Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La línea de base de seguridad de Azure para Linux es una lista de recomendaciones de seguridad para máquinas Linux de uso general. La línea base se implementa a través de los servicios de gobernanza de Azure (Azure Policy, Azure Machine Configuration). Las máquinas virtuales de Azure y las máquinas habilitadas para Azure Arc están en el ámbito.
Nombres y puntos de entrada
La línea base se conoce a través de varios sinónimos en varios blogs, documentos y herramientas. Por ejemplo, "Línea de base de seguridad de proceso de Azure", "Línea de base de configuración de invitado", "Línea base de seguridad de Azure para Virtual Machines : Máquinas virtuales Linux", etc.
Experiencia de Azure Policy
- Para comportamiento de solo auditoría, asigne la definición de directiva integrada máquinas Linux debe cumplir los requisitos de la línea de base de seguridad de proceso de Azure. Para probarlo, consulte Inicio rápido: Auditoría de la línea de base de seguridad de Azure para Linux con una máquina de prueba.
- Para comportamiento de de auditoría y configuración (corrección), use una definición de directiva personalizada en versión preliminar según Inicio rápido: Configuración de la línea base de seguridad de Azure para Linux con una máquina de prueba.
Experiencia de Microsoft Defender for Cloud
En Microsoft Defender for Cloud (MDC), la experiencia de Recomendaciones se basa en la experiencia de Azure Policy. Si ha habilitado las características de seguridad del servidor en la configuración de MDC, verá una recomendación para iniciar la auditoría de máquinas. Si sigue esta recomendación, la implementación de las mismas máquinas Linux debe cumplir los requisitos... directiva de auditoría descrita anteriormente. Una vez que las máquinas se hayan auditado al menos una vez, verá recomendaciones adicionales que corresponden a reglas de línea de base no compatibles.
Consideraciones sobre la versión preliminar
- La implementación del lado máquina de la línea base es una versión preliminary debe usarse en entornos de prueba.
- Estamos trabajando para quitar las limitaciones de la versión preliminar y pretendemos quitar esta sección de vista previa de este documento cuando esto tiene lugar.
- En la implementación de la versión preliminar más reciente, los cambios que podría observar con respecto a las versiones preliminares anteriores incluyen:
- Para la misma máquina, la evaluación de cumplimiento de determinadas reglas de línea de base puede ser diferente de antes. Se trata de un resultado de un control mejorado de errores, un control mejorado de las diferencias de distribución, etc. para reducir los falsos positivos y falsos negativos.
- Se han agregado sólidas razones para cada estado de regla para proporcionar evidencia y claridad sobre cómo se evaluó el cumplimiento.
- Se han vuelto a factorizar algunas definiciones de reglas (combinadas, divididas) para mayor claridad y coherencia, lo que da lugar a un recuento de reglas actualizado.
- Para ver los canales de comentarios, consulte la sección Recursos relacionados al final de este artículo.
Ámbito y limitaciones de línea base
- Las reglas de línea base están motivados por la guía de seguridad de varios orígenes, especialmente la cis Distro Independent Benchmark versión 2.0.0, con alrededor de 63% cobertura de esa línea de base.
- La configuración de la regla de línea base (por ejemplo, el puerto SSH esperado) no se puede personalizar a través de parámetros de directiva. Solo están disponibles los parámetros relacionados con la asignación, entre los que se incluyen:
- Si se deben incluir máquinas habilitadas para Arc
- Si la directiva efecto debe ser
disabledo debe ser el efecto normal para la directiva especificada (AuditIfNotExistspara la directiva de auditoría,DeployIfNotExistspara configurar directiva).