Partager via

Déploiement sécurisé des paramètres de serveur SSH avec Azure Policy

Découvrez comment configurer en toute transparence les paramètres SSHD dans votre parc de serveurs avec cet article, en commençant par un audit méticuleux des configurations existantes pour vous assurer que chaque modification est implémentée avec précision et soin.

Pour obtenir une vue d’ensemble plus détaillée de SSH Posture Control, consultez Vue d’ensemble : Qu’est-ce que ssh Posture Control ?.

Le défi

Imaginez que vous êtes un administrateur responsable d’une flotte étendue de machines Linux. Chaque machine est un point d’entrée potentiel pour les attaquants s’ils ne sont pas correctement sécurisés. L’un des aspects critiques de la sécurisation de ces machines consiste à standardiser les paramètres SSHD. La stratégie de sécurité de votre organisation impose que tous les ports SSHD soient normalisés sur un seul port. Cela peut sembler simple, mais avec des centaines ou même des milliers de machines, il peut rapidement devenir un cauchemar logistique.

La solution

Vous pouvez utiliser la fonctionnalité SSH Posture Control dans Azure Policy/Machine Configuration. Cette fonctionnalité puissante vous permet d’auditer et d’appliquer la posture de sécurité SSH sur l’ensemble de votre flotte d’appareils, en garantissant la cohérence et l’amélioration de la sécurité. Pas à pas dans le processus.

Étape 1 : Auditer les paramètres SSH actuels via la stratégie « Auditer la sécurité SSH pour Linux »

GIF montrant comment définir l' de stratégie SSH d’audit

Pour éviter toute suprise lors de la configuration de stratégies via Azure Policy, nous devons comprendre l’état actuel de nos machines. Cela implique l’audit des machines via la stratégie SSH pour voir quels ports sont actuellement utilisés.

  1. Accédez à Policy dans le portail Azure.
  2. Cliquez sur Définitions.
  3. Filtrez par SSH et sélectionnez la stratégie Audit SSH Security Posture for Linux.
  4. Affectez la stratégie, appliquez l’étendue et définissez les paramètres pour vous assurer que le port SSH est défini sur votre port souhaité.
  5. Créez une identité managée, examinez et créez la stratégie.

Autorisez 10 à 15 minutes pour que la stratégie audite toutes les machines Linux de votre flotte.

L’audit de la stratégie SSH est crucial, car il fournit une compréhension de base de votre posture de sécurité actuelle. Sans cette étape, vous appliquez des stratégies aveuglement, ce qui peut entraîner des interruptions ou des machines non conformes manquantes. En auditant d’abord, vous vous assurez que vous disposez d’une image claire de votre environnement, ce qui est essentiel pour l’application efficace des stratégies.

Étape 2 : Examen des résultats de notre audit

GIF montrant comment passer en revue les résultats de la stratégie SSH d’audit via une requête Azure Resource Graph

Une fois l’audit terminé, il est temps d’examiner les résultats. Cela nous donnera une image claire des machines qui sont conformes, et qui ne le sont pas.

  • Pour ce faire, vous pouvez utiliser une requête Azure Resource Graph :

  • Ouvrez la requête pour examiner les différents ports de votre flotte de machines.

    • Exécutez la requête pour afficher une ligne par machine avec les données d’audit du port dans les colonnes.
         // SSH port rule detail
     GuestConfigurationResources
     | where name contains "LinuxSshServerSecurityBaseline"
     | project report = properties.latestAssignmentReport,
      machine = split(properties.targetResourceId,'/')[-1],
      lastComplianceStatusChecked=properties.lastComplianceStatusChecked
     | mv-expand report.resources
     | project machine,
      rule = report_resources.resourceId,
      ruleComplianceStatus = report_resources.complianceStatus,
      ruleComplianceReason = report_resources.reasons[0].phrase,
      lastComplianceStatusChecked
     | where rule contains('port')

Par le biais de la capture d’écran ci-dessus, nous pouvons voir que certaines machines utilisaient le port 22, tandis que d’autres utilisaient des ports différents.

Note

Les requêtes comme celles indiquées ci-dessus peuvent être modifiées en fonction des besoins souhaités par les administrateurs, telles que l’interrogation de votre flotte entière pour rechercher les ordinateurs qui autorisent la connexion racine.

L’examen des résultats de l’audit vous permet d’identifier les modèles et les valeurs hors norme dans votre flotte. Cette étape est essentielle pour identifier des machines spécifiques qui ont besoin d’attention et de comprendre le niveau de conformité global. Il aide également à communiquer avec l’état actuel aux parties prenantes, en fournissant de la transparence et en créant une confiance dans le processus.

Étape 3 : Communiquer les modifications

Maintenant que nous savons quels ordinateurs utilisent des ports autres que le port souhaité, il est essentiel de communiquer ces modifications aux parties prenantes. Cela garantit que tout le monde connaît les modifications à venir et peut mettre à jour leurs flux de travail en conséquence.

Important

Une communication efficace est essentielle à la réussite de l’implémentation de la stratégie. En informant les parties prenantes des changements, vous vous assurez qu’il n’y a pas de surprises et que tout le monde est prêt pour la transition. Cette étape permet d’acquérir un achat auprès de différentes équipes et de réduire la résistance aux changements.

Étape 4 : Appliquer de nouveaux paramètres via la stratégie « Configurer la posture de sécurité SSH pour Linux »

GIF montrant comment définir la stratégie SSH

Avec l’approbation des parties prenantes, nous pouvons maintenant appliquer la stratégie SSH de configuration. Cette étape normalisera les ports SSHD sur toutes les machines.

  1. Accédez à définitions de stratégie.
  2. Filtrez par SSH, puis sélectionnez Configurer la posture de sécurité SSH pour Linux.
  3. Affectez la stratégie, choisissez l’étendue et définissez les paramètres pour vous assurer que le port est défini sur votre port souhaité.
  4. Activez la correction pour modifier les ports et toutes les machines créées avant de définir la stratégie.
  5. Passez en revue, puis créez la stratégie.

L’application de la stratégie SSH de configuration est l’étape critique où les modifications réelles sont apportées. Cette étape garantit que tous les ordinateurs respectent les normes de sécurité, ce qui réduit la surface d’attaque et améliore la sécurité globale. En activant la correction, vous automatisez le processus, vous économisez du temps et des efforts tout en garantissant la cohérence dans l’ensemble de la flotte.

Étape 5 : Vérification de nos modifications

GIF montrant comment examiner appliquer les résultats de la stratégie SSH via une requête Azure Resource Graph

Après quelques heures, il est temps de vérifier que toutes les machines utilisent désormais votre port souhaité. Vous pouvez exécuter la même requête que précédemment pour vérifier l’état de conformité.

Important

La vérification est la dernière étape pour vous assurer que l’application de la stratégie a réussi. Cette étape garantit que toutes les machines sont conformes et que les modifications ont été correctement appliquées. Elle permet également d’identifier les problèmes qui peuvent avoir eu lieu pendant le processus d’application de la loi, ce qui permet une résolution en temps opportun.

À venir

La base de référence de sécurité Azure pour Linux est désormais en préversion publique ! Il inclut SSH Posture Control plus des règles de sécurité et de gestion pour mieux sécuriser votre flotte d’appareils Linux. Pour plus d’informations, consultez Démarrage rapide : Auditer la base de référence de sécurité Azure pour Linux avec une machine de test.

Plus de documentation

  • Pour obtenir du support technique, etc., contactez le support Technique Microsoft
  • Pour fournir des commentaires, discuter des demandes de fonctionnalités, etc. contactez : linux_sec_config_mgmt@service.microsoft.com