Raccomandazioni sulla sicurezza per le immagini di Azure Marketplace
Prima di caricare immagini in Azure Marketplace, l'immagine deve essere aggiornata con diversi requisiti di configurazione della sicurezza. Questi requisiti consentono di mantenere un elevato livello di sicurezza per le immagini delle soluzioni dei partner in Azure Marketplace.
Assicurarsi di eseguire un rilevamento delle vulnerabilità di sicurezza nell'immagine prima di inviarlo ad Azure Marketplace. Se si rileva una vulnerabilità di sicurezza nell'immagine già pubblicata, è necessario informare i clienti in modo tempestivo dei dettagli della vulnerabilità e come correggerlo nelle distribuzioni correnti.
Immagini del sistema operativo Linux e open source
| Categoria | Segno di spunta |
|---|---|
| Sicurezza | Installare tutte le patch di protezione più recenti per la distribuzione Linux. |
| Sicurezza | Seguire le linee guida del settore per proteggere l'immagine VM per la distribuzione Linux specifica. |
| Sicurezza | Limitare la superficie di attacco mantenendo un footprint minimo soltanto con ruoli, funzionalità, servizi e porte di rete Windows Server necessari. |
| Sicurezza | Analizzare il codice sorgente e l'immagine di macchine virtuali risultante per ricercare eventuale malware. |
| Sicurezza | L'immagine del disco rigido virtuale include solo gli account bloccati necessari, che non dispongono di password predefinite che potrebbero consentire l'accesso interattivo; nessun backdoor. |
| Sicurezza | Disabilitare le regole del firewall, a meno che l'applicazione non si basi a livello funzionale su di esse, ad esempio un'appliance firewall. |
| Sicurezza | Rimuovere tutte le informazioni riservate dall'immagine di disco rigido virtuale, ad esempio le chiavi SSH di test, i file host noti, i file di log e i certificati non necessari. |
| Sicurezza | Evitare di usare LVM. LVM è vulnerabile alla scrittura di problemi di memorizzazione nella cache con gli hypervisor delle VM e aumenta anche la complessità del ripristino dei dati per gli utenti dell'immagine. |
| Sicurezza | Includere le versioni più recenti delle librerie necessarie: - OpenSSL v1.0 o versione successiva - Python 2.5 o versione successiva (Python 2.6+ è altamente consigliato) -Pacchetto Python pyasn1 se non è già installato - d.OpenSSL v 1.0 o versione successiva |
| Sicurezza | Deselezionare le voci della cronologia di Bash/Shell. Ciò può includere informazioni private o credenziali di testo normale per altri sistemi. |
| Rete | Includere il server SSH per impostazione predefinita. Impostare SSH keep alive sulla configurazione per mantenere attive le sessioni SSH con l'opzione seguente: ClientAliveInterval 180. |
| Rete | Rimuovere qualsiasi configurazione di rete personalizzata dall'immagine. Eliminare resolv.conf:rm /etc/resolv.conf. |
| Distribuzione | Installare l'agente Linux di Azure più recente. - Installare usando il pacchetto RPM o Deb. - È possibile anche usare il processo di installazione manuale, ma è consigliabile e preferibile usare i pacchetti di installazione. - Se si installa manualmente l'agente dal repository GitHub, copiare prima di tutto il waagentfile in /usr/sbin ed eseguirlo (come radice): # chmod 755 /usr/sbin/waagent# /usr/sbin/waagent -installIl file di configurazione dell'agente viene inserito in /etc/waagent.conf. |
| Distribuzione | Assicura che il supporto di Azure possa fornire ai partner l'output della console seriale quando è necessario e possa consentire il timeout adeguato per il montaggio del disco del sistema operativo dall'archiviazione cloud. Aggiungere i parametri seguenti all'immagine Kernel Boot Line: console=ttyS0 earlyprintk=ttyS0 rootdelay=300. |
| Distribuzione | Nessuna partizione swap nel disco del sistema operativo. Lo swap può essere richiesto per la creazione del disco delle risorse locali dall'agente Linux. |
| Distribuzione | Creare una singola partizione radice per il disco del sistema operativo. |
| Distribuzione | Solo sistema operativo a 64 bit. |
Immagini di Windows Server
| Categoria | Segno di spunta |
|---|---|
| Sicurezza | Usare un'immagine base del sistema operativo protetta. Il disco rigido virtuale usato per l'origine di un'immagine basata su Windows Server deve provenire da immagini del sistema operativo Windows Server fornite tramite Microsoft Azure. |
| Sicurezza | Installare tutti gli aggiornamenti della sicurezza più recenti. |
| Sicurezza | Le applicazioni non devono dipendere da nomi utente limitati, ad esempio amministratore, radice o amministratore. |
| Sicurezza | Abilitare Crittografia unità BitLocker sia per i dischi rigidi del sistema operativo che per i dischi rigidi dei dati. |
| Sicurezza | Limitare la superficie di attacco mantenendo un footprint minimo abilitando soltanto ruoli, funzionalità, servizi e porte di rete Windows Server necessari. |
| Sicurezza | Analizzare il codice sorgente e l'immagine di macchine virtuali risultante per ricercare eventuale malware. |
| Sicurezza | Impostare l'aggiornamento automatico degli aggiornamenti di sicurezza delle immagini Windows Server. |
| Sicurezza | L'immagine del disco rigido virtuale include solo gli account bloccati necessari, che non dispongono di password predefinite che potrebbero consentire l'accesso interattivo; nessun backdoor. |
| Sicurezza | Disabilitare le regole del firewall, a meno che l'applicazione non si basi a livello funzionale su di esse, ad esempio un'appliance firewall. |
| Sicurezza | Rimuovere tutte le informazioni riservate dall'immagine del disco rigido virtuale, inclusi i file HOST, i file di log e i certificati non necessari. |
| Distribuzione | Solo sistema operativo a 64 bit. |
Anche se l'organizzazione non dispone di immagini in Azure Marketplace, è consigliabile controllare le configurazioni delle immagini Windows e Linux in base a queste raccomandazioni.