Linux 用の Azure セキュリティ ベースラインは、汎用 Linux マシンのセキュリティに関する推奨事項の一覧です。 ベースラインは、Azure ガバナンス サービス (Azure Policy、Azure Machine Configuration) を介して実装されます。 Azure VM と Azure Arc 対応マシンはスコープ内にあります。
名前とエントリ ポイント
ベースラインは、さまざまなブログ、ドキュメント、ツールの複数のシノニムを介して参照されます。 たとえば、"Azure コンピューティング セキュリティ ベースライン"、"ゲスト構成ベースライン"、"仮想マシンの Azure セキュリティ ベースライン - Linux Virtual Machines"などです。
Azure Policy エクスペリエンス
- 監査のみの 動作の場合は、組み込みのポリシー定義 Linux マシンが Azure コンピューティング セキュリティ ベースラインの要件を満たしている必要があることを割り当てます。 これを試すには、「クイック スタート: テスト マシンを使用して Linux 用の Azure セキュリティ ベースラインを監査する」を参照してください。
- 監査と構成の (修復) 動作 場合は、「クイック スタート: テスト マシンを使用して Linux 用の Azure セキュリティ ベースラインを構成する」に従って、プレビュー カスタム ポリシー定義を使用します。
Microsoft Defender for Cloud エクスペリエンス
Microsoft Defender for Cloud (MDC) では、推奨事項 エクスペリエンスは、Azure Policy エクスペリエンスに基づいています。 MDC 設定でサーバー セキュリティ機能を有効にしている場合は、マシンの監査を開始するための推奨事項が表示されます。 この推奨事項に従うと、同じ Linux マシンが要件を満たす必要があります。前述の監査ポリシー 展開されます。 マシンが少なくとも 1 回監査されると、準拠していないベースライン 規則に対応する追加の推奨事項が表示されます。
プレビューに関する考慮事項
- ベースラインのマシン側実装は、プレビューであり、テスト環境で使用する必要があります。
- プレビューの制限事項を削除するために取り組んでいます。このプレビュー セクションは、このドキュメントから削除する予定です。
- 最新のプレビュー実装では、以前のプレビューに比べて次のような変更が行われる場合があります。
- 同じコンピューターの場合、特定のベースライン 規則のコンプライアンス評価が以前とは異なる場合があります。 これは、誤検知や偽陰性を減らすために、エラー処理の改善、ディストリビューションの違いの処理の改善などが行われる結果です。
- 規則の状態ごとに堅牢な 理由 追加され、コンプライアンスの評価方法に関する証拠と明確さが提供されます。
- 特定のルール定義は、明確さと一貫性のために再考慮 (結合、分割) され、結果としてルール数が更新されました。
- フィードバック チャネルについては、この記事の最後にある 関連リソースの セクションを参照してください。
ベースラインのスコープと制限事項
- ベースライン ルールは、複数のソースからのセキュリティ ガイダンス (特に、CIS Distro 独立ベンチマーク バージョン 2.0.0) によって動機付けられ、そのベースラインの範囲は約 63% です。
- ベースライン ルールの設定 (たとえば、予想される SSH ポート) は、ポリシー パラメーターを使用してカスタマイズすることはできません。 次のような割り当て関連パラメーターのみを使用できます。
- Arc 対応マシンを含めるかどうか
- ポリシー 効果
disabledするか、特定のポリシーの通常の効果にする必要があるか (監査ポリシーのAuditIfNotExists、ポリシーの構成DeployIfNotExists)
関連リソース
- クイック スタート: テスト マシン を使用して Linux 用の Azure セキュリティ ベースラインを監査する
- クイック スタート: テスト マシン を使用して Linux 用の Azure セキュリティ ベースラインを構成する