Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La base de référence de sécurité Azure pour Linux est une liste de recommandations de sécurité pour les machines Linux à usage général. La base de référence est implémentée via les services de gouvernance Azure (Azure Policy, Azure Machine Configuration). Les machines virtuelles Azure et les machines avec Azure Arc sont dans l’étendue.
Noms et points d’entrée
La base de référence est référencée via plusieurs synonymes dans différents blogs, documents et outils. Par exemple, « Base de référence de sécurité de calcul Azure », « Base de référence de la configuration invité », « Base de référence de sécurité Azure pour les machines virtuelles - Machines virtuelles Linux », et ainsi de suite.
Expérience Azure Policy
- Pour comportement de d’audit uniquement, affectez la définition de stratégie intégrée les machines Linux doivent répondre aux exigences de la base de référence de sécurité de calcul Azure. Pour tester ce problème, consultez Démarrage rapide : Auditer la base de référence de sécurité Azure pour Linux avec une machine de test.
- Pour comportement d’audit et de configuration (corriger), utilisez une définition de stratégie personnalisée en préversion en fonction de Démarrage rapide : Configurer la base de référence de sécurité Azure pour Linux avec une machine de test.
Expérience Microsoft Defender pour cloud
Dans Microsoft Defender pour Cloud (MDC), les recommandations s’appuient sur l’expérience Azure Policy. Si vous avez activé les fonctionnalités de sécurité du serveur dans vos paramètres MDC, vous verrez une recommandation pour démarrer l’audit des machines. À la suite de cette recommandation, le déploiement des mêmes machines Linux doit répondre aux exigences... stratégie d’audit décrite ci-dessus. Une fois les machines auditées au moins une fois, vous verrez des recommandations supplémentaires qui correspondent aux règles de base non conformes.
Considérations relatives à la préversion
- L’implémentation côté ordinateur de la ligne de base est une préversion, et doit être utilisée dans les environnements de test.
- Nous travaillons à supprimer toutes les limitations de la préversion et nous avons l’intention de supprimer cette section d’aperçu de ce document lorsque cela a lieu.
- Dans la dernière implémentation de la préversion, les modifications que vous pouvez remarquer par rapport aux préversions précédentes sont les suivantes :
- Pour la même machine, l’évaluation de conformité pour certaines règles de base peut être différente de celle qui précède. Cela résulte d’une gestion améliorée des erreurs, d’une gestion améliorée des différences de distribution, etc. pour réduire les faux positifs et les faux négatifs.
- Des robustes ont été ajoutées pour chaque état de règle afin de fournir des preuves et de la clarté sur la façon dont la conformité a été évaluée.
- Certaines définitions de règle ont été refacturées (combinées, fractionnées) pour des raisons de clarté et de cohérence, ce qui entraîne un nombre de règles mis à jour.
- Pour obtenir des canaux de commentaires, consultez la section ressources associées à la fin de cet article.
Étendue et limitations de la base de référence
- Les règles de base sont motivées par des conseils de sécurité de plusieurs sources, en particulier la ciS Distro Independent Benchmark version 2.0.0, avec une couverture d’environ 63% de cette base de référence.
- Les paramètres de règle de référence (par exemple, le port SSH attendu) ne peuvent pas être personnalisés via des paramètres de stratégie. Seuls les paramètres associés aux affectations sont disponibles, notamment :
- Indique s’il faut inclure des machines avec Arc
- Que la stratégie effet doit être
disabledou doit être l’effet normal de la stratégie donnée (AuditIfNotExistspour la stratégie d’audit,DeployIfNotExistspour configurer la stratégie)