共用方式為

快速入門:使用測試機器設定適用於Linux的 Azure 安全性基準

合規性報告的螢幕代碼段

在本指南中,您將使用 Azure 原則來設定具有 Linux Azure 安全性基準設定的電腦。 請注意,套用安全性設定可能會影響您的存取、工作負載相容性等等。 在評估測試機器以取得相容性時,應該謹慎地將安全性設定引入其環境。 本指南會建立具有可處置 VM 的可處置資源群組,以限制應用程式的範圍。 具體來說,您將:

  1. 建立空白 資源群組
  2. 匯入 原則 定義,並將其指派給空的資源群組
  3. 在資源群組中建立 VM,並觀察稽核結果

預覽考慮

  1. 此安全性基準實作是 有限的公開預覽,而且應該用於隔離的測試環境中。
  2. 如需意見反應通道,請參閱本文結尾的 相關資源 一節。
  3. 原則定義不是內建至 Azure。 它必須匯入。
  4. 請注意,此原則的默認動作是 「DeployIfNotExist」,而且因為該 azure-osconfig 會嘗試自動補救目標計算機上的所有不符合規範的結果
  5. 當您第一次嘗試使用「稽核」原則並查看「不符合規範」項目的數量時,您可以確保原則運作的方式 - 一旦您在目標計算機上套用此原則,不符合規範的專案將會稍微減少

先決條件

嘗試本文中的步驟之前,請確定您已具備:

  1. 您有權建立資源群組、原則指派和虛擬機的 Azure 帳戶。
    1. 如果您沒有 Azure 帳戶,您可以 建立免費試用
  2. 與 Azure 互動的慣用環境,例如:
    1. [建議]使用 Azure Cloud Shell (https://shell.azure.com 或您的本機對等專案)
    2. OR 使用您自己的電腦和殼層環境,並安裝並登入 Azure CLI
    3. OR 使用 Azure 入口網站 (https://portal.azure.com 或您的本機對等專案)

確認您已登入測試環境

  1. 使用入口網站中的帳戶資訊來查看您目前的內容。

    螢幕擷取顯示 Azure 入口網站中的帳戶資訊

步驟 1:建立資源群組

提示

使用「美國東部」(eastus)作為本文中範例位置是任意的。 您可以選擇任何可用的 Azure 位置。

  1. 從 Azure 入口網站流覽至 資源群組
  2. 選取 [+ 建立
  3. 選擇名稱和區域,例如 “my-demo-rg” 和 “East US”
  4. 繼續 檢閱 + 建立

步驟 2:匯入原則定義

預覽原則定義目前並未內建至 Azure。 下列步驟說明將它匯入為自定義原則定義。

  1. 下載 原則定義 JSON 到您的電腦,然後在您慣用的文字編輯器中開啟它。 在稍後的步驟中,您將複製並貼上此檔案的內容。
  2. 在 Azure 入口網站搜尋列中,輸入 [原則],然後從 [服務] 結果中選取 [原則]。
  3. 從 Azure 原則概觀中,流覽至 撰寫>定義
  4. 選取 [+ 原則定義],然後填入產生的窗體,如下所示:
    1. 定義位置:<選擇您的測試 Azure 訂用帳戶>
    2. 名稱:設定 Linux 的 Azure 安全性基準(由 OSConfig 提供)
    3. 類別:使用現有的 > 來賓設定
    4. 原則規則刪除 預先填入的內容,然後在步驟 1 的檔案中 貼上 JSON
請注意,入口網站工作流程、URL 等會隨著時間而演進。 使用影片來瞭解工作流程的一般概念,而不是技術詳細數據。

步驟 3:將原則指派給空的測試資源群組

  1. 從 [原則定義] 頁面中,選取 [指派原則,這會帶您前往指派原則的工作流程
  2. [基本] 索引標籤:
    1. 範圍:選取您的 測試 資源群組(例如 my-demo-rg)
      1. 請小心 不要 選取整個訂用帳戶或錯誤的資源群組
    2. 原則定義:設定 Linux 的 Azure 安全性基準(由 OSConfig 提供)
    3. 指派名稱:設定 Linux 的 Azure 安全性基準(由 OSConfig 提供)
  3. [參數] 索引標籤
    1. 選擇性:繼續前往 [參數] 索引卷標,以檢查可用的參數。 如果您要使用已啟用 Arc 的電腦進行測試,而不是 Azure 虛擬機器,請務必將 「包含 Arc 機器」變更為 true
  4. 補救 索引標籤
    1. 選擇選項以建立 受控識別,然後選擇 [系統管理]
  5. 檢閱 + 建立 索引標籤
    1. 選取 [建立
  6. 回到原則定義頁面,流覽至您剛才建立的原則指派,在 [指派] 索引卷標底下
請注意,入口網站工作流程、URL 等會隨著時間而演進。 使用影片來瞭解工作流程的一般概念,而不是技術詳細數據。

