Udostępnij przez

Szybki start: konfigurowanie punktu odniesienia zabezpieczeń platformy Azure dla systemu Linux przy użyciu maszyny testowej

Zrzut ekranu przedstawiający raportu zgodności

W tym przewodniku użyjesz usługi Azure Policy do skonfigurowania maszyny z ustawieniami z punktu odniesienia zabezpieczeń platformy Azure azure dla systemu Linux. Należy pamiętać, że zastosowanie ustawień zabezpieczeń może mieć wpływ na dostęp, zgodność obciążenia itd. Należy dokładnie wprowadzić konfigurację zabezpieczeń do środowiska podczas oceny maszyn testowych pod kątem zgodności. Ten przewodnik zawiera tworzenie jednorazowej grupy zasobów z jednorazową maszyną wirtualną w celu ograniczenia zakresu aplikacji. W szczególności:

  1. Tworzenie pustej grupy zasobów
  2. Importowanie definicji zasad i przypisywanie jej do pustej grupy zasobów
  3. Tworzenie maszyny wirtualnej w grupie zasobów i obserwowanie wyników inspekcji

Zagadnienia dotyczące wersji zapoznawczej

  1. Ta implementacja punktu odniesienia zabezpieczeń jest ograniczonej publicznej wersji zapoznawczeji powinna być używana w izolowanych środowiskach testowych.
  2. Aby uzyskać informacje o kanałach opinii, zobacz sekcję Powiązane zasoby na końcu tego artykułu.
  3. Definicja zasad nie jest wbudowana na platformie Azure. Należy go zaimportować.
  4. Należy pamiętać, że domyślną akcją tych zasad jest "DeployIfNotExist", a w wyniku tej konfiguracji azure-osconfig spróbuje automatycznie skorygować wszystkie wyniki niezgodności na maszynie docelowej
  5. Sposób, w jaki zasady działały, jeśli najpierw spróbujesz użyć zasad "Inspekcja" i zobaczysz ilość elementów "niezgodnych" — po zastosowaniu tych zasad na maszynie docelowej elementy niezgodne zostaną nieznacznie zmniejszone

Warunki wstępne

Przed podjęciem próby wykonania kroków opisanych w tym artykule upewnij się, że masz już następujące elementy:

  1. Konto platformy Azure, na którym masz dostęp do tworzenia grupy zasobów, przypisań zasad i maszyny wirtualnej.
    1. Jeśli nie masz konta platformy Azure, możesz utworzyć bezpłatną wersję próbną.
  2. Preferowane środowisko do interakcji z platformą Azure, takie jak:
    1. [Zalecane] Użyj usługi Azure Cloud Shell (w https://shell.azure.com lub lokalnego odpowiednika)
    2. LUB Użyj własnego środowiska maszyny i powłoki z zainstalowanym i zalogowanym interfejsem wiersza polecenia platformy Azure
    3. LUB Użyj witryny Azure Portal (https://portal.azure.com lub odpowiednika lokalnego)

Sprawdź, czy zalogowałeś się do środowiska testowego

  1. Użyj informacji o koncie w portalu, aby wyświetlić bieżący kontekst.

    przechwytywanie ekranu z informacjami o koncie w witrynie Azure Portal

Krok 1. Tworzenie grupy zasobów

Napiwek

Użycie "Wschodnie stany USA" (eastus) jako przykładowej lokalizacji w tym artykule jest dowolne. Możesz wybrać dowolną dostępną lokalizację platformy Azure.

  1. W witrynie Azure Portal przejdź do grupy zasobów
  2. Wybieranie i tworzenie
  3. Wybierz nazwę i region, taki jak "my-demo-rg" i "Wschodnie stany USA"
  4. Przejdź do przeglądanie i tworzenie

Krok 2. Importowanie definicji zasad

Definicja zasad w wersji zapoznawczej nie jest obecnie wbudowana na platformę Azure. Poniższe kroki ilustrują importowanie go jako niestandardowej definicji zasad.

