Compartir a través de

Inicio rápido: Configuración de la línea base de seguridad de Azure para Linux con una máquina de prueba

Fragmento de pantalla del informe de cumplimiento

En esta guía, usará Azure Policy para configurar una máquina con valores de la línea de base de seguridad de Azure para Linux. Tenga en cuenta que aplicar la configuración de seguridad puede afectar al acceso, la compatibilidad de la carga de trabajo, etc. Uno debe introducir la configuración de seguridad en su entorno cuidadosamente al evaluar las máquinas de prueba para la compatibilidad. En esta guía se crea un grupo de recursos descartable con una máquina virtual descartable para limitar el ámbito de la aplicación. En concreto, hará lo siguiente:

  1. Creación de un grupo de recursos de vacío
  2. Importar una directiva de definición y asignarla al grupo de recursos vacío
  3. Creación de un de máquina virtual de en el grupo de recursos y observación de los resultados de la auditoría

Consideraciones sobre la versión preliminar

  1. Esta implementación de línea de base de seguridad es una versión preliminar pública limitaday debe usarse en entornos de prueba aislados.
  2. Para ver los canales de comentarios, consulte la sección Recursos relacionados al final de este artículo.
  3. La definición de directiva no está integrada en Azure. Debe importarse.
  4. Tenga en cuenta que la acción predeterminada de esta directiva es "DeployIfNotExist" y, como resultado de esa instancia de azure-osconfig, intentará corregir automáticamente todos los resultados de incumplimiento en la máquina de destino.
  5. La forma en que puede asegurarse de que la directiva ha funcionado si intenta usar primero la directiva "Auditar" y ver la cantidad de elementos "no compatibles", una vez que aplique esta directiva en el equipo de destino, los elementos no compatibles se reducirán marginalmente.

Prerrequisitos

Antes de intentar los pasos de este artículo, asegúrese de que ya tiene:

  1. Una cuenta de Azure donde tiene acceso para crear un grupo de recursos, asignaciones de directivas y una máquina virtual.
    1. Si no tiene una cuenta de Azure, puede crear una evaluación gratuita.
  2. Su entorno preferido para interactuar con Azure, como:
    1. [Recomendado] Uso de Azure Cloud Shell (en https://shell.azure.com o su equivalente local)
    2. OR Use su propio entorno de máquina y shell con la CLI de Azure instalada e iniciada.
    3. OR Use Azure Portal (en https://portal.azure.com o el equivalente local).

Compruebe que ha iniciado sesión en el entorno de prueba.

  1. Use la información de la cuenta en el portal para ver el contexto actual.

    captura de pantalla de en la que se muestra la información de la cuenta en Azure Portal

Paso 1: Creación de un grupo de recursos

Propina

El uso de "Este de EE. UU. " (eastus) como una ubicación de ejemplo en este artículo es arbitrario. Puede elegir cualquier ubicación de Azure disponible.

  1. En Azure Portal, vaya a Grupos de recursos
  2. Seleccione + Crear
  3. Elija un nombre y una región, como "my-demo-rg" y "Este de EE. UU. "
  4. Continúe con Revisar y crear

Paso 2: Importación de la definición de directiva

La definición de directiva de versión preliminar no está integrada en Azure en este momento. Los pasos siguientes muestran cómo importarlo como una definición de directiva personalizada.

  1. Descargue la definición de directiva JSON en el equipo y ábralo en el editor de texto que prefiera. En un paso posterior, copiará y pegará el contenido de este archivo.
  2. En la barra de búsqueda de Azure Portal, escriba Directiva y seleccione Directiva en los resultados de servicios.
  3. En la información general de Azure Policy, vaya a Creación de definiciones de>.
  4. Seleccione + Definición de directivay rellene el formulario resultante de la siguiente manera:
    1. ubicación de definición: <elegir la suscripción de Azure de prueba>
    2. Nombre: configuración de la línea de base de seguridad de Azure para Linux (con tecnología de OSConfig)
    3. categoría: usar la configuración de invitado de > existente
    4. regla de directiva: Eliminar el contenido rellenado previamente y, a continuación, pegar en el json del archivo en el paso 1
Tenga en cuenta que los flujos de trabajo del portal, las direcciones URL, etc. evolucionan con el tiempo. Use el vídeo para obtener una idea general del flujo de trabajo en lugar de detalles técnicos.

Paso 3: Asignación de la directiva al grupo de recursos de prueba vacío

  1. En la página Definición de directiva, seleccione Asignar directiva, que le llevará al flujo de trabajo para asignar la directiva.
  2. pestaña Aspectos básicos:
    1. ámbito: seleccione el grupo de recursos de prueba de (por ejemplo, my-demo-rg)
      1. Tenga cuidado no para seleccionar toda la suscripción o el grupo de recursos incorrecto
    2. definición de directiva: configuración de la línea de base de seguridad de Azure para Linux (con tecnología de OSConfig)
    3. Nombre de asignación: configuración de la línea base de seguridad de Azure para Linux (con tecnología de OSConfig)
  3. pestaña Parámetros de
    1. Opcional: continúe con la pestaña Parámetros de para inspeccionar qué parámetros están disponibles. Si está probando con una máquina habilitada para Arc en lugar de una máquina virtual de Azure, asegúrese de cambiar "incluir máquinas arc" a true.
  4. pestaña corrección de
    1. Elija la opción para crear identidad administraday elija "administrado por el sistema".
  5. pestaña Revisar y crear
    1. Seleccione Crear
  6. De nuevo en la página de definición de directiva, vaya a la asignación de directiva que acaba de crear, en la pestaña Asignaciones
Tenga en cuenta que los flujos de trabajo del portal, las direcciones URL, etc. evolucionan con el tiempo. Use el vídeo para obtener una idea general del flujo de trabajo en lugar de detalles técnicos.

