[PUBLIC PREVIEW] Schnellstart: Überwachen der Azure-Sicherheitsbasislinie für Linux mit einem Testcomputer

In diesem Leitfaden verwenden Sie Azure-Richtlinie, um einen Testcomputer anhand der Azure-Sicherheitsbasiswerte für Linux zu überwachen.

Insbesondere werden Sie Folgendes ausführen:

1. Erstellen einer leeren Ressourcengruppe
2. Importieren einer Richtlinie Definition und Zuweisen der Richtlinie zur leeren Ressourcengruppe
3. Erstellen einer VM- in der Ressourcengruppe und Beobachten der Überwachungsergebnisse

Wenn Sie nicht über ein Azure-Konto verfügen, können Sie eine kostenlose Testversionerstellen.

Überlegungen zur Vorschau

Diese Implementierung der Sicherheitsgrundsätze ist eine frühe Vorschau.

Feedbackkanäle finden Sie im Abschnitt Verwandte Ressourcen am Ende dieses Artikels.

Bekannte Probleme oder Einschränkungen der Vorschau:

• Wir empfehlen, die Richtlinie in einer Testumgebung zu testen.
• Richtliniendefinition wird manuell in Azure importiert, nicht integriert (sobald das Rollout gestartet wird, wird sie zu einer integrierten Richtlinie für Azure-Richtlinie – wir aktualisieren das regionale Rollout auf dieser Seite)
• Zusätzlich zu den typischen Konnektivitätsanforderungen für Azure-Dienste benötigen verwaltete Computer Zugriff auf: https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline.zip
• Die aktuelle Basislinie basiert auf dem CIS Distro Independent Benchmark - Version 2.0.0 und hat rund 63% Abdeckung dieses Basisplans.
• Die Anpassung der Basisplaneinstellungen ist auf die Auswirkungen der Richtlinie beschränkt – AuditIfNotExist vs. DeployIfNotExist (die automatische Korrektur befindet sich in der eingeschränkten öffentlichen Vorschau)

Voraussetzungen

Bevor Sie die Schritte in diesem Artikel versuchen, stellen Sie sicher, dass Sie bereits folgendes haben:

1. Ein Azure-Konto, in dem Sie Zugriff haben, um eine Ressourcengruppe, Richtlinienzuweisungen und einen virtuellen Computer zu erstellen.
2. Ihre bevorzugte Umgebung für die Interaktion mit Azure, z. B.:
   1. [Empfohlen] Verwenden von Azure Cloud Shell (bei https://shell.azure.com oder Ihrer lokalen Entsprechung)
   2. ODER Verwenden Ihrer eigenen Computer- und Shellumgebung mit installierter und angemeldeter Azure CLI
   3. ODER Verwenden des Azure-Portals (bei https://portal.azure.com oder Ihrer lokalen Entsprechung)

Überprüfen Sie, ob Sie bei Ihrer Testumgebung angemeldet sind

Azure-Portal-

1. Verwenden Sie die Kontoinformationen im Portal, um Ihren aktuellen Kontext anzuzeigen.

   

Azure CLI

1. Sie können az account show verwenden, um Ihren aktuellen Kontext anzuzeigen. Verwenden Sie az account login, um sich anzumelden oder Kontexte zu ändern.
2. Die Richtliniendefinition wird in das Abonnement importiert, das als id als Reaktion auf az account show

Erstellen einer Ressourcengruppe

Trinkgeld

Die Verwendung von "East US" (eastus) als Beispielspeicherort in diesem Artikel ist willkürlich. Sie können einen beliebigen verfügbaren Azure-Speicherort auswählen.

Azure-Portal-

1. Navigieren Sie im Azure-Portal zu Ressourcengruppen
2. Wählen Sie + erstellen aus.
3. Wählen Sie einen Namen und eine Region aus, z. B. "my-demo-rg" und "East US"
4. Fahren Sie mit Überprüfung fort und erstellen Sie

Azure CLI

az group create --name my-demo-rg --location eastus

Importieren der Richtliniendefinition

Die Vorschaurichtliniendefinition ist derzeit nicht in Azure integriert. Die folgenden Schritte veranschaulichen den Import als benutzerdefinierte Richtliniendefinition.

Azure-Portal-

1. Laden Sie json- der Richtliniendefinition auf Ihren Computer herunter, und öffnen Sie sie in Ihrem bevorzugten Text-Editor. In einem späteren Schritt kopieren und einfügen Sie den Inhalt dieser Datei.
2. Geben Sie in der Suchleiste des Azure-Portals "Richtlinie" ein, und wählen Sie Richtlinie aus den Ergebnissen der Dienste aus.
3. Navigieren Sie in der Azure-Richtlinienübersicht zu Authoring>Definitions.
4. Wählen Sie + Richtliniendefinitionaus, und füllen Sie das resultierende Formular wie folgt aus:
   1. Definitionsspeicherort: <Wählen Sie Ihr Azure-Testabonnement>
   2. Name: [Vorschau]: Azure-Sicherheitsbasislinie für Linux (von OSConfig)
   3. Kategorie-: Vorhandene > Gastkonfiguration verwenden
   4. Richtlinienregel: Löschen den vorgefüllten Inhalt, und dann in den JSON-Code aus der Datei in Schritt 1 einfügen

Azure CLI

Wenn Sie eine spezielle Azure-Umgebung wie eine Government Cloud verwenden, müssen Sie möglicherweise management.azure.com im folgenden az rest Befehl durch Ihren lokalen Endpunkt ersetzen.

curl -L https://github.com/Azure/azure-osconfig/releases/download/ignite_2024/AzureLinuxBaseline_DeployIfNotExists.json -o ./temp_policy_def.json

# Note that it is not necessary to manually replace the {subscriptionId} token in the command below. The az rest command 
# will automatically replace it with the subscription id from the az account show command.
az rest --url "https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyDefinitions/preview_azure_baseline_linux_osconfig?api-version=2023-04-01" --method PUT --body @./temp_policy_def.json

Zuweisen der Richtlinie zur leeren Testressourcengruppe

Azure-Portal-

1. Wählen Sie auf der Seite "Richtliniendefinition" Richtlinie zuweisenaus, die Sie zum Workflow zum Zuweisen der Richtlinie führt.
2. registerkarte Grundlagen:
   1. Bereichs-: Wählen Sie Ihre Test Ressourcengruppe aus (z. B. my-demo-rg)
      1. Achten Sie darauf, nicht, das gesamte Abonnement oder die falsche Ressourcengruppe auszuwählen.
   2. Richtliniendefinition: [Vorschau]: Azure-Sicherheitsbasislinie für Linux (von OSConfig)
   3. Zuordnungsname: Audit [Vorschau]: Azure-Sicherheitsbasisplan für Linux (von OSConfig)
3. Registerkarte Parameter
   1. Optional: Fahren Sie mit der Registerkarte Parameter fort, um zu prüfen, welche Parameter verfügbar sind. Wenn Sie einen Arc-aktivierten Computer im Gegensatz zu einem virtuellen Azure-Computer testen, müssen Sie "Arc-Computer einschließen" in trueändern.
   2. Optional: Wählen Sie die Auswirkung der Richtlinie aus:
      1. "AuditIfNotExist" bedeutet, dass die Richtlinie nur Überwachung
      2. !! Warnung : Die automatische Wartung legt die Richtliniendefinitionen auf den gewünschten Zustand fest und kann Unterbrechungen verursachen - dies ist eine eingeschränkte öffentliche Vorschau!!
      3. "DeployIfNotExist" bedeutet, dass sie im automatischen Wartungsmodus ausgeführt wird – sie nicht in der Produktion
4. Registerkarte Korrektur
   1. Wählen Sie die Option aus, verwaltete Identitätzu erstellen, und wählen Sie "vom System verwaltet" aus.
5. Überprüfen + Erstellen Registerkarte
   1. Wählen Sie erstellen aus.
6. Navigieren Sie zurück auf der Seite "Richtliniendefinition" zu der soeben erstellten Richtlinienzuweisung unter der Registerkarte Aufgaben

Azure CLI

# Note this example is from a bash shell. Other shells may require different handling of special characters and variables
RG_ID=$(az group show --resource-group my-demo-rg --query id --output tsv)
az policy assignment create --policy "preview_azure_baseline_linux_osconfig" --name "assign_preview_azure_baseline_linux_osconfig" --display-name "Audit [Preview]: Azure security baseline for Linux (by OSConfig)" --scope "$RG_ID" --params '{"banner":{"value":"TEST VALUE. KEEP OUT!"}}' --mi-system-assigned --role "Guest Configuration Resource Contributor" --identity-scope "$RG_ID" --location eastus

Erstellen sie einen virtuellen Testcomputer (virtueller Computer), und bereiten Sie ihn auf die Computerkonfiguration vor.

