你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安全基线策略分配允许持续符合性跟踪,结果显示在 Azure 门户中,以验证自定义配置是否已在所有目标 Windows 和 Linux 计算机上正确应用。 策略分配适用于 Azure 和非 Azure 虚拟机( 已启用 Azure Arc 的服务器),跨混合、多云和边缘环境扩展安全性和合规性管理。 以下策略定义支持自定义:
Linux 计算机应符合 Azure 计算安全基线的要求
Windows 计算机应满足 Azure 计算安全基线的要求
[预览版]适用于 Linux 工作负载的官方 CIS 安全基准
安全基线策略的分配通过 计算机配置进行管理,该策略通过审核所选安全基线的计算机设置来强制实施符合性。
可以通过 Azure 门户、Azure CLI 分配基线,或者在 CI/CD 管道中自动执行过程,以实现一致的推出。
重要
在分配任何安全基线策略之前,请确保部署计算机配置先决条件计划。 此计划在虚拟机上安装扩展,并支持与托管标识的安全通信。
通过 Azure 门户进行部署
门户提供用于创建或测试基线分配的最直接路径。
步骤 1 - 打开计算机配置策略
转到 Azure 门户 > 策略 > 机器配置。
在 “定义”下,选择所需的基线,例如:
[预览] 适用于 Linux 工作负载的官方 CIS 安全基准
适用于 Windows 的 Azure 安全基线
适用于 Linux 的 Azure 安全基线
步骤 2 - 选择和自定义
选择 “修改设置” 以定制要包括的基准和版本。
查看并选择性地编辑各个规则的参数。
满足要求后,单击“ 查看 + 下载 ”以生成自定义设置 JSON。
按“下载所有基线”按钮以保存文件。
每个 JSON 文件封装所有选定的参数和元数据。
稍后在创建分配时使用此文件。
步骤 3—创建任务
选择“ 创建审核策略分配”。
在页面中,定义:
范围(子订阅或管理组)
分配名称和 可选说明
在“参数”选项卡下,找到“基线设置”。 可能需要取消选中 “仅显示需要输入或审阅的参数”
单击“ 浏览 →上传之前下载的 JSON 文件。
确认 Effect = AuditIfNotExists 以进行符合性跟踪。
查看和创建。
此上传步骤会将自定义配置传递到相关内置策略中的 BaselineSettings 参数。
有关完整的分配选项(范围、修正、不合规消息、托管标识),请参阅“在 Azure 门户中分配策略定义”。
通过 Azure CLI 或 CI/CD 管道进行部署
对于自动策略部署,可以使用 策略即代码 SDK 以编程方式创建相同的分配。
步骤 1 - 准备 JSON 文件
确保下载从门户自动生成的基线设置 JSON 文件。 示例路径:
baselineFile="./CustomizedBaselineSettings.json"
步骤 2 - 分配策略
使用 Azure CLI 部署分配:
az policy assignment create \
--name "CIS-Linux-Baseline-Custom" \
--display-name "CIS Linux Baseline (Customized)" \
--policy "/providers/Microsoft.Authorization/policyDefinitions/cis-linux-baseline" \
--params @"$baselineFile" \
--scope "/subscriptions/<subscription-id>" \
--identity
可以使用 Azure CLI 在“分配策略”中找到其他示例。
查看现有安全基线分配
部署自定义基线后,可以在 Azure 门户中“策略→计算机配置”下的“分配”选项卡中验证其状态和范围。
此视图列出了所有基线策略分配,包括策略定义、管理组或订阅和资源组。 可以使用筛选器(例如,按策略名称、订阅或范围)快速查找分配。 选择特定分配会打开其详细信息,你可以在其中查看参数输入(例如导入的 JSON 文件)、范围和符合性状态(评估完成后)。
注释
此视图中的符合性结果对应于 Azure Policy 符合性、ARG 和来宾分配中显示的同一审核配置,帮助你验证自定义基线是否已在所有目标计算机上正确应用。