Guia de início rápido: configurar a linha de base de segurança do Azure para Linux com uma máquina de teste

1. Use as informações da conta no portal para ver seu contexto atual.

   

1. Você pode usar az account show para ver seu contexto atual. Para iniciar sessão ou alterar contextos, utilize az account login.
2. A definição de política será importada para a assinatura, que é mostrada como id em resposta a az account show

1. No portal do Azure, navegue até Grupos de recursos
2. Selecione + Criar
3. Escolha um nome e uma região, como "my-demo-rg" e "East US"
4. Avançar para Revisão + criar

az group create --name my-demo-rg --location eastus

1. Transfira a definição de política JSON para o seu computador e abra-a no seu editor de texto preferido. Em uma etapa posterior, você copiará e colará o conteúdo deste arquivo.
2. Na barra de pesquisa do portal do Azure, digite Política e selecione Política nos resultados dos Serviços.
3. Na visão geral da Política do Azure, navegue até Criação>Definições.
4. Selecione + Definição de políticae preencha o formulário resultante da seguinte forma:
   1. Local de definição: <escolher sua assinatura de teste do Azure>
   2. Nome: Configurar a linha de base de segurança do Azure para Linux (com tecnologia OSConfig)
   3. Categoria: Usar configuração existente > Guest
   4. Regra de política: Excluir conteúdo pré-preenchido e, em seguida, colar no JSON do arquivo na etapa 1

Se você estiver usando um ambiente especializado do Azure, como uma nuvem governamental, talvez seja necessário substituir management.azure.com no seguinte comando az rest pelo seu ponto de extremidade local.

curl -L https://github.com/Azure/azure-osconfig/releases/download/PrivatePreview_ASB_Remediation_Feb2025/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

1. Na página Definição de política, selecione Atribuirde política , que leva você ao fluxo de trabalho para atribuir a política
2. guia Noções básicas:
   1. Escopo: Selecione seu teste grupo de recursos (por exemplo, my-demo-rg)
      1. Tome cuidado não selecionar a assinatura inteira ou o grupo de recursos errado
   2. Definição de política: Configurar a linha de base de segurança do Azure para Linux (com tecnologia OSConfig)
   3. Nome da atribuição: Configurar a linha de base de segurança do Azure para Linux (com tecnologia OSConfig)
3. separador Parâmetros
   1. Opcional: Vá para a guia Parâmetros para inspecionar quais parâmetros estão disponíveis. Se você estiver testando com uma máquina habilitada para Arc em vez de uma Máquina Virtual do Azure, certifique-se de alterar "include Arc machines" para true.
4. guia de correção
   1. Escolha a opção para criar identidade gerenciadae escolha "sistema gerenciado"
5. separador Rever + criar
   1. Selecione Criar
6. De volta à página de definição de política, navegue até a atribuição de política que você acabou de criar, na guia Atribuições

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Configure Azure security baseline for Linux (powered by OSConfig)" --scope "$RG_ID" --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

1. Crie uma máquina virtual Linux, com as seguintes opções:
   1. Nome da máquina virtual: my-demo-vm-01
   2. Grupo de recursos: O grupo de recursos vazio criado anteriormente, por exemplo, my-demo-rg
   3. Imagem: Ubuntu Server 22.04 LTS - x64 Gen2
   4. da arquitetura VM: x64
   5. tamanho da VM: sua escolha, mas observe que tamanhos menores de VM da série B, como Standard_B2s, podem ser uma opção econômica para testes
2. Após a criação da VM, atualize-a para trabalhar com a Configuração da Máquina:
   1. Adicionar uma identidade atribuída ao sistema, se ainda não estiver presente
   2. Adicione a extensão Configuração da Máquina (rotulada no portal como Azure Automanage Machine Configuration)

1. Criar uma VM Linux com uma identidade atribuída ao sistema

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   Dica

   É normal receber um aviso semelhante a "Ainda não foi dado acesso...",. É intencional que nenhum acesso específico seja atribuído à identidade gerenciada, pois a Configuração de Máquina do Azure exige apenas que a máquina tenha uma identidade gerenciada.

2. Instalar o agente de Configuração de Máquina, como uma extensão de VM do Azure

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

1. Navegue até a página de visão geral da Política do Azure
2. Clique em "Conformidade" no painel de navegação esquerdo
3. Clique na atribuição de política criada anteriormente, por exemplo, Configurar linha de base de segurança do Azure para Linux (com tecnologia OSConfig)
4. Observe que esta página fornece ambos:
   1. Contagem de máquinas por estado de conformidade
   2. Lista de máquinas com estado de conformidade para cada
5. Quando estiver pronto para ver uma lista detalhada das regras de linha de base com o estado de conformidade e as evidências, faça o seguinte:
   1. Na lista de máquinas (mostrada em de conformidade de recursos ), selecione o nome da máquina de teste
   2. Clique em Exibir de recursos para ir para a página de visão geral da máquina
   3. No painel de navegação esquerdo, localize e selecione Gerenciamento de configuração
   4. Na lista de configurações, selecione a configuração cujo nome começa com SetAzureLinuxBaseline...
   5. Na visualização de detalhes da configuração, use a lista suspensa de filtros para Selecione todas as se quiser ver regras compatíveis e não compatíveis

Os exemplos de CLI do Azure a seguir são de um ambiente de bash. Para usar outro ambiente de shell, talvez seja necessário ajustar exemplos para comportamento de terminação de linha, regras de aspas, fuga de caracteres e assim por diante.

1. Lista de máquinas com estado de conformidade para cada uma:

   az graph query --query data --output yamlc --graph-query '
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "AzureLinuxBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   

2. Contagem de máquinas por estado de conformidade:

   az graph query --query data --output yamlc --graph-query '
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "AzureLinuxBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   

3. Lista detalhada das regras de base com o estado de conformidade e as provas (também conhecidas como Reasons) para cada uma delas:

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "AzureLinuxBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc