Implantando com segurança as configurações do servidor SSH com o Azure Policy

Descubra como definir perfeitamente as configurações do SSHD em toda a frota de servidores com este artigo, começando com uma auditoria meticulosa das configurações existentes para garantir que todas as alterações sejam implementadas com precisão e cuidado.

Para obter uma visão geral mais detalhada do controle de postura SSH, consulte Visão geral: o que é controle de postura SSH?.

O desafio

Imagine que você é um administrador responsável por uma grande frota de computadores Linux. Cada computador é um ponto de entrada potencial para invasores se não estiver protegido corretamente. Um dos aspectos críticos da proteção desses computadores é padronizar as configurações baseadas em SSHD. A política de segurança da sua organização determina que todas as portas SSHD sejam padronizadas para uma única porta. Isso pode parecer simples, mas com centenas ou até milhares de máquinas, pode rapidamente se tornar um pesadelo logístico.

A solução

Você pode usar o recurso controle de postura SSH no Azure Policy/Machine Configuration pode ajudar. Esse recurso poderoso permite auditar e impor a postura de segurança SSH em toda a sua frota de dispositivos, garantindo consistência e aprimorando a segurança. Vamos percorrer o processo passo a passo.

Etapa 1: Auditar as configurações atuais de SSH por meio da política "Auditar segurança SSH para Linux"

GIF mostrando como definir a política de SSH de auditoria

Para evitar quaisquer suprises ao configurar quaisquer políticas por meio do Azure Policy, precisamos entender o estado atual de nossos computadores. Isso envolve a auditoria dos computadores por meio da política SSH para ver quais portas estão sendo usadas no momento.

Navegue até a Política no portal do Azure.
Clique em Definições.
Filtre por SSH e selecione a política Audit SSH Security Posture for Linux.
Atribua a política, aplique o escopo e defina os parâmetros para garantir que a porta SSH esteja definida como a porta desejada.
Crie uma identidade gerenciada, examine e crie a política.

Permita de 10 a 15 minutos para que a política audite todos os computadores Linux em sua frota.

A auditoria da política SSH é crucial porque fornece uma compreensão de linha de base da sua postura de segurança atual. Sem essa etapa, você aplicaria políticas cegamente, potencialmente causando interrupções ou máquinas não compatíveis ausentes. Ao auditar primeiro, você garante que tenha uma visão clara do seu ambiente, o que é essencial para uma imposição de política eficaz.

Etapa 2: Revisar os resultados de nossa auditoria

GIF mostrando como examinar os resultados da Política de SSH de Auditoria por meio de uma consulta do Azure Resource Graph

Depois que a auditoria for concluída, é hora de examinar os resultados. Isso nos dará uma visão clara de quais computadores estão em conformidade e quais não estão.

Para fazer isso, você pode usar uma consulta do Azure Resource Graph:

Abra a consulta para analisar as diferentes portas em sua frota de máquinas.

Execute a consulta para exibir uma linha por computador com os dados de auditoria da porta nas colunas.

     // SSH port rule detail
     GuestConfigurationResources
     | where name contains "LinuxSshServerSecurityBaseline"
     | project report = properties.latestAssignmentReport,
      machine = split(properties.targetResourceId,'/')[-1],
      lastComplianceStatusChecked=properties.lastComplianceStatusChecked
     | mv-expand report.resources
     | project machine,
      rule = report_resources.resourceId,
      ruleComplianceStatus = report_resources.complianceStatus,
      ruleComplianceReason = report_resources.reasons[0].phrase,
      lastComplianceStatusChecked
     | where rule contains('port')

Por meio da captura de tela acima, podemos ver que alguns computadores estavam usando a porta 22, enquanto outros usavam portas diferentes.

Nota

Consultas como a mostrada acima podem ser editadas para atender às necessidades desejadas por administradores, como consultar toda a frota para localizar os computadores que permitem logon raiz.

A revisão dos resultados da auditoria permite identificar padrões e exceções em sua frota. Essa etapa é essencial para identificar computadores específicos que precisam de atenção e entender o nível de conformidade geral. Também ajuda na comunicação com o estado atual aos stakeholders, fornecendo transparência e criando confiança no processo.

Etapa 3: Comunicar alterações

Agora que sabemos quais computadores estão usando portas diferentes da porta desejada, é crucial comunicar essas alterações aos stakeholders. Isso garante que todos estejam cientes das alterações futuras e possam atualizar seus fluxos de trabalho adequadamente.

Importante

A comunicação efetiva é a chave para a implementação bem-sucedida da política. Ao informar os stakeholders sobre as alterações, você garante que não haja surpresas e que todos estejam preparados para a transição. Esta etapa ajuda a obter a compra de equipes diferentes e minimiza a resistência às alterações.

Etapa 4: Impor novas configurações por meio da política "Configurar postura de segurança SSH para Linux"

GIF mostrando como definir a Política de Impor SSH

Com a aprovação dos stakeholders, agora podemos impor a política de SSH de configuração. Esta etapa padronizará as portas SSHD em todos os computadores.

Acessedefinições de política de .
Filtre SSH e selecione Configurar a Postura de Segurança SSH para Linux.
Atribua a política, escolha o escopo e defina os parâmetros para garantir que a porta esteja definida como a porta desejada.
Habilite a correção para alterar as portas e todos os computadores criados antes de definir a política.
Examine e, em seguida, crie a política.

Impor a política de SSH de configuração é a etapa crítica em que as alterações reais são feitas. Esta etapa garante que todos os computadores estejam em conformidade com os padrões de segurança, reduzindo a superfície de ataque e aumentando a segurança geral. Ao habilitar a correção, você automatiza o processo, economizando tempo e esforço, garantindo consistência em toda a frota.

Etapa 5: Verificando nossas alterações

GIF mostrando como examinar a imposição de resultados da Política SSH por meio de uma consulta do Azure Resource Graph

Após algumas horas, é hora de verificar se todos os computadores estão usando a porta desejada. Você pode executar a mesma consulta de antes para verificar o status de conformidade.

Importante

A verificação é a etapa final para garantir que a imposição da política tenha sido bem-sucedida. Esta etapa fornece garantia de que todos os computadores estão em conformidade e que as alterações foram aplicadas corretamente. Ele também ajuda a identificar quaisquer problemas que possam ter surgido durante o processo de imposição, permitindo a resolução oportuna.

Chegando

A linha de base do Azure Security para Linux agora está em versão prévia pública! Ele inclui o Controle de Postura SSH, além de mais regras de segurança e gerenciamento para proteger melhor sua frota de dispositivos Linux. Para obter mais informações, consulte Início Rápido: Auditar a linha de base de segurança do Azure para Linux com um computador de teste.

Mais documentação

Visão geral ede referência: para obter informações conceituais, referências e perguntas frequentes, consulte Visão geral: O que é o Controle de Postura SSH?.
início rápido: para obter uma experiência prática clique por clique, consulte Início Rápido: Aplicar de Controle de Postura SSH a um computador de teste.

Para obter suporte com problemas etc., entre em contato com o Suporte da Microsoft
Para fornecer comentários, discutir solicitações de recursos etc. contate: linux_sec_config_mgmt@service.microsoft.com

Last updated on 2025-01-17

Compartilhar via