Azure-Portal-

1. Erstellen Sie einen virtuellen Linux-Computer mit den folgenden Optionen:
   1. Name des virtuellen Computers: my-demo-vm-01
   2. Ressourcengruppe: Die zuvor erstellte leere Ressourcengruppe, z. B. my-demo-rg
   3. Image: Ubuntu Server 22.04 oder RedHat Enterprise Linux (RHEL) 9
   4. VM-Architektur: x64
   5. VM-Größe: Ihre Wahl, beachten Sie jedoch, dass kleinere VM-Größen der B-Serie wie Standard_B2s eine kostengünstige Option zum Testen sein können.
2. Aktualisieren Sie nach der Vm-Erstellung den virtuellen Computer so, dass er mit der Computerkonfiguration funktioniert:
   1. Hinzufügen einer zugewiesenen Systemidentität, sofern noch nicht vorhanden
   2. Hinzufügen der Computerkonfigurationserweiterung (im Portal als Azure Automanage Machine Configurationbezeichnet)

Trinkgeld

In diesem Handbuch wurden die Schritte für verwaltete Identitäts- und Computerkonfigurationserweiterungen manuell ausgeführt, um das Warten zu reduzieren und Kontextänderungen zu reduzieren. Im Großen und Maßstab können diese mit der integrierten Deploy prerequisites to enable Guest Configuration policies on virtual machines-Richtlinieninitiative zufrieden sein.

Azure CLI

1. Erstellen einer Linux-VM mit einer system zugewiesenen Identität

   az vm create --name my-demo-vm-01 --resource-group my-demo-rg --image Ubuntu2204 --assign-identity [system] --size Standard_B2s
   

   Trinkgeld

   Es ist normal, eine Warnung zu erhalten, die "Es wurde noch kein Zugriff gewährt...". Die Azure-Computerkonfiguration erfordert nur, dass der Computer eine verwaltete Identität, nicht über einen bestimmten Ressourcenzugriff verfügen.

2. Installieren des Computerkonfigurations-Agents als Azure VM-Erweiterung

   az vm extension set --resource-group my-demo-rg --vm-name my-demo-vm-01 --name ConfigurationForLinux --publisher Microsoft.GuestConfiguration --enable-auto-upgrade
   

WICHTIG: Machen Sie eine Pause, bevor Sie fortfahren

Mehrere Schritte werden jetzt automatisch ausgeführt. Jeder dieser Schritte kann einige Minuten dauern. Bitte warten Sie daher mindestens 15 Minuten, bevor Sie fortfahren.

Beobachten von Ergebnissen

Die folgenden Beispiele zeigen, wie Sie folgendes abrufen:

1. Anzahl der Computer nach Compliancestatus (nützlich bei Produktionsmaßstaben, wo Sie möglicherweise Tausende von Computern haben)
2. Liste der Computer mit dem Konformitätsstatus für die einzelnen Computer
3. Detaillierte Liste der Basisregeln mit Konformitätsstatus und Nachweisen (auch bekannt als Gründe) für jede

Trinkgeld

Erwarten Sie, dass rote nicht konformen Ergebnisse in den folgenden Ergebnissen angezeigt werden. Der Reinüberwachungsanwendungsfall geht es darum, den Unterschied zwischen vorhandenen Systemen und der Azure-Sicherheitsbasislinie zu ermitteln.

Azure-Portal-

1. Navigieren Sie zur Übersichtsseite für Azure-Richtlinien
2. Klicken Sie im linken Navigationsbereich auf "Compliance".
3. Klicken Sie auf Ihre "Meine Demo-Aufgabe von..." Richtlinienzuweisung
4. Beachten Sie, dass diese Seite beides bietet:
   1. Anzahl der Computer nach Compliancestatus
   2. Liste der Computer mit dem Konformitätsstatus für die einzelnen Computer
5. Wenn Sie bereit sind, eine detaillierte Liste der Basisregeln mit Compliancestatus und Nachweisen anzuzeigen, gehen Sie wie folgt vor:
   1. Wählen Sie in der Liste der Computer (unter Ressourcenkompatibilität) den Namen Ihres Testcomputers aus.
   2. Klicken Sie auf Ressource anzeigen, um zur Seite "Computerübersicht" zu wechseln.
   3. Suchen Und wählen Sie in der linken Navigationsleiste Konfigurationsverwaltung
   4. Wählen Sie in der Liste der Konfigurationen die Konfiguration aus, deren Name mit LinuxSecurityBaseline beginnt...
   5. Verwenden Sie in der Ansicht "Konfigurationsdetails" die Dropdownliste "Filter", um "Alle auswählen", wenn Sowohl Compliance- als auch nicht kompatible Regeln angezeigt werden sollen.

Azure CLI

Die folgenden Azure CLI-Beispiele stammen aus einer bash Umgebung. Wenn Sie eine andere Shellumgebung verwenden möchten, müssen Sie möglicherweise Beispiele für das Zeilenendeverhalten, Anführungszeichenregeln, Escapezeichen usw. anpassen.

1. Anzahl der Computer nach Compliancestatus:

   QUERY='
   // Returns one record per observed compliance status bucket, with machine counts for each
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | extend ["> ComplianceStatus"] = tostring(properties.complianceStatus)
   | summarize MachineCount = count() by ["> ComplianceStatus"]'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

2. Liste der Computer mit Konformitätsstatus für jede:

   QUERY='
   // returns one record per machine, with status
   guestconfigurationresources
   | where name contains "LinuxSecurityBaseline"
   | project ["> Machine"] = split(properties.targetResourceId,"/")[-1],
     ComplianceStatus = properties.complianceStatus,
     LastComplianceCheck = properties.lastComplianceStatusChecked'
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

3. Detaillierte Liste der Basisregeln mit Konformitätsstatus und Nachweisen (auch bekannt als Gründe) für jede:

   QUERY='
   // Returns one record per baseline rule (around 200 per machine) with status for each
   GuestConfigurationResources
   | where name contains "LinuxSecurityBaseline"
   | project Report = properties.latestAssignmentReport,
     Machine = split(properties.targetResourceId,"/")[-1],
     LastComplianceCheck=properties.lastComplianceStatusChecked
   | mv-expand Report.resources
   | project ["> Machine"] = Machine,
     ["> Rule"] = Report_resources.resourceId,
     RuleComplianceStatus = Report_resources.complianceStatus,
     RuleComplianceReason = Report_resources.reasons[0].phrase,
     LastComplianceCheck'
   
   az graph query --graph-query "$QUERY" --query data --output yamlc
   

Optional: Hinzufügen weiterer Testcomputer zur Skalierung der Oberfläche

In diesem Artikel wurde die Richtlinie einer Ressourcengruppe zugewiesen, die anfangs leer war und dann eine VM erhielt. Während es zeigt, dass das System end-to-End funktioniert, bietet es kein Gefühl für vorgänge im großen Maßstab. Beispielsweise kann sich in der Richtlinienzuweisungskompatibilitätsansicht ein Kreisdiagramm eines Computers künstlich fühlen.

Erwägen Sie das Hinzufügen weiterer Testcomputer zur Ressourcengruppe, unabhängig davon, ob manuell oder über automatisierung. Diese Computer können Azure-VMs oder Arc-fähige Computer sein. Wenn Sie sehen, dass diese Computer in Die Compliance kommen (oder sogar fehlschlagen), können Sie ein starkes Gefühl für die Operationalisierung von Azure-Sicherheitsgrundwerten im Großen und Umfang gewinnen.

Bereinigen von Ressourcen

Um laufende Gebühren zu vermeiden, sollten Sie die in diesem Artikel verwendete Ressourcengruppe löschen. Der Azure CLI-Befehl wäre z. B. az group delete --name "my-demo-rg".

---

Verwandte Inhalte

• Um Feedback zu geben, besprechen Sie Featureanfragen usw. kontakt: linux_sec_config_mgmt@service.microsoft.com
• Lesen Sie mehr über den Startblog angekündigt bei Ignite 2024
• Registrieren für die eingeschränkte Vorschau der automatischen Korrektur, um mit uns zusammenzuarbeiten und die Zukunft dieser Funktion zu gestalten