Aanbevelingen voor beveiliging voor Azure Marketplace-installatiekopieën
Voordat u installatiekopieën uploadt naar Azure Marketplace, moet uw installatiekopieën worden bijgewerkt met verschillende beveiligingsconfiguratievereisten. Deze vereisten helpen bij het onderhouden van een hoog beveiligingsniveau voor installatiekopieën van partneroplossingen in Azure Marketplace.
Zorg ervoor dat u een detectie van beveiligingsproblemen uitvoert op uw installatiekopie voordat u deze indient bij Azure Marketplace. Als u een beveiligingsprobleem in uw eigen reeds gepubliceerde installatiekopie detecteert, moet u uw klanten tijdig op de hoogte stellen van de details van het beveiligingsprobleem en hoe u dit kunt corrigeren in de huidige implementaties.
Linux- en opensource-installatiekopieën van het besturingssysteem
| Categorie | Selecteren |
|---|---|
| Beveiliging | Installeer alle meest recente beveiligingspatches voor de Linux-distributie. |
| Beveiliging | Volg de richtlijnen voor de branche om de VM-installatiekopieën voor de specifieke Linux-distributie te beveiligen. |
| Beveiliging | Beperk de kwetsbaarheid voor aanvallen door minimale footprint te behouden met alleen benodigde Windows Server-functies, -functies, -services en -netwerkpoorten. |
| Beveiliging | Scan de broncode en resulterende VM-installatiekopieën voor malware. |
| Beveiliging | De VHD-installatiekopieën bevatten alleen de benodigde vergrendelde accounts die geen standaardwachtwoorden hebben die interactieve aanmelding mogelijk maken; geen achterdeuren. |
| Beveiliging | Schakel firewallregels uit, tenzij de toepassing ervan functioneel afhankelijk is, zoals een firewallapparaat. |
| Beveiliging | Verwijder alle gevoelige informatie uit de VHD-installatiekopie, zoals SSH-sleutels testen, bekende hosts-bestanden, logboekbestanden en onnodige certificaten. |
| Beveiliging | Vermijd het gebruik van LVM. LVM is kwetsbaar voor schrijfcachingproblemen met VM-hypervisors en verhoogt ook de complexiteit van gegevensherstel voor gebruikers van uw installatiekopieën. |
| Beveiliging | Neem de nieuwste versies van de vereiste bibliotheken op: - OpenSSL v1.0 of hoger - Python 2.5 of hoger (Python 2.6+ wordt ten zeerste aanbevolen) - Python pyasn1-pakket als dit nog niet is geïnstalleerd - d.OpenSSL v 1.0 of hoger |
| Beveiliging | Wis Bash-/Shell-geschiedenisvermeldingen. Dit kan persoonlijke gegevens of referenties voor tekst zonder opmaak bevatten voor andere systemen. |
| Netwerken | Neem de SSH-server standaard op. Stel SSH keep alive in op sshd-configuratie met de volgende optie: ClientAliveInterval 180. |
| Netwerken | Verwijder een aangepaste netwerkconfiguratie uit de installatiekopieën. Verwijder de resolv.conf: rm /etc/resolv.conf. |
| Implementatie | Installeer de nieuwste Azure Linux-agent. - Installeren met behulp van het RPM- of Deb-pakket. - U kunt ook het handmatige installatieproces gebruiken, maar de installatiepakketten worden aanbevolen en de voorkeur gegeven. - Als u de agent handmatig installeert vanuit de GitHub-opslagplaats, kopieert u eerst het bestand naar en voert u het uit (als hoofdmap): # chmod 755 /usr/sbin/waagent # /usr/sbin/waagent -install het configuratiebestand van de agent wordt opgeslagen./etc/waagent.conf/usr/sbin waagent |
| Implementatie | Zorg ervoor dat Azure-ondersteuning onze partners indien nodig seriële console-uitvoer kan bieden en voldoende time-out biedt voor het koppelen van besturingssysteemschijven vanuit cloudopslag. Voeg de volgende parameters toe aan de opstartlijn van de kernel van de installatiekopie: console=ttyS0 earlyprintk=ttyS0 rootdelay=300. |
| Implementatie | Geen wisselpartitie op de besturingssysteemschijf. Wisselen kan worden aangevraagd voor het maken op de lokale resourceschijf door de Linux-agent. |
| Implementatie | Maak een enkele hoofdpartitie voor de schijf met het besturingssysteem. |
| Implementatie | Alleen 64-bits besturingssysteem. |
Windows Server-installatiekopieën
| Categorie | Selecteren |
|---|---|
| Beveiliging | Gebruik een beveiligde basisinstallatiekopieën van het besturingssysteem. De VHD die wordt gebruikt voor de bron van een installatiekopieën op basis van Windows Server, moet afkomstig zijn van de installatiekopieën van het Windows Server-besturingssysteem die worden geleverd via Microsoft Azure. |
| Beveiliging | Installeer alle meest recente beveiligingsupdates. |
| Beveiliging | Toepassingen mogen niet afhankelijk zijn van beperkte gebruikersnamen, zoals beheerder, hoofdmap of beheerder. |
| Beveiliging | BitLocker-stationsversleuteling inschakelen voor zowel harde schijven van het besturingssysteem als voor gegevensharde schijven. |
| Beveiliging | Beperk het kwetsbaarheid voor aanvallen door minimale footprint te behouden met alleen benodigde Windows Server-functies, -functies, -services en netwerkpoorten ingeschakeld. |
| Beveiliging | Scan de broncode en resulterende VM-installatiekopieën voor malware. |
| Beveiliging | Stel de beveiligingsupdate voor Windows Server-installatiekopieën in op automatisch bijwerken. |
| Beveiliging | De VHD-installatiekopieën bevatten alleen de benodigde vergrendelde accounts die geen standaardwachtwoorden hebben die interactieve aanmelding mogelijk maken; geen achterdeuren. |
| Beveiliging | Schakel firewallregels uit, tenzij de toepassing ervan functioneel afhankelijk is, zoals een firewallapparaat. |
| Beveiliging | Verwijder alle gevoelige informatie uit de VHD-installatiekopie, inclusief HOSTS-bestanden, logboekbestanden en onnodige certificaten. |
| Implementatie | Alleen 64-bits besturingssysteem. |
Zelfs als uw organisatie geen installatiekopieën in Azure Marketplace heeft, kunt u overwegen om de configuraties van uw Windows- en Linux-installatiekopieën te controleren op basis van deze aanbevelingen.