  1. Pobierz pliku JSON definicji zasad na komputer i otwórz go w preferowanym edytorze tekstów. W późniejszym kroku skopiujesz i wklejesz zawartość tego pliku.
  2. Na pasku wyszukiwania w witrynie Azure Portal wpisz Zasady i wybierz pozycję Zasady w wynikach usług.
  3. Z przeglądu usługi Azure Policy przejdź do Authoring>Definitions.
  4. Wybierz i definicję zasadi wypełnij wynikowy formularz w następujący sposób:
    1. lokalizacja definicji: <wybrać testowej subskrypcji platformy Azure>
    2. Nazwa: Konfigurowanie punktu odniesienia zabezpieczeń platformy Azure dla systemu Linux (obsługiwanego przez program OSConfig)
    3. kategorii: użyj istniejącej konfiguracji gościa >
    4. reguła zasad: Usuń wstępnie wypełnionej zawartości, a następnie wklej w formacie JSON z pliku w kroku 1
Należy pamiętać, że przepływy pracy, adresy URL portalu itp. ewoluują wraz z upływem czasu. Użyj filmu wideo, aby uzyskać ogólne informacje o przepływie pracy, a nie szczegóły techniczne.

Krok 3. Przypisywanie zasad do pustej grupy zasobów testowych

  1. Na stronie Definicja zasad wybierz pozycję Przypisz zasady, co spowoduje przejście do przepływu pracy na potrzeby przypisywania zasad
  2. karta Podstawowe:
    1. zakres: wybierz test grupy zasobów (na przykład my-demo-rg)
      1. nie wybrać całej subskrypcji lub niewłaściwej grupy zasobów
    2. definicja zasad: Konfigurowanie punktu odniesienia zabezpieczeń platformy Azure dla systemu Linux (obsługiwanego przez program OSConfig)
    3. nazwa przypisania: Konfigurowanie punktu odniesienia zabezpieczeń platformy Azure dla systemu Linux (obsługiwanego przez program OSConfig)
  3. Karta Parametry
    1. Opcjonalnie: przejdź do karty parametry , aby sprawdzić, które parametry są dostępne. Jeśli testujesz przy użyciu maszyny z obsługą usługi Arc, a nie maszyny wirtualnej platformy Azure, pamiętaj, aby zmienić wartość "include Arc machines" na true.
  4. Karta korygowania
    1. Wybierz opcję tworzenia tożsamości zarządzanej i wybierz pozycję "Zarządzana przez system"
  5. karta Przeglądanie i tworzenie
    1. Wybierz pozycję Utwórz
  6. Wróć do strony definicji zasad, przejdź do właśnie utworzonego przypisania zasad na karcie Przypisania
Należy pamiętać, że przepływy pracy, adresy URL portalu itp. ewoluują wraz z upływem czasu. Użyj filmu wideo, aby uzyskać ogólne informacje o przepływie pracy, a nie szczegóły techniczne.

Krok 4. Tworzenie testowej maszyny wirtualnej (maszyny wirtualnej) i przygotowanie jej do konfiguracji maszyny

Napiwek

Wybór systemu Ubuntu w tym przykładzie jest dowolny. Aby uzyskać informacje na temat zgodnych dystrybucji, zobacz Co to jest punkt odniesienia zabezpieczeń platformy Azure dla systemu Linux?.

  1. Utwórz maszynę wirtualną z systemem Linux z następującymi opcjami:
    1. Nazwa maszyny wirtualnej: my-demo-vm-01
    2. grupa zasobów: utworzona wcześniej pusta grupa zasobów, np. my-demo-rg
    3. obraz: Ubuntu Server 22.04 LTS — x64 Gen2
    4. architektura maszyny wirtualnej : x64
    5. rozmiar maszyny wirtualnej: Wybór jest jednak następujący: mniejsze rozmiary maszyn wirtualnych serii B, takie jak Standard_B2s, mogą być opłacalną opcją testowania
  2. Po utworzeniu maszyny wirtualnej zaktualizuj maszynę wirtualną do pracy z konfiguracją maszyny:
    1. Dodawanie tożsamości przypisanej przez system, jeśli jeszcze nie istnieje
    2. Dodaj rozszerzenie Konfiguracja maszyny (oznaczone w portalu jako Azure Automanage Machine Configuration)

Napiwek

Kroki tożsamości zarządzanej i rozszerzenia konfiguracji maszyny zostały wykonane ręcznie w tym przewodniku, aby zapewnić środowisko liniowe. Na dużą skalę można je spełnić przy użyciu wbudowanej inicjatywy zasad Deploy prerequisites to enable Guest Configuration policies on virtual machines.

Ważny

Wykonaj przerwę przed kontynuowaniem

Teraz nastąpi automatyczne wykonanie kilku kroków. Każde z tych kroków może potrwać kilka minut. W związku z tym przed kontynuowaniem zaczekaj na co najmniej 15 minut.

Krok 5. Obserwowanie wyników

W poniższych przykładach pokazano, jak uzyskać:

  1. Liczba maszyn według stanu zgodności (przydatna w skali produkcyjnej, gdzie mogą istnieć tysiące maszyn)
  2. Lista maszyn ze stanem zgodności dla każdego
  3. Szczegółowa lista reguł punktu odniesienia ze stanem zgodności i dowodami (znanymi również jako Przyczyny) dla każdego z nich

Napiwek

Oczekiwano kilku pozostałych niezgodnych powoduje wykonanie następujących czynności. Ta funkcja umożliwia skonfigurowanie >90% reguł punktu odniesienia w większości systemów, ale niektóre reguły linii bazowej są niemożliwe lub ryzykowne do automatycznego korygowania.

Na przykład jedna z reguł odniesienia stwierdza, że zapora hosta powinna mieć domyślne zasady DROP. Jest to pożądane, ale dopiero po utworzeniu niezależnie wszystkich niezbędnych reguł ALLOW dla danego środowiska. W związku z tym pozostaje to ręczne korygowanie.

  1. Przejdź do strony przeglądu usługi Azure Policy
  2. Kliknij pozycję "Zgodność" w obszarze nawigacji po lewej stronie
  3. Kliknij utworzone wcześniej przypisanie zasad, np. Konfigurowanie punktu odniesienia zabezpieczeń platformy Azure dla systemu Linux (obsługiwanego przez program OSConfig)
  4. Zwróć uwagę, że ta strona zawiera oba następujące elementy:
    1. Liczba maszyn według stanu zgodności
    2. Lista maszyn ze stanem zgodności dla każdego
  5. Gdy wszystko będzie gotowe do wyświetlenia szczegółowej listy reguł punktu odniesienia ze stanem zgodności i dowodami, wykonaj następujące czynności:
    1. Na liście maszyn (pokazanych w obszarze zgodność zasobów) wybierz nazwę maszyny testowej
    2. Kliknij pozycję Wyświetl zasobów, aby przejść do strony przeglądu maszyny
    3. W obszarze nawigacji po lewej stronie znajdź i wybierz pozycję Zarządzanie konfiguracją
    4. Na liście konfiguracji wybierz konfigurację, której nazwa rozpoczyna się od SetAzureLinuxBaseline...
    5. W widoku szczegółów konfiguracji użyj listy rozwijanej filtru, aby Wybierz wszystkie, jeśli chcesz zobaczyć reguły zgodne i niezgodne

Opcjonalnie: Dodawanie większej liczby maszyn testowych do skalowania

W tym artykule zasady zostały przypisane do grupy zasobów, która początkowo była pusta, a następnie zyskała jedną maszynę wirtualną. Chociaż pokazuje, że system działa kompleksowo, nie zapewnia sensu operacji na dużą skalę. Na przykład w widoku zgodności przypisania zasad wykres kołowy jednej maszyny może czuć się sztuczny.

Rozważ dodanie większej liczby maszyn testowych do grupy zasobów, niezależnie od tego, czy jest to ręczne, czy za pośrednictwem automatyzacji. Te maszyny mogą być maszynami wirtualnymi platformy Azure lub maszynami z obsługą usługi Arc. Jak widzisz, że te maszyny są zgodne (a nawet kończą się niepowodzeniem), możesz uzyskać bardziej chętny wgląd w operacjonalizacja punktu odniesienia zabezpieczeń platformy Azure na dużą skalę.

Czyszczenie zasobów

Aby uniknąć bieżących opłat, rozważ usunięcie grupy zasobów używanej w tym artykule. Na przykład polecenie interfejsu wiersza polecenia platformy Azure będzie az group delete --name "my-demo-rg".

Powiązana zawartość

  • Last updated on