Che cos'è la baseline di sicurezza di Azure per Linux?

La baseline di sicurezza di Azure per Linux è un elenco di raccomandazioni sulla sicurezza per computer Linux per utilizzo generico. La baseline viene implementata tramite i servizi di governance di Azure (Criteri di Azure, Configurazione di Azure Machine). Le macchine virtuali di Azure e i computer abilitati per Azure Arc sono inclusi nell'ambito.

Nomi e punti di ingresso

La baseline viene definita tramite diversi sinonimi in vari blog, documenti e strumenti. Ad esempio, "Baseline di sicurezza di calcolo di Azure", "Baseline di configurazione guest", "Baseline di sicurezza di Azure per macchine virtuali - Macchine virtuali Linux" e così via.

Esperienza di Criteri di Azure

• Per comportamento di solo controllo, assegnare la definizione dei criteri predefinita computer Linux deve soddisfare i requisiti per la baseline di sicurezza di calcolo di Azure. Per provare questa operazione, vedere Avvio rapido: Controllare la baseline di sicurezza di Azure per Linux con un computer di test.
• Per comportamento di di controllo e configurazione (correzione), usare una definizione di criteri personalizzata di anteprima in base Avvio rapido: Configurare la baseline di sicurezza di Azure per Linux con un computer di test.

Esperienza di Microsoft Defender for Cloud

In Microsoft Defender for Cloud (MDC) l'esperienza di Recommendations si basa sull'esperienza di Criteri di Azure. Se sono state abilitate le funzionalità di sicurezza del server nelle impostazioni MDC, verrà visualizzata una raccomandazione per avviare il controllo dei computer. Seguendo questa raccomandazione, la distribuzione degli stessi computer Linux deve soddisfare i requisiti criteri di controllo descritti in precedenza. Dopo che i computer sono stati controllati almeno una volta, verranno visualizzate raccomandazioni aggiuntive che corrispondono alle regole di base non conformi.

Considerazioni sull'anteprima

1. L'implementazione lato computer della baseline è un'anteprima e deve essere usata negli ambienti di test.
2. Microsoft sta lavorando per rimuovere eventuali limitazioni di anteprima e si intende rimuovere questa sezione di anteprima da questo documento quando si verifica tale problema.
3. Nell'implementazione dell'anteprima più recente, le modifiche che si potrebbero notare rispetto alle anteprime precedenti includono:
   1. Per lo stesso computer, la valutazione della conformità per determinate regole di base può essere diversa da prima. Questo è il risultato di una migliore gestione degli errori, una gestione migliorata delle differenze di distribuzione e così via per ridurre i falsi positivi e i falsi negativi.
   2. Sono stati aggiunti motivi affidabili per ogni stato di regola per fornire prove e chiarezza sul modo in cui è stata valutata la conformità.
   3. Alcune definizioni delle regole sono state re-factoring (combinate, suddivise) per maggiore chiarezza e coerenza, con conseguente conteggio delle regole aggiornato.
4. Per i canali di feedback, vedere la sezione risorse correlate alla fine di questo articolo.

Ambito e limitazioni di base

1. Le regole di base sono motivate dalle linee guida sulla sicurezza provenienti da più origini, in particolare dalla cis Distro Independent Benchmark versione 2.0.0, con circa 63% copertura di tale baseline.
2. Le impostazioni delle regole di base (ad esempio, la porta SSH prevista) non possono essere personalizzate tramite i parametri dei criteri. Sono disponibili solo parametri correlati all'assegnazione, tra cui:
   1. Indica se includere computer abilitati per Arc
   2. Se l'effetto dei criteri deve essere disabled o deve essere l'effetto normale per i criteri specificati (AuditIfNotExists per i criteri di controllo, DeployIfNotExists per Configurare i criteri)

Risorse correlate

• Avvio rapido di : Controllare la baseline di sicurezza di Azure per Linux con un computer di test
• Avvio rapido di : Configurare la baseline di sicurezza di Azure per Linux con un computer di test