步驟 4:建立測試 VM (虛擬機)並準備進行機器設定

提示

此範例中的 Ubuntu 選擇是任意的。 如需相容散發版本的資訊,請參閱 Linux 的 Azure 安全性基準為何?

  1. 使用下列選項建立 Linux 虛擬機:
    1. 虛擬機名稱:my-demo-vm-01
    2. 資源群組:稍早建立的空白資源群組,例如 my-demo-rg
    3. 映射:Ubuntu Server 22.04 LTS - x64 Gen2
    4. VM 架構: x64
    5. VM 大小:您選擇的,但請注意,較小的 B 系列 VM 大小,例如 Standard_B2s 可以是符合成本效益的測試選項
  2. 建立 VM 之後,更新 VM 以使用電腦設定:
    1. 如果尚未存在,請新增系統指派的身分識別
    2. 新增計算機組態延伸模組 (標示為 azure Automanage Machine Configuration ]

提示

本指南中手動執行受控識別和計算機設定擴充功能步驟,以提供線性體驗。 使用 Deploy prerequisites to enable Guest Configuration policies on virtual machines 內建原則方案,即可滿足這些需求。

重要

繼續前先休息

現在會自動執行數個步驟。 這些步驟可能需要幾分鐘的時間。 因此,請至少等候 15 分鐘,然後再繼續進行。

步驟 5:觀察結果

下列範例示範如何取得:

  1. 依合規性狀態計算的計算機計數(適用於生產規模,您可能會有數千部機器)
  2. 每個機器的合規性狀態清單
  3. 具有合規性狀態和辨識項的基準規則詳細清單(也稱為 原因

提示

預期會看到一些剩餘的 不符合規範的 結果如下。 此功能能夠在大部分系統上設定 >90% 基準規則,但某些基準規則是不可能或有風險的自動補救。

例如,其中一個基準規則指出主機防火牆應該有預設的DROP原則。 這是可取的,但只有在您獨立建立您環境所有必要的 ALLOW 規則之後。 因此,這會留給手動補救。

  1. 流覽至 Azure 原則概觀頁面
  2. 點選左側導覽中的 [合規性]
  3. 單擊您稍早建立的原則指派,例如 設定 Linux 的 Azure 安全性基準(由 OSConfig 提供電源)
  4. 請注意,此頁面提供下列兩項:
    1. 依合規性狀態的計算機計數
    2. 每個機器的合規性狀態清單
  5. 當您準備好查看具有合規性狀態和辨識項的基準規則詳細清單時,請執行下列動作:
    1. 在計算機清單中(如 資源合規性所示)選取測試計算機的名稱
    2. 按兩下 [檢視資源 移至電腦概觀頁面
    3. 在左側導覽中,尋找並選取 [設定管理
    4. 在組態清單中,選取名稱開頭為 setAzureLinuxBaseline 的組態...
    5. 在組態詳細數據檢視中,使用篩選下拉式清單來 如果您想要同時看到符合規範和不符合規範的規則,請選取所有

選擇性:新增更多測試機器以體驗調整規模

在本文中,原則已指派給資源群組,該群組一開始是空的,然後取得一個 VM。 雖然它會示範系統端對端工作,但不會提供大規模作業的感覺。 例如,在原則指派合規性檢視中,一部機器的餅圖可能會感到人為。

請考慮手動或透過自動化,將更多測試機器新增至資源群組。 這些機器可以是 Azure VM 或已啟用 Arc 的機器。 當您看到這些機器符合規範(或甚至失敗)時,您可以更敏銳地大規模運作 Azure 安全性基準。

清除資源

若要避免持續產生費用,請考慮刪除本文中使用的資源群組。 例如,Azure CLI 命令會 az group delete --name "my-demo-rg"

相關內容

  • Last updated on