Démarrage rapide : Configurer la base de référence de sécurité Azure pour Linux avec une machine de test

1. Utilisez les informations de compte dans le portail pour afficher votre contexte actuel.

   capture d’écran

1. Vous pouvez utiliser az account show pour voir votre contexte actuel. Pour vous connecter ou modifier des contextes, utilisez az account login.
2. La définition de stratégie est importée dans l’abonnement qui s’affiche comme id en réponse à az account show

1. À partir du portail Azure, accédez à groupes de ressources
2. Sélectionnez + Créer
3. Choisissez un nom et une région, tels que « my-demo-rg » et « USA Est »
4. Passez à Vérifier + créer

az group create --name my-demo-rg --location eastus

1. Téléchargez la définition de stratégie JSON sur votre ordinateur et ouvrez-la dans votre éditeur de texte préféré. Dans une étape ultérieure, vous allez copier et coller le contenu de ce fichier.
2. Dans la barre de recherche du portail Azure, tapez Stratégie et sélectionnez Stratégie dans les résultats des services.
3. Dans la vue d’ensemble d’Azure Policy, accédez à >Définitions de création.
4. Sélectionnez + définition de stratégie, puis renseignez le formulaire obtenu comme suit :
   1. emplacement de définition: <choisissez votre abonnement Azure de test>
   2. Nom: Configurer la base de référence de sécurité Azure pour Linux (alimenté par OSConfig)
   3. catégorie: utiliser la configuration d’invité > existante
   4. règle de stratégie: supprimer le contenu prérempli, puis coller dans le code JSON à partir du fichier à l’étape 1

Si vous utilisez un environnement Azure spécialisé tel qu’un cloud gouvernemental, vous devrez peut-être remplacer management.azure.com dans la commande az rest commande par votre point de terminaison local.

curl -L https://github.com/Azure/azure-osconfig/releases/download/PrivatePreview_ASB_Remediation_Feb2025/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

1. Dans la page définition de stratégie, sélectionnez Affecter une stratégie, ce qui vous amène au flux de travail pour l’affectation de la stratégie
2. onglet De base :
   1. étendue: sélectionnez votre test groupe de ressources (par exemple, my-demo-rg)
      1. Veillez ne pas sélectionner l’intégralité de l’abonnement ou le groupe de ressources incorrect
   2. définition de stratégie: configurer la base de référence de sécurité Azure pour Linux (alimentée par OSConfig)
   3. nom d’affectation: Configurer la base de référence de sécurité Azure pour Linux (alimenté par OSConfig)
3. onglet Paramètres de
   1. Facultatif : passez à l’onglet Paramètres pour inspecter les paramètres disponibles. Si vous effectuez des tests avec une machine avec Arc activée par opposition à une machine virtuelle Azure, veillez à modifier « inclure des machines Arc » en vrai.
4. onglet Correction
   1. Choisissez l’option permettant de créer identité managée, puis choisissez « géré par le système »
5. Vérifier + créer un onglet
   1. Sélectionnez Créer
6. De retour à la page de définition de stratégie, accédez à l’attribution de stratégie que vous venez de créer, sous l’onglet Affectations

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Configure Azure security baseline for Linux (powered by OSConfig)" --scope "$RG_ID" --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

1. Créez une machine virtuelle Linux avec les choix suivants :
   1. nom de machine virtuelle: my-demo-vm-01
   2. groupe de ressources: groupe de ressources vide créé précédemment, par exemple my-demo-rg
   3. image: Ubuntu Server 22.04 LTS - x64 Gen2
   4. architecture de machine virtuelle: x64
   5. taille de machine virtuelle: votre choix, mais notez que les tailles de machine virtuelle de série B plus petites telles que Standard_B2s peuvent être une option économique pour les tests
2. Après la création de la machine virtuelle, mettez à jour la machine virtuelle pour qu’elle fonctionne avec la configuration de l’ordinateur :
   1. Ajouter une identité affectée par le système, s’il n’est pas déjà présent
   2. Ajouter l’extension Configuration de l’ordinateur (étiquetée dans le portail en tant que Azure Automanage Machine Configuration)

1. Créer une machine virtuelle Linux avec une identité affectée par le système

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   Pourboire

   Il est normal de recevoir un avertissement similaire à « Aucun accès n’a encore été donné... ». Il est intentionnel qu’aucun accès spécifique n’est attribué à l’identité managée, car Azure Machine Configuration nécessite uniquement que l’ordinateur dispose d’une identité managée.

2. Installer l’agent Machine Configuration en tant qu’extension de machine virtuelle Azure

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

1. Accédez à la page vue d’ensemble d’Azure Policy
2. Cliquez sur « Conformité » dans le volet de navigation gauche
3. Cliquez sur l’attribution de stratégie que vous avez créée précédemment, par exemple, Configurer la base de référence de sécurité Azure pour Linux (alimenté par OSConfig)
4. Notez que cette page fournit les deux éléments suivants :
   1. Nombre d’ordinateurs par état de conformité
   2. Liste des machines avec l’état de conformité pour chacun d’eux
5. Lorsque vous êtes prêt à afficher une liste détaillée des règles de base avec l’état de conformité et la preuve, procédez comme suit :
   1. Dans la liste des machines (affichées sous conformité des ressources) sélectionnez le nom de votre machine de test.
   2. Cliquez sur Afficher la ressource pour accéder à la page vue d’ensemble de l’ordinateur
   3. Dans le volet de navigation gauche, recherchez et sélectionnez Gestion de la configuration
   4. Dans la liste des configurations, sélectionnez la configuration dont le nom commence par SetAzureLinuxBaseline...
   5. Dans la vue détails de la configuration, utilisez la liste déroulante filtre pour Sélectionner tous les si vous souhaitez voir les règles conformes et non conformes

Les exemples Azure CLI suivants proviennent d’un environnement bash. Pour utiliser un autre environnement d’interpréteur de commandes, vous devrez peut-être ajuster des exemples pour le comportement de fin de ligne, les règles de guillemets, l’échappement de caractères, et ainsi de suite.

1. Liste des machines avec l’état de conformité pour chacun d’eux :

   az graph query --query data --output yamlc --graph-query '
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "AzureLinuxBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   

2. Nombre d’ordinateurs par état de conformité :

   az graph query --query data --output yamlc --graph-query '
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "AzureLinuxBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   

3. Liste détaillée des règles de base avec l’état de conformité et les preuves (également appelées Raisons) pour chacune d’elles :

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "AzureLinuxBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc