Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A linha de base de segurança do Azure para Linux é uma lista de recomendações de segurança para computadores Linux de uso geral. A linha de base é implementada por meio dos serviços de Governança do Azure (Azure Policy, Azure Machine Configuration). As VMs do Azure e os computadores habilitados para Azure Arc estão no escopo.
Nomes e pontos de entrada
A linha de base é referenciada por meio de vários sinônimos em vários blogs, documentos e ferramentas. Por exemplo, "Linha de base de segurança de computação do Azure", "Linha de base da Configuração de Convidado", "Linha de base de segurança do Azure para Máquinas Virtuais – Máquinas Virtuais linux" e assim por diante.
Experiência do Azure Policy
- Para comportamento de somente auditoria, atribua a definição de política interna computadores Linux devem atender aos requisitos para a linha de base de segurança de computação do Azure. Para experimentar isso, consulte Início Rápido: Auditar a linha de base de segurança do Azure para Linux com um computador de teste.
- Para comportamento de de auditoria e configuração (correção), use uma definição de política personalizada de versão prévia de acordo com Início Rápido: Configurar a linha de base de segurança do Azure para Linux com um computador de teste.
Experiência do Microsoft Defender para Nuvem
No Microsoft Defender para Nuvem (MDC), a experiência de recomendações se baseia na experiência do Azure Policy. Se você tiver habilitado os recursos de segurança do servidor em suas configurações de MDC, verá uma recomendação para iniciar a auditoria de computadores. Seguir essa recomendação leva à implantação do mesmo os computadores Linux devem atender aos requisitos... política de auditoria descrita acima. Depois que os computadores tiverem sido auditados pelo menos uma vez, você verá recomendações adicionais que correspondem a regras de linha de base não compatíveis.
Considerações de visualização
- A implementação do lado do computador da linha de base é uma versão prévia e deve ser usada em ambientes de teste.
- Estamos trabalhando para remover quaisquer limitações de visualização e pretendemos remover esta seção de visualização deste documento quando isso ocorrer.
- Na implementação da versão prévia mais recente, as alterações que você pode observar em relação às visualizações anteriores incluem:
- Para o mesmo computador, a avaliação de conformidade para determinadas regras de linha de base pode ser diferente de antes. Isso é resultado de uma melhor manipulação de erros, melhor tratamento de diferenças de distribuição, etc. para reduzir falsos positivos e falsos negativos.
- Razões robustas foram adicionadas para cada status de regra para fornecer evidências e clareza sobre como a conformidade foi avaliada.
- Determinadas definições de regra foram fatoradas novamente (combinadas, divididas) para maior clareza e consistência, resultando em uma contagem de regras atualizada.
- Para obter canais de comentários, consulte a seção Recursos relacionados no final deste artigo.
Escopo e limitações da linha de base
- As regras de linha de base são motivadas por diretrizes de segurança de várias fontes, especialmente a CIS Distro Independent Benchmark versão 2.0.0, com cerca de 63% cobertura dessa linha de base.
- As configurações de regra de linha de base (por exemplo, porta SSH esperada) não podem ser personalizadas por meio de parâmetros de política. Somente os parâmetros relacionados à atribuição estão disponíveis, incluindo:
- Se os computadores habilitados para Arc devem ser incluídos
- Se a política efeito deve ser
disabledou deve ser o efeito normal para a política determinada (AuditIfNotExistspara a política de auditoria,DeployIfNotExistspara configurar a política)