Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Punkt odniesienia zabezpieczeń platformy Azure dla systemu Linux to lista zaleceń dotyczących zabezpieczeń dla maszyn z systemem Linux ogólnego przeznaczenia. Punkt odniesienia jest implementowany za pośrednictwem usług zarządzania platformy Azure (Azure Policy, Azure Machine Configuration). Maszyny wirtualne platformy Azure i maszyny z obsługą usługi Azure Arc są w zakresie.
Nazwy i punkty wejścia
Punkt odniesienia jest określany za pośrednictwem kilku synonimów w różnych blogach, dokumentach i narzędziach. Na przykład "Punkt odniesienia zabezpieczeń obliczeń platformy Azure", "Punkt odniesienia konfiguracji gościa", "Punkt odniesienia zabezpieczeń platformy Azure dla maszyn wirtualnych z systemem Linux" itd.
Środowisko usługi Azure Policy
- W przypadku zachowania tylko do inspekcji przypisz wbudowaną definicję zasad maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure. Aby wypróbować ten problem, zobacz przewodnik Szybki start : Inspekcja punktu odniesienia zabezpieczeń platformy Azure dla systemu Linux przy użyciu maszyny testowej.
- W przypadku zachowania inspekcji i konfigurowania (korygowania) użyj niestandardowej definicji zasad w wersji zapoznawczej zgodnie z Szybki start: Konfigurowanie punktu odniesienia zabezpieczeń platformy Azure dla systemu Linux przy użyciumaszyny testowej.
Środowisko usługi Microsoft Defender dla chmury
W usłudze Microsoft Defender for Cloud (MDC) Zalecenia są oparte na środowisku usługi Azure Policy. Jeśli włączono funkcje zabezpieczeń serwera w ustawieniach usługi MDC, zostanie wyświetlone zalecenie dotyczące uruchamiania inspekcji maszyn. Poniższe zalecenie prowadzi do wdrożenia tych samych maszyn z systemem Linux, które powinny spełniać wymagania... zasady inspekcji opisane powyżej. Po przeprowadzeniu inspekcji maszyn co najmniej raz zostaną wyświetlone dodatkowe zalecenia, które odpowiadają niezgodnym regułom punktu odniesienia.
Zagadnienia dotyczące wersji zapoznawczej
- Implementacja po stronie maszyny punktu odniesienia jest w wersji zapoznawczeji powinna być używana w środowiskach testowych.
- Pracujemy nad usunięciem wszelkich ograniczeń wersji zapoznawczej i zamierzamy usunąć tę sekcję wersji zapoznawczej z tego dokumentu po jej zakończeniu.
- W najnowszej implementacji wersji zapoznawczej zmiany, które można zauważyć w stosunku do poprzednich wersji zapoznawczych, obejmują:
- W przypadku tej samej maszyny ocena zgodności dla niektórych reguł punktu odniesienia może się różnić od poprzednich. Jest to wynikiem ulepszonej obsługi błędów, ulepszonej obsługi różnic dystrybucji itp., aby zmniejszyć liczbę wyników fałszywie dodatnich i fałszywie ujemnych.
- Niezawodne przyczyny zostały dodane dla każdego stanu reguły, aby zapewnić dowody i jasność na temat sposobu oceny zgodności.
- Niektóre definicje reguł zostały ponownie zskładnikowane (połączone, podzielone) w celu zachowania przejrzystości i spójności, co powoduje zaktualizowanie liczby reguł.
- Aby uzyskać informacje o kanałach opinii, zobacz sekcję Powiązane zasoby na końcu tego artykułu.
Zakres i ograniczenia wg planu bazowego
- Reguły odniesienia są motywowane przez wskazówki dotyczące zabezpieczeń z wielu źródeł, zwłaszcza ciS Distro Independent Benchmark w wersji 2.0.0, z około 63% pokrycie tego punktu odniesienia.
- Ustawienia reguły linii bazowej (na przykład oczekiwany port SSH) nie mogą być dostosowane za pomocą parametrów zasad. Dostępne są tylko parametry powiązane z przypisaniem, w tym:
- Czy należy uwzględnić maszyny z obsługą usługi Arc
- Czy zasady powinny być
disabled, czy powinny być normalnym skutkiem dla danej zasady (AuditIfNotExistszasad inspekcji,DeployIfNotExistskonfigurowanie zasad)