O que é a linha de base de segurança do Azure para Linux?

A linha de base de segurança do Azure para Linux é uma lista de recomendações de segurança para máquinas Linux de uso geral. A linha de base é implementada por meio dos serviços de Governança do Azure (Política do Azure, Configuração da Máquina do Azure). As VMs do Azure e as máquinas habilitadas para Azure Arc estão no escopo.

Nomes e pontos de entrada

A linha de base é referida através de vários sinónimos em vários blogues, documentos e ferramentas. Por exemplo, "Linha de base de segurança de computação do Azure", "Linha de base de Configuração de Convidado", "Linha de base de segurança do Azure para Máquinas Virtuais - Máquinas Virtuais Linux" e assim por diante.

Experiência do Azure Policy

• Para comportamento de somente auditoria, atribua a definição de política interna de as máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure. Para experimentar isso, consulte Guia de início rápido: auditar a linha de base de segurança do Azure para Linux com uma máquina de teste.
• Para comportamento de auditoria e configuração (corrigir), use uma definição de política personalizada de visualização de acordo com Guia de início rápido: configurar a linha de base de segurança do Azure para Linux com uma máquina de teste.

Experiência do Microsoft Defender for Cloud

No Microsoft Defender for Cloud (MDC), a experiência Recomendações baseia-se na experiência da Política do Azure. Se você tiver ativado os recursos de segurança do servidor nas configurações do MDC, verá uma recomendação para iniciar a auditoria de máquinas. Seguir essa recomendação leva à implantação do mesmo as máquinas Linux devem atender aos requisitos política de auditoria descrita acima. Depois que as máquinas tiverem sido auditadas pelo menos uma vez, você verá recomendações adicionais que correspondem a regras de linha de base não compatíveis.

Considerações de pré-visualização

1. A implementação do lado da máquina da linha de base é uma de visualizaçãoe deve ser usada em ambientes de teste.
2. Estamos a trabalhar para remover quaisquer limitações de pré-visualização e pretendemos remover esta secção de pré-visualização deste documento quando isso ocorrer.
3. Na implementação de visualização mais recente, as alterações que você pode notar em relação às visualizações anteriores incluem:
   1. Para a mesma máquina, a avaliação da conformidade para determinadas regras de base pode ser diferente da anterior. Isso é resultado de um melhor tratamento de erros, melhor tratamento de diferenças de distro, etc. para reduzir falsos positivos e falsos negativos.
   2. Foram acrescentadas razões robustas para cada status de regra para fornecer evidências e clareza sobre como a conformidade foi avaliada.
   3. Certas definições de regras foram refatoradas (combinadas, divididas) para maior clareza e consistência, resultando em uma contagem de regras atualizada.
4. Para canais de feedback, consulte a seção Recursos relacionados no final deste artigo.

Âmbito e limitações da linha de base

1. As regras de linha de base são motivadas por orientações de segurança de várias fontes, especialmente o CIS Distro Independent Benchmark versão 2.0.0, com cerca de 63% de cobertura dessa linha de base.
2. As configurações de regra de linha de base (por exemplo, porta SSH esperada) não podem ser personalizadas por meio de parâmetros de política. Apenas os parâmetros relacionados com a atribuição estão disponíveis, incluindo:
   1. Se as máquinas habilitadas para Arc devem ser incluídas
   2. Se a política efeito deve ser disabled ou deve ser o efeito normal para determinada política (AuditIfNotExists para política de auditoria DeployIfNotExists para Configurar política)

Recursos relacionados

• Guia de início rápido: auditar a linha de base de segurança do Azure para Linux com uma máquina de teste
• Guia de início rápido: configurar a linha de base de segurança do Azure para Linux com uma máquina de teste