Biztonsági javaslatok az Azure Marketplace-rendszerképekhez
Mielőtt képeket tölt fel az Azure Marketplace-re, a rendszerképet több biztonsági konfigurációs követelménynek kell megfelelően frissítenie. Ezek a követelmények segítenek magas szintű biztonságot fenntartani a partnermegoldások rendszerképei számára az Azure Marketplace-en.
Győződjön meg arról, hogy biztonsági résészlelést futtat a rendszerképen, mielőtt elküldi azt az Azure Marketplace-nek. Ha biztonsági rést észlel a saját, már közzétett rendszerképében, időben tájékoztatnia kell ügyfeleit a biztonsági rés részleteiről, valamint arról, hogyan javíthatja ki az aktuális üzemelő példányokban.
Linux- és nyílt forráskód operációsrendszer-rendszerképek
Kategória | Jelölőnégyzet |
---|---|
Biztonság | Telepítse a Linux-disztribúció összes legújabb biztonsági javítását. |
Biztonság | Az iparági irányelveket követve biztonságossá teheti a virtuálisgép-rendszerképet az adott Linux-disztribúcióhoz. |
Biztonság | Korlátozza a támadási felületet úgy, hogy a minimális lábnyomot csak a szükséges Windows Server-szerepkörökkel, funkciókkal, szolgáltatásokkal és hálózati portokkal korlátozza. |
Biztonság | Vizsgálja meg a forráskódot és az eredményként kapott virtuálisgép-rendszerképet a kártevők számára. |
Biztonság | A VHD-rendszerkép csak azokat a szükséges zárolt fiókokat tartalmazza, amelyek nem rendelkeznek alapértelmezett jelszóval, amelyek lehetővé tennék az interaktív bejelentkezést; nincs hátsó ajtó. |
Biztonság | Tiltsa le a tűzfalszabályokat, hacsak az alkalmazás nem támaszkodik rájuk, például tűzfalberendezésre. |
Biztonság | Távolítsa el az összes bizalmas információt a VHD-lemezképből, például teszt SSH-kulcsokat, ismert gazdagépfájlokat, naplófájlokat és szükségtelen tanúsítványokat. |
Biztonság | Kerülje az LVM használatát. Az LVM sebezhető a virtuálisgép-hipervizorokkal kapcsolatos írási gyorsítótárazási problémák miatt, és növeli az adat-helyreállítás összetettségét a rendszerkép felhasználói számára. |
Biztonság | Tartalmazza a szükséges kódtárak legújabb verzióit: - OpenSSL v1.0 vagy újabb – Python 2.5 vagy újabb (a Python 2.6+ használata erősen ajánlott) – Python pyasn1 csomag, ha még nincs telepítve – d.OpenSSL v 1.0 vagy újabb |
Biztonság | Törölje a Bash-/Shell-előzmények bejegyzéseinek törlését. Ilyenek lehetnek a privát adatok vagy más rendszerek egyszerű szöveges hitelesítő adatai. |
Hálózat | Alapértelmezés szerint adja meg az SSH-kiszolgálót. Állítsa be az SSH életben tartását az sshd konfigurációhoz a következő beállítással: ClientAliveInterval 180. |
Hálózat | Távolítsa el az egyéni hálózati konfigurációt a rendszerképből. Törölje a resolv.conf fájlt: rm /etc/resolv.conf . |
Telepítés | Telepítse a legújabb Azure Linux-ügynököt. – Telepítés az RPM vagy a Deb csomag használatával. - Használhatja a manuális telepítési folyamatot is, de a telepítőcsomagok ajánlottak és előnyben részesítettek. - Ha manuálisan telepíti az ügynököt a GitHub-adattárból, először másolja a waagent fájlt a fájlba/usr/sbin , és futtassa (gyökérként): # chmod 755 /usr/sbin/waagent # /usr/sbin/waagent -install Az ügynök konfigurációs fájlja a következő helyen található /etc/waagent.conf : . |
Telepítés | Győződjön meg arról, hogy az Azure-támogatás szükség esetén soros konzolkimenetet biztosít partnereinek, és megfelelő időtúllépést biztosít az operációsrendszer-lemezek felhőbeli tárolóból való csatlakoztatásához. Adja hozzá a következő paramétereket a rendszermag rendszerindító sorához: console=ttyS0 earlyprintk=ttyS0 rootdelay=300 . |
Telepítés | Nincs felcserélési partíció az operációsrendszer-lemezen. A felcserélést a Linux-ügynök kérheti a helyi erőforráslemezen való létrehozáshoz. |
Telepítés | Hozzon létre egyetlen gyökérpartíciót a rendszerlemez számára. |
Telepítés | Csak 64 bites operációs rendszer. |
Windows Server-rendszerképek
Kategória | Jelölőnégyzet |
---|---|
Biztonság | Használjon biztonságos operációsrendszer-alaprendszerképet. A Windows Serveren alapuló rendszerképek forrásához használt VHD-nek a Microsoft Azure-on keresztül biztosított Windows Server operációsrendszer-rendszerképekből kell származnia. |
Biztonság | Telepítse az összes legújabb biztonsági frissítést. |
Biztonság | Az alkalmazások nem függenek olyan korlátozott felhasználónevektől, mint a rendszergazda, a gyökér vagy a rendszergazda. |
Biztonság | Engedélyezze a BitLocker meghajtótitkosítást operációsrendszer-merevlemezekhez és adatmeghajtókhoz is. |
Biztonság | Korlátozza a támadási felületet úgy, hogy a minimális lábnyomot csak a szükséges Windows Server-szerepkörök, funkciók, szolgáltatások és hálózati portok engedélyezve tartásával korlátozza. |
Biztonság | Vizsgálja meg a forráskódot és az eredményként kapott virtuálisgép-rendszerképet a kártevők számára. |
Biztonság | Állítsa be a Windows Server rendszerképek biztonsági frissítését automatikus frissítésre. |
Biztonság | A VHD-rendszerkép csak azokat a szükséges zárolt fiókokat tartalmazza, amelyek nem rendelkeznek alapértelmezett jelszóval, amelyek lehetővé tennék az interaktív bejelentkezést; nincs hátsó ajtó. |
Biztonság | Tiltsa le a tűzfalszabályokat, hacsak az alkalmazás nem támaszkodik rájuk, például tűzfalberendezésre. |
Biztonság | Távolítsa el az összes bizalmas információt a VHD-lemezképből, beleértve a HOSTS-fájlokat, a naplófájlokat és a szükségtelen tanúsítványokat. |
Telepítés | Csak 64 bites operációs rendszer. |
Még akkor is érdemes ellenőrizni a Windows és Linux rendszerképkonfigurációit, ha szervezete nem rendelkezik lemezképekkel az Azure Marketplace-en.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: