你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
基于 Azure Policy 和 Machine Configuration 构建的可自定义安全基线使组织能够根据受信任的行业基准评估、监视和持续提高服务器合规性。
此功能为 Windows 和 Linux 引入了 审核 基线,使客户能够将安全状况与内部合规性框架和法规标准保持一致。 通过将自定义基线参数输入直接传递到 Azure Policy,现在可以大规模表示特定于组织的控件。
这些基线为通过 Azure Arc 连接的 Azure 计算机和非 Azure 计算机提供云原生治理体验。这包括在本地、其他公有云或边缘中运行的计算机。 策略和计算机配置共同建立了统一的控制平面,以便实现合规性可见性。 使用此方法,无论位置或平台如何,都可以在整个资产中评估、监视和强制实施一致的安全标准。 此方法反映了Microsoft的“设计安全”和“默认安全”原则。 它有助于确保您的工作负载无论在哪里运行,都能实现强大的安全性和合规性。
主要场景
基线自定义
使用下的>向导创建定制的基线。 管理员可以启用、排除或调整行业基准(如 CIS 基准或Microsoft基线)中的规则,以匹配内部标准。 每个自定义项都会生成一个可下载的 JSON 文件,用于捕获配置意向,这是一个可重用的项目,与策略即代码工作流兼容。
分配审计策略
Azure Policy 会跨 Azure 和 Arc 连接的计算机部署自定义的基线参数。 在分配审核策略时,Azure Policy:
- 根据所选基准评估配置状态
- 实时报告合规性
- 显示 Azure Policy、Azure Resource Graph (ARG) 和来宾分配视图中的结果
集成和自动化
将基线集成到 CI/CD 管道或配置管理工作流中。 每个基线都会生成声明性设置目录(JSON),该目录可以使用 CLI、ARM 或 Bicep 模板进行版本控制和部署,确保跨环境可重现的符合性配置。
支持的标准
| Standard | 说明 |
|---|---|
| Internet 安全中心 (CIS) Linux 基准 | 所有 Azure 认可的 Linux 分发 的官方 CIS 基准与 CIS 网站上发布的版本相等。 |
| 适用于 Windows 的 Azure 计算安全基线 | 为 Windows Server 2022 和 Windows Server 2025 应用自定义值。 |
| 适用于 Linux 的 Azure 计算安全基线 | 强制实施与 Azure 计算指南一致的安全控制。 |
可用性
支持所有公共 Azure 区域。
注释
公共预览版不支持对 Azure 政府和主权云的支持。
入门
流程概述
用于配置可自定义安全基线的端到端体验遵循以下高级步骤:
从 Azure Policy 下的“计算机配置”边栏选项卡中选择基线。
修改设置 - 启用、排除或参数化规则以符合内部要求。
下载表示已配置的基线的 JSON 文件。
使用 Azure 门户、CLI 或 CI/CD 集成分配基线策略。
通过 Azure Policy、Azure Resource Graph 或来宾分配页查看符合性结果。
先决条件
必须部署 Azure 计算机配置先决条件策略计划。 此功能支持来宾配置策略,并在虚拟机(VM)上安装必需的扩展。
包含支持的 Windows 和 Linux VM 的 Azure 订阅或管理组。
拥有创建和分配自定义策略定义的足够权限(所有者或资源策略参与者角色)。