Azure Marketplace イメージのセキュリティに関する推奨事項
Azure Marketplace にイメージをアップロードする前に、いくつかのセキュリティ構成要件を満たすようにイメージを更新する必要があります。 これらの要件は、Azure Marketplace のパートナー ソリューション イメージのセキュリティを高いレベルに維持するのに役立ちます。
イメージを送信する "前に"、必ずイメージに対してセキュリティの脆弱性の検出を実行してください。 自分自身が公開したイメージの中のセキュリティの脆弱性を見つけた場合は、その脆弱性の詳細と現在のデプロイの中でそれを修正する方法の両方を速やかに顧客に伝達する必要があります。
Linux およびオープンソース OS イメージ
| カテゴリ | ○ |
|---|---|
| Security | Linux ディストリビューションの最新のセキュリティ パッチをすべてインストールします。 |
| Security | 特定の Linux ディストリビューション用の VM イメージのセキュリティ保護に関する業界のガイドラインに従います。 |
| Security | Windows Server の役割、機能、サービス、ネットワーク ポートを必要なものだけにしてフット プリントを最小限にすることで、攻撃対象領域を制限します。 |
| Security | ソース コードおよびそれから作成される VM イメージでマルウェアをスキャンします。 |
| Security | VHD イメージには、既定のパスワードを持たない、ロックされた必要なアカウントだけが含まれています。これにより、対話型ログインが可能になり、バック ドアが存在しないようにします。 |
| Security | ファイアウォール アプライアンスなど、アプリケーションが機能的に依存している場合を除き、ファイアウォール規則を無効にします。 |
| Security | テスト SSH キー、既知の hosts ファイル、ログ ファイル、不要な証明書など、すべての機密情報を VHD イメージから削除します。 |
| Security | LVM の使用を避けます。 LVM は、VM ハイパーバイザーでの書き込みキャッシュの問題に対して脆弱であるだけでなく、ユーザーにとってのイメージのデータ回復の複雑性を増加させます。 |
| セキュリティ | 必要なライブラリの最新バージョンを含めます。 - OpenSSL v1.0 以降 - Python 2.5 以降 (Python 2.6 以降を強くお勧めします) - まだインストールされていない場合は Python pyasn1 パッケージ - d.OpenSSL v 1.0 以降 |
| Security | Bash/シェルの履歴エントリをクリアします。 これには、個人情報や他のシステムのプレーンテキストの資格情報が含まれる可能性があります。 |
| ネットワーク | 既定で SSH サーバーを含めます。 次のオプションを使って、SSH キープアライブを sshd 構成に設定します。ClientAliveInterval 180。 |
| ネットワーク | イメージからカスタム ネットワーク構成をすべて削除します。 resolv.conf を削除します (rm /etc/resolv.conf)。 |
| デプロイ | 最新の Azure Linux エージェントをインストールします。 - RPM または Deb パッケージを使ってインストールします。 - 手動インストール プロセスを使うこともできますが、インストーラー パッケージを優先することをお勧めします。 - GitHub リポジトリから手動でエージェントをインストールする場合は、最初に waagent ファイルを /usr/sbin にコピーし、(root として) 実行します。# chmod 755 /usr/sbin/waagent# /usr/sbin/waagent -installエージェントの構成ファイルは /etc/waagent.conf に配置されます。 |
| デプロイ | Azure サポートが必要に応じてシリアル コンソール出力を提供し、クラウド ストレージからの OS ディスクのマウントに十分なタイムアウトを提供できることを確認します。 パラメーター console=ttyS0 earlyprintk=ttyS0 rootdelay=300をイメージのカーネル ブート ラインに追加します。 |
| デプロイ | OS ディスクにスワップ パーティションがないこと。 Linux エージェントは、ローカル リソース ディスクへのスワップの作成を要求できます。 |
| デプロイ | OS ディスクの単一のルート パーティションを作成します。 |
| デプロイ | 64 ビット オペレーティング システムだけであること。 |
Windows Server イメージ
| カテゴリ | ○ |
|---|---|
| Security | セキュリティで保護された OS ベース イメージを使います。 Windows Server に基づくイメージのソースに使われる VHD は、Microsoft Azure によって提供される Windows Server OS イメージが基になっている必要があります。 |
| Security | 最新のセキュリティ更新プログラムをすべてインストールします。 |
| Security | アプリケーションは、administrator、root、admin などの制限されたユーザー名に依存してはなりません。 |
| Security | OS ハード ドライブとデータ ハード ドライブの両方に対して BitLocker ドライブ暗号化を有効にします。 |
| Security | Windows Server の役割、機能、サービス、ネットワーク ポートは必要なものだけを有効にしてフット プリントを最小限にすることで、攻撃対象領域を制限します。 |
| Security | ソース コードおよびそれから作成される VM イメージでマルウェアをスキャンします。 |
| Security | Windows Server イメージのセキュリティ更新プログラムを自動更新に設定します。 |
| Security | VHD イメージには、既定のパスワードを持たない、ロックされた必要なアカウントだけが含まれています。これにより、対話型ログインが可能になり、バック ドアが存在しないようにします。 |
| Security | ファイアウォール アプライアンスなど、アプリケーションが機能的に依存している場合を除き、ファイアウォール規則を無効にします。 |
| Security | HOSTS ファイル、ログ ファイル、不要な証明書など、すべての機密情報を VHD イメージから削除します。 |
| デプロイ | 64 ビット オペレーティング システムだけであること。 |
組織が Azure Marketplace にイメージを持っていない場合でも、これらの推奨事項に照らして Windows と Linux のイメージ構成をチェックすることを検討してください。