Paso 4: Crear una máquina virtual de prueba (máquina virtual) y prepararla para la configuración de la máquina

Propina

La elección de Ubuntu en este ejemplo es arbitraria. Para obtener información sobre las distribuciones compatibles, consulte ¿Qué es la línea de base de seguridad de Azure para Linux?.

  1. Cree una máquina virtual Linux con las siguientes opciones:
    1. nombre de máquina virtual: my-demo-vm-01
    2. grupo de recursos: el grupo de recursos vacío creado anteriormente, por ejemplo, my-demo-rg
    3. image: Ubuntu Server 22.04 LTS - x64 Gen2
    4. arquitectura de máquina virtual: x64
    5. tamaño de máquina virtual: su elección, pero tenga en cuenta que los tamaños de máquina virtual de la serie B más pequeños, como Standard_B2s, pueden ser una opción rentable para las pruebas.
  2. Después de la creación de la máquina virtual, actualice la máquina virtual para que funcione con la configuración de la máquina:
    1. Agregar una identidad asignada por el sistema, si aún no está presente
    2. Agregue la extensión Machine Configuration (etiquetada en el portal como Azure Automanage Machine Configuration)

Propina

Los pasos de la extensión de configuración de máquina y identidad administrada se realizaron manualmente en esta guía para proporcionar una experiencia lineal. A escala, se pueden satisfacer mediante la Deploy prerequisites to enable Guest Configuration policies on virtual machines iniciativa de directiva integrada.

Importante

Tómese un descanso antes de continuar

Ahora se realizarán varios pasos automáticamente. Cada uno de estos pasos puede tardar unos minutos. Por lo tanto, espere a al menos 15 minutos antes de continuar.

Paso 5: Observar los resultados

En los ejemplos siguientes se muestra cómo obtener:

  1. Recuento de máquinas por estado de cumplimiento (útil a escalas de producción, donde puede tener miles de máquinas)
  2. Lista de máquinas con estado de cumplimiento para cada uno
  3. Lista detallada de reglas de línea base con estado de cumplimiento y evidencia (también conocido como Razones) para cada uno

Propina

Espere ver algunos no conformes resultados en lo siguiente. Esta característica puede configurar >90% de reglas de línea base en la mayoría de los sistemas, pero algunas reglas de línea base son imposibles o arriesgadas para corregir automáticamente.

Por ejemplo, una de las reglas de línea base indica que el firewall de host debe tener una directiva DROP predeterminada. Eso es deseable, pero solo después de haber creado de forma independiente todas las reglas ALLOW necesarias para su entorno. En consecuencia, esto queda a la corrección manual.

  1. Vaya a la página de información general de Azure Policy.
  2. Haga clic en "Cumplimiento" en el panel de navegación izquierdo.
  3. Haga clic en la asignación de directiva que creó anteriormente, por ejemplo, Configuración de la línea de base de seguridad de Azure para Linux (con tecnología de OSConfig)
  4. Tenga en cuenta que esta página proporciona las dos opciones:
    1. Recuento de máquinas por estado de cumplimiento
    2. Lista de máquinas con estado de cumplimiento para cada uno
  5. Cuando esté listo para ver una lista detallada de reglas de línea base con estado de cumplimiento y evidencia, haga lo siguiente:
    1. En la lista de máquinas (que se muestra en cumplimiento de recursos) seleccione el nombre de la máquina de prueba.
    2. Haga clic en Ver de recursos para ir a la página de información general de la máquina.
    3. En el panel de navegación izquierdo, busque y seleccione Administración de configuración
    4. En la lista de configuraciones, seleccione la configuración cuyo nombre comienza por SetAzureLinuxBaseline...
    5. En la vista de detalles de configuración, use la lista desplegable filtro para Seleccionar todas las si desea ver reglas compatibles y no compatibles.

Opcional: Agregar más máquinas de prueba para experimentar el escalado

En este artículo, la directiva se asignó a un grupo de recursos que inicialmente estaba vacío y, a continuación, obtuvo una máquina virtual. Aunque muestra el sistema que funciona de un extremo a otro, no proporciona una sensación de operaciones a escala. Por ejemplo, en la vista cumplimiento de la asignación de directivas, un gráfico circular de una máquina puede sentirse artificial.

Considere la posibilidad de agregar más máquinas de prueba al grupo de recursos, ya sea manualmente o a través de la automatización. Estas máquinas podrían ser máquinas virtuales de Azure o máquinas habilitadas para Arc. Como ve que esas máquinas entran en cumplimiento (o incluso fallan), puede tener una idea más profunda de la puesta en marcha de la línea de base de seguridad de Azure a escala.

Limpieza de recursos

Para evitar cargos en curso, considere la posibilidad de eliminar el grupo de recursos usado en este artículo. Por ejemplo, el comando de la CLI de Azure sería az group delete --name "my-demo-rg".

Contenido relacionado

  • Last updated on