빠른 시작: 테스트 머신을 사용하여 Linux에 대한 Azure 보안 기준 구성

1. 포털의 계정 정보를 사용하여 현재 컨텍스트를 확인합니다.

   Azure PortalScreen capture showing account information in Azure portalScreen capture showing account information in Azure portal계정 정보를 보여 주는화면 캡처

1. az account show 사용하여 현재 컨텍스트를 볼 수 있습니다. 로그인하거나 컨텍스트를 변경하려면 az account login사용합니다.
2. 정책 정의는 id 대한 응답으로 az account show 표시되는 구독으로 가져옵니다.

1. Azure Portal에서 리소스 그룹 찾습니다.
2. + 만들기
3. "my-demo-rg" 및 "미국 동부"와 같은 이름 및 지역 선택
4. 검토 + 만들기 진행

az group create --name my-demo-rg --location eastus

1. 정책 정의 JSON 다운로드하여 원하는 텍스트 편집기에서 엽니다. 이후 단계에서는 이 파일의 내용을 복사하여 붙여넣습니다.
2. Azure Portal 검색 창에서 정책을 입력하고 서비스 결과에서 정책 선택합니다.
3. Azure Policy 개요에서 작성>정의이동합니다.
4. + 정책 정의선택하고 다음과 같이 결과 양식을 채웁니다.
   1. 정의 위치: 테스트 Azure 구독<>선택합니다.
   2. 이름: Linux에 대한 Azure 보안 기준 구성(OSConfig에서 구동)
   3. 범주: 기존 > 게스트 구성 사용
   4. 정책 규칙: 미리 채워진 콘텐츠를 삭제한 다음 1단계의 파일에서 JSON에 붙여넣을 있습니다.

정부 클라우드와 같은 특수 Azure 환경을 사용하는 경우 다음 az rest 명령의 management.azure.com 로컬 엔드포인트로 바꿔야 할 수 있습니다.

curl -L https://github.com/Azure/azure-osconfig/releases/download/PrivatePreview_ASB_Remediation_Feb2025/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

1. 정책 정의 페이지에서 정책 할당선택합니다. 그러면 정책을 할당하기 위한 워크플로로 이동합니다.
2. 기본 탭:
   1. 범위: 테스트 리소스 그룹 선택(예: my-demo-rg)
      1. 전체 구독 또는 잘못된 리소스 그룹을 선택할 주의
   2. 정책 정의: Linux에 대한 Azure 보안 기준 구성(OSConfig에서 구동)
   3. 할당 이름: Linux에 대한 Azure 보안 기준 구성(OSConfig에서 구동)
3. 매개 변수 탭
   1. 선택 사항: 매개 변수 탭으로 이동하여 사용할 수 있는 매개 변수를 검사합니다. Azure Virtual Machine이 아닌 Arc 지원 머신으로 테스트하는 경우 "Arc 머신 포함"을 실제 변경해야 합니다.
4. 수정 탭
   1. 관리 ID만드는 옵션을 선택하고 "시스템 관리"를 선택합니다.
5. 검토 + 만들기 탭
   1. 만들기 선택
6. 정책 정의 페이지로 돌아가서 할당 탭에서 방금 만든 정책 할당으로 이동합니다.

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Configure Azure security baseline for Linux (powered by OSConfig)" --scope "$RG_ID" --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

1. 다음 선택 항목을 사용하여 Linux 가상 머신을 만듭니다.
   1. 가상 머신 이름: my-demo-vm-01
   2. 리소스 그룹: 이전에 만든 빈 리소스 그룹(예: my-demo-rg )입니다.
   3. 이미지: Ubuntu Server 22.04 LTS - x64 Gen2
   4. VM 아키텍처: x64
   5. VM 크기: 선택 사항이지만 Standard_B2s 같은 작은 B 시리즈 VM 크기는 테스트에 비용 효율적인 옵션이 될 수 있습니다.
2. VM을 만든 후 컴퓨터 구성에서 작동하도록 VM을 업데이트합니다.
   1. 시스템 할당 ID를 추가합니다(아직 없는 경우).
   2. 컴퓨터 구성 확장 추가(포털에서 Azure Automanage Machine Configuration 레이블 지정)

1. 시스템 할당 ID를 사용하여 Linux VM 만들기

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   팁

   "아직 액세스 권한이 부여되지 않았습니다..." 유사한 경고를 수신하는 것이 정상입니다. Azure Machine Configuration은 머신에 관리 ID만 필요하기 때문에 관리 ID에 특정 액세스가 할당되지 않는 것이 의도적입니다.

2. Azure VM 확장으로 Machine Configuration 에이전트 설치

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

1. Azure Policy 개요 페이지로 이동합니다.
2. 왼쪽 탐색 창에서 "준수"를 클릭합니다.
3. 이전에 만든 정책 할당(예: linux에 대한 Azure 보안 기준 구성OSConfig로 구동)
4. 이 페이지에서는 다음을 모두 제공합니다.
   1. 준수 상태별 컴퓨터 수
   2. 각각에 대한 준수 상태가 있는 컴퓨터 목록
5. 규정 준수 상태 및 증거가 있는 기준 규칙의 자세한 목록을 볼 준비가 되면 다음을 수행합니다.
   1. 컴퓨터 목록(리소스 준수아래에 표시됨)에서 테스트 머신의 이름을 선택합니다.
   2. 리소스 보기를 클릭하여 컴퓨터 개요 페이지로 이동합니다.
   3. 왼쪽 탐색 창에서 구성 관리 찾아 선택합니다.
   4. 구성 목록에서 이름이 SetAzureLinuxBaseline으로 시작하는 구성을 선택합니다...
   5. 구성 세부 정보 보기에서 필터 드롭다운을 사용하여 규격 규칙과 비준수 규칙을 모두 보려면 모든 선택합니다.

다음 Azure CLI 예제는 bash 환경에서 제공됩니다. 다른 셸 환경을 사용하려면 줄 끝 동작, 따옴표 규칙, 문자 이스케이프 등에 대한 예제를 조정해야 할 수 있습니다.

1. 각각에 대한 준수 상태가 있는 컴퓨터 목록:

   az graph query --query data --output yamlc --graph-query '
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "AzureLinuxBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   

2. 준수 상태별 컴퓨터 수:

   az graph query --query data --output yamlc --graph-query '
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "AzureLinuxBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   

3. 준수 상태 및 증명 정보(이유라고도 함)가 있는 기준 규칙의 자세한 목록은 다음과 같습니다.

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "AzureLinuxBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc