適用於Linux的 Azure 安全性基準是一般用途Linux機器的安全性建議清單。 基準是透過 Azure 治理服務實作(Azure 原則、Azure 機器組態)。 已啟用 Azure VM 和已啟用 Azure Arc 的機器在範圍內。
名稱和進入點
基準是透過各種部落格、檔和工具中的數個同義字來參考。 例如,「Azure 計算安全性基準」、「客體設定基準」、「虛擬機的 Azure 安全性基準 - Linux 虛擬機」等等。
Azure 原則體驗
- 針對 僅限稽核 行為,請在Linux機器 指派內建原則定義,應符合 Azure 計算安全性基準的需求。 若要試用,請參閱 快速入門:使用測試計算機稽核 Linux 的 Azure 安全性基準。
- 如需 稽核和設定(補救)行為,請根據 快速入門使用預覽自定義原則定義:使用測試計算機設定 Linux 的 Azure 安全性基準。
Microsoft適用於雲端的 Defender 體驗
在 Microsoft Defender for Cloud (MDC)中,建議 體驗是以 Azure 原則體驗為基礎而建置。 如果您已在 MDC 設定中啟用伺服器安全性功能,您會看到啟動稽核機器的建議。 遵循此建議會導致部署相同的 Linux 機器應符合需求... 上述稽核原則。 至少稽核一次機器之後,您會看到對應到不符合規範基準規則的其他建議。
預覽考慮
- 基準的機器端實作是 預覽,而且應該用於測試環境中。
- 我們正努力移除任何預覽限制,而且我們想要在進行時,從本檔中移除此預覽區段。
- 在最新的預覽實作中,您可能會注意到與先前預覽相關的變更包括:
- 針對同一部計算機,特定基準規則的合規性評定可能與之前不同。 這是改善錯誤處理、改善散發差異處理等的結果,以減少誤判和誤判。
- 已為每個規則狀態新增健全 原因,以提供對合規性評估方式的證據和清楚性。
- 為了清楚和一致性,某些規則定義已重新分解(結合、分割),進而產生更新的規則計數。
- 如需意見反應通道,請參閱本文結尾的 相關資源 一節。
基準範圍和限制
- 基準規則是由來自多個來源的安全性指引所激勵,特別是 CIS 散發版本獨立基準 2.0.0 版,該基準的涵蓋範圍約為 63%。
- 基準規則設定(例如,預期的 SSH 埠)無法透過原則參數來自定義。 只有指派相關的參數可用,包括:
- 是否要包含已啟用 Arc 的電腦
- 原則 效果 應
disabled,還是為指定原則的正常效果(AuditIfNotExists稽核原則,DeployIfNotExists設定原則)