Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Descubra cómo configurar sin problemas las opciones de SSHD en toda la flota de servidores con este artículo, empezando por una auditoría minuciosa de las configuraciones existentes para asegurarse de que todos los cambios se implementan con precisión y cuidado.
Para obtener información general más detallada sobre el control de posición ssh, consulte Información general: ¿Qué es el control de posición ssh?.
El desafío
Imagine que es un administrador responsable de una amplia flota de máquinas Linux. Cada máquina es un posible punto de entrada para los atacantes si no está protegido correctamente. Uno de los aspectos críticos de la protección de estas máquinas es la estandarización de la configuración basada en SSHD. La directiva de seguridad de la organización exige que todos los puertos SSHD se normalicen en un único puerto. Esto puede sonar sencillo, pero con cientos o incluso miles de máquinas, puede convertirse rápidamente en una pesadilla logística.
La solución
Puede usar la característica De control de posición SSH en Azure Policy/Machine Configuration. Esta eficaz característica le permite auditar y aplicar la posición de seguridad ssh en toda la flota de dispositivos, lo que garantiza la coherencia y mejora de la seguridad. Vamos a recorrer el proceso paso a paso.
Paso 1: Auditar la configuración actual de SSH mediante la directiva "Auditar la seguridad ssh para Linux"
Para evitar cualquier suprises al configurar las directivas a través de Azure Policy, es necesario comprender el estado actual de nuestras máquinas. Esto implica la auditoría de las máquinas a través de la directiva SSH para ver qué puertos están actualmente en uso.
- Vaya a Directiva en Azure Portal.
- Haga clic en Definiciones.
- Filtre por SSH y seleccione la directiva Audit SSH Security Posture for Linux (AuditAR la posición de seguridad de SSH para Linux).
- Asigne la directiva, aplique el ámbito y establezca los parámetros para asegurarse de que el puerto SSH está establecido en en el puerto deseado.
- Cree una identidad administrada, revise y cree la directiva.
Permita entre 10 y 15 minutos para que la directiva audite todas las máquinas Linux de su flota.
La auditoría de la directiva SSH es fundamental porque proporciona una comprensión de línea de base de la posición de seguridad actual. Sin este paso, aplicaría directivas ciegamente, lo que podría provocar interrupciones o máquinas no compatibles. Al auditar primero, asegúrese de que tiene una imagen clara de su entorno, que es esencial para la aplicación de directivas eficaz.
Paso 2: Revisar los resultados de nuestra auditoría
Una vez completada la auditoría, es el momento de revisar los resultados. Esto nos dará una visión clara de qué máquinas son compatibles y cuáles no.
Para ello, puede usar una consulta de Azure Resource Graph:
Abra la consulta para examinar los distintos puertos de la flota de máquinas.
- Ejecute la consulta para mostrar una fila por máquina con los datos de auditoría del puerto en las columnas.
// SSH port rule detail GuestConfigurationResources | where name contains "LinuxSshServerSecurityBaseline" | project report = properties.latestAssignmentReport, machine = split(properties.targetResourceId,'/')[-1], lastComplianceStatusChecked=properties.lastComplianceStatusChecked | mv-expand report.resources | project machine, rule = report_resources.resourceId, ruleComplianceStatus = report_resources.complianceStatus, ruleComplianceReason = report_resources.reasons[0].phrase, lastComplianceStatusChecked | where rule contains('port')
A través de la captura de pantalla anterior, podemos ver que algunas máquinas estaban usando el puerto 22, mientras que otras estaban usando puertos diferentes.
Nota
Las consultas como la anterior se pueden editar para satisfacer las necesidades deseadas de los administradores, como consultar toda la flota para encontrar cualquier máquina que permita el inicio de sesión raíz.
Revisar los resultados de la auditoría le permite identificar patrones y valores atípicos en su flota. Este paso es esencial para identificar máquinas específicas que necesitan atención y comprender el nivel de cumplimiento general. También ayuda a comunicarse con el estado actual a las partes interesadas, proporcionando transparencia y creando confianza en el proceso.
Paso 3: Comunicar los cambios
Ahora que sabemos qué máquinas usan puertos distintos del puerto deseado, es fundamental comunicar estos cambios a las partes interesadas. Esto garantiza que todos los usuarios conozcan los próximos cambios y puedan actualizar sus flujos de trabajo en consecuencia.
Importante
La comunicación eficaz es clave para la implementación correcta de directivas. Al informar a las partes interesadas sobre los cambios, se asegura de que no haya sorpresas y de que todos estén preparados para la transición. Este paso ayuda a obtener la compra de diferentes equipos y minimiza la resistencia a los cambios.
Paso 4: Aplicar nuevas opciones a través de la directiva "Configuración de la posición de seguridad ssh para Linux"
Aplicar directiva SSH
Con la aprobación de las partes interesadas, ahora podemos aplicar la directiva de configuración de SSH. Este paso estandarizará los puertos SSHD en todas las máquinas.
- Vaya a Definiciones de directiva.
- Filtre por SSH y seleccione Configurar la posición de seguridad de SSH para Linux.
- Asigne la directiva, elija el ámbito y establezca los parámetros para asegurarse de que el puerto está establecido en el puerto deseado.
- Habilite la corrección para cambiar los puertos y todas las máquinas creadas antes de establecer la directiva.
- Revise y, a continuación, cree la directiva.
La aplicación de la directiva ssh de configuración es el paso crítico en el que se realizan los cambios reales. Este paso garantiza que todas las máquinas cumplan los estándares de seguridad, lo que reduce la superficie expuesta a ataques y mejora la seguridad general. Al habilitar la corrección, automatiza el proceso, ahorra tiempo y esfuerzo al tiempo que garantiza la coherencia en toda la flota.
Paso 5: Comprobación de los cambios
Después de unas horas, es el momento de comprobar que todas las máquinas ahora usan el puerto deseado. Puede ejecutar la misma consulta que antes para comprobar el estado de cumplimiento.
Importante
La comprobación es el paso final para asegurarse de que la aplicación de la directiva se realizó correctamente. Este paso proporciona garantía de que todas las máquinas son compatibles y que los cambios se han aplicado correctamente. También ayuda a identificar cualquier problema que pueda haber surgido durante el proceso de cumplimiento, lo que permite la resolución oportuna.
Próximamente
La línea de base de seguridad de Azure para Linux está ahora en versión preliminar pública. Incluye ssh Posture Control y más reglas de seguridad y administración para proteger mejor la flota de dispositivos Linux. Para más información, consulte Inicio rápido: Auditoría de la línea de base de seguridad de Azure para Linux con una máquina de prueba.
Más documentación
- Información general y referencia: para obtener información conceptual, referencia y preguntas más frecuentes, consulte Información general: ¿Qué es el control de posición ssh?.
- inicio rápido: para obtener una experiencia práctica de clic por clic, consulte Inicio rápido: Aplicación de control de posición SSH a una máquina de prueba.
Recursos relacionados
- Para obtener soporte técnico con problemas, etc., póngase en contacto con el soporte técnico de Microsoft.
- Para proporcionar comentarios, analice las solicitudes de características, etc. póngase en contacto: linux_sec_config_mgmt@service.microsoft.com