Durch die Überwachung stellen Sie zunächst sicher, dass Sie ein klares Bild Ihrer Umgebung haben, was für eine effektive Richtlinienerzwingung unerlässlich ist.

Schritt 2: Überprüfen der Ergebnisse unserer Prüfung

GIF, in dem gezeigt wird, wie Die Ergebnisse der ÜBERWACHUNGS-SSH-Richtlinie über eine Azure Resource Graph-Abfrage

Sobald die Überwachung abgeschlossen ist, ist es an der Zeit, die Ergebnisse zu überprüfen. Dies gibt uns ein klares Bild davon, welche Maschinen kompatibel sind und welche nicht.

  • Dazu können Sie eine Azure Resource Graph-Abfrage verwenden:

  • Öffnen Sie die Abfrage, um die verschiedenen Ports auf Ihrer Maschinenflotte zu durchsuchen.

    • Führen Sie die Abfrage aus, um eine Zeile pro Computer mit den Überwachungsdaten für den Port in den Spalten anzuzeigen.
         // SSH port rule detail
     GuestConfigurationResources
     | where name contains "LinuxSshServerSecurityBaseline"
     | project report = properties.latestAssignmentReport,
      machine = split(properties.targetResourceId,'/')[-1],
      lastComplianceStatusChecked=properties.lastComplianceStatusChecked
     | mv-expand report.resources
     | project machine,
      rule = report_resources.resourceId,
      ruleComplianceStatus = report_resources.complianceStatus,
      ruleComplianceReason = report_resources.reasons[0].phrase,
      lastComplianceStatusChecked
     | where rule contains('port')

In der obigen Bildschirmaufnahme können wir sehen, dass einige Computer Port 22 verwenden, während andere unterschiedliche Ports verwenden.

Anmerkung

Abfragen wie die oben gezeigte können entsprechend den gewünschten Anforderungen von Administratoren bearbeitet werden, z. B. abfragen, um nach Computern zu suchen, die die Stammanmeldung zulassen.

Durch die Überprüfung der Überwachungsergebnisse können Sie Muster und Ausreißer in Ihrer Flotte identifizieren. Dieser Schritt ist für das Anheften bestimmter Computer, die Aufmerksamkeit benötigen, und das Verständnis der allgemeinen Complianceebene unerlässlich. Es hilft auch bei der Kommunikation mit dem aktuellen Zustand mit den Beteiligten, um Transparenz zu schaffen und Vertrauen in den Prozess zu schaffen.

Schritt 3: Kommunizieren von Änderungen

Da wir nun wissen, welche Computer andere Ports als den gewünschten Port verwenden, ist es wichtig, diese Änderungen an die Projektbeteiligten zu kommunizieren. Dadurch wird sichergestellt, dass alle über die bevorstehenden Änderungen informiert sind und ihre Workflows entsprechend aktualisieren können.

Wichtig

Eine effektive Kommunikation ist der Schlüssel zur erfolgreichen Umsetzung der Politik. Indem Sie die Beteiligten über die Änderungen informieren, stellen Sie sicher, dass es keine Überraschungen gibt und dass jeder auf den Übergang vorbereitet ist. Dieser Schritt trägt dazu bei, ein Buy-In aus verschiedenen Teams zu gewinnen und den Widerstand gegen die Änderungen zu minimieren.

Schritt 4: Erzwingen neuer Einstellungen durch die Richtlinie "Konfigurieren des SSH-Sicherheitsstatus für Linux"

GIF, in dem gezeigt wird, wie die für die Erzwingungs-SSH-Richtlinie festgelegt wird

Mit der Genehmigung der Projektbeteiligten können wir jetzt die SSH-Richtlinie konfigurieren. In diesem Schritt werden die SSHD-Ports auf allen Computern standardisiert.

  1. Wechseln Sie zu Richtliniendefinitionen.
  2. Filtern Sie nach SSH- und wählen Sie SSH-Sicherheitsstatus für Linux-konfigurieren aus.
  3. Weisen Sie die Richtlinie zu, wählen Sie den Bereich aus, und legen Sie die Parameter fest, um sicherzustellen, dass der Port auf den gewünschten Port festgelegt ist.
  4. Aktivieren Sie die Korrektur, um die Ports und alle Computer zu ändern, die vor dem Festlegen der Richtlinie erstellt wurden.
  5. Überprüfen Sie die Richtlinie, und erstellen Sie dann die Richtlinie.

Das Erzwingen der Configure SSH-Richtlinie ist der wichtige Schritt, in dem die tatsächlichen Änderungen vorgenommen werden. Dieser Schritt stellt sicher, dass alle Computer den Sicherheitsstandards entsprechen, die Angriffsfläche verringern und die Gesamtsicherheit verbessern. Durch die Aktivierung der Wartung automatisieren Sie den Prozess, sparen Zeit und Aufwand und sorgen gleichzeitig für Konsistenz in der gesamten Flotte.

Schritt 5: Überprüfen unserer Änderungen

GIF, das zeigt, wie Sie ssh-Richtlinienergebnisse über eine Azure Resource Graph-Abfrage

Nach ein paar Stunden ist es an der Zeit, zu überprüfen, ob alle Computer jetzt Ihren gewünschten Port verwenden. Sie können dieselbe Abfrage wie zuvor ausführen, um den Compliancestatus zu überprüfen.

Wichtig

Die Überprüfung ist der letzte Schritt, um sicherzustellen, dass die Richtlinienerzwingung erfolgreich war. Dieser Schritt stellt sicher, dass alle Computer kompatibel sind und dass die Änderungen ordnungsgemäß angewendet wurden. Es hilft auch bei der Identifizierung von Problemen, die während des Erzwingungsprozesses auftreten können, was eine zeitnahe Lösung ermöglicht.

Heraufkommend

Die Azure Security-Basislinie für Linux befindet sich jetzt in der öffentlichen Vorschau! Es enthält SSH-Haltungskontrolle sowie mehr Sicherheits- und Verwaltungsregeln, um Ihre Flotte von Linux-Geräten besser zu schützen. Weitere Informationen finden Sie unter Schnellstart: Überwachen der Azure-Sicherheitsbasislinie für Linux mit einem Testcomputer.

Weitere Dokumentation

  • Last updated on