Implantando com segurança as configurações do servidor SSH com a Política do Azure

Descubra como configurar perfeitamente as configurações SSHD em toda a sua frota de servidores com este artigo, começando com uma auditoria meticulosa das configurações existentes para garantir que cada alteração seja implementada com precisão e cuidado.

Para uma visão geral mais detalhada do Controle de Postura SSH, consulte, Visão Geral: O que é o Controle de Postura SSH?.

O desafio

Imagine que você é um administrador responsável por uma vasta frota de máquinas Linux. Cada máquina é um ponto de entrada potencial para atacantes se não estiver devidamente protegida. Um dos aspetos críticos da proteção dessas máquinas é padronizar as configurações baseadas em SSHD. A política de segurança da sua organização exige que todas as portas SSHD sejam padronizadas para uma única porta. Isso pode parecer simples, mas com centenas ou até milhares de máquinas, pode rapidamente se tornar um pesadelo logístico.

A solução

Você pode usar o recurso Controle de Postura SSH na Política/Configuração de Máquina do Azure pode ajudar. Este poderoso recurso permite que você audite e aplique a postura de segurança SSH em toda a sua frota de dispositivos, garantindo consistência e aprimorando a segurança. Vamos percorrer o processo passo a passo.

Etapa 1: Auditar as configurações atuais de SSH por meio da política "Auditar segurança SSH para Linux"

GIF mostrando como definir a Política de Auditoria SSH

Para evitar quaisquer problemas ao configurar quaisquer políticas por meio da Política do Azure, precisamos entender o estado atual de nossas máquinas. Isso envolve auditar as máquinas por meio da política SSH para ver quais portas estão em uso no momento.

Navegue até Política no portal do Azure.
Clique em Definições.
Filtre por SSH e selecione a política Auditar Postura de Segurança SSH para Linux.
Atribua a política, aplique o escopo e defina os parâmetros para garantir que a porta SSH esteja definida para a porta desejada.
Crie uma identidade gerenciada, revise e crie a política.

Aguarde de 10 a 15 minutos para que a política audite todas as máquinas Linux da sua frota.

Auditar a política de SSH é crucial porque fornece uma compreensão básica da sua postura de segurança atual. Sem essa etapa, você estaria aplicando políticas cegamente, potencialmente causando interrupções ou faltando máquinas não compatíveis. Ao auditar primeiro, você garante que tem uma imagem clara do seu ambiente, o que é essencial para uma aplicação eficaz da política.

Etapa 2: Revisão dos resultados da auditoria

GIF mostrando como revisar os resultados da Política de SSH de Auditoria por meio de um de Consulta do Gráfico de Recursos do Azure

Uma vez concluída a auditoria, é hora de rever os resultados. Isso nos dará uma imagem clara de quais máquinas estão em conformidade e quais não estão.

Para fazer isso, você pode usar uma consulta do Azure Resource Graph:

Abra a consulta para examinar as diferentes portas da sua frota de máquinas.

Execute a consulta para exibir uma linha por máquina com os dados de auditoria da porta nas colunas.

     // SSH port rule detail
     GuestConfigurationResources
     | where name contains "LinuxSshServerSecurityBaseline"
     | project report = properties.latestAssignmentReport,
      machine = split(properties.targetResourceId,'/')[-1],
      lastComplianceStatusChecked=properties.lastComplianceStatusChecked
     | mv-expand report.resources
     | project machine,
      rule = report_resources.resourceId,
      ruleComplianceStatus = report_resources.complianceStatus,
      ruleComplianceReason = report_resources.reasons[0].phrase,
      lastComplianceStatusChecked
     | where rule contains('port')

Através da captura de tela acima, podemos ver que algumas máquinas estavam usando a porta 22, enquanto outras estavam usando portas diferentes.

Observação

Consultas como a mostrada acima podem ser editadas para atender às necessidades desejadas pelos administradores, como consultar toda a sua frota para encontrar máquinas que permitam o login root.

A revisão dos resultados da auditoria permite-lhe identificar padrões e valores anómalos na sua frota. Esta etapa é essencial para identificar máquinas específicas que precisam de atenção e entender o nível geral de conformidade. Também ajuda na comunicação com o estado atual para as partes interessadas, proporcionando transparência e construindo confiança no processo.

Etapa 3: Comunicar alterações

Agora que sabemos quais máquinas estão usando portas diferentes da porta desejada, é crucial comunicar essas mudanças às partes interessadas. Isso garante que todos estejam cientes das próximas alterações e possam atualizar seus fluxos de trabalho de acordo.

Importante

Uma comunicação eficaz é fundamental para o êxito da aplicação das políticas. Ao informar as partes interessadas sobre as mudanças, você garante que não haja surpresas e que todos estejam preparados para a transição. Esta etapa ajuda a obter a adesão de diferentes equipes e minimiza a resistência às mudanças.

Etapa 4: Impor novas configurações por meio da política "Configurar postura de segurança SSH para Linux"

GIF mostrando como definir o Impor política SSH

Com a aprovação das partes interessadas, agora podemos impor a política de configuração SSH. Esta etapa padronizará as portas SSHD em todas as máquinas.

Vá para Definições de política.
Filtre por SSH e selecione Configurar Postura de Segurança SSH para Linux.
Atribua a política, escolha o escopo e defina os parâmetros para garantir que a porta esteja definida para a porta desejada.
Habilite a correção para alterar as portas e todas as máquinas criadas antes de definir a política.
Revise e crie a política.

Impor a política de configuração SSH é a etapa crítica onde as alterações reais são feitas. Esta etapa garante que todas as máquinas estejam em conformidade com os padrões de segurança, reduzindo a superfície de ataque e aumentando a segurança geral. Ao permitir a remediação, você automatiza o processo, economizando tempo e esforço e garantindo a consistência em toda a frota.

Passo 5: Verificar as nossas alterações

GIF mostrando como revisar os resultados da Política de SSH por meio de um de Consulta do Gráfico de Recursos do Azure

Depois de algumas horas, é hora de verificar se todas as máquinas estão usando a porta desejada. Você pode executar a mesma consulta que antes para verificar o status de conformidade.

Importante

A verificação é a etapa final para garantir que a aplicação da política foi bem-sucedida. Esta etapa fornece a garantia de que todas as máquinas estão em conformidade e que as alterações foram aplicadas corretamente. Também ajuda a identificar quaisquer problemas que possam ter surgido durante o processo de execução, permitindo uma resolução atempada.

Já a seguir

A linha de base de Segurança do Azure para Linux agora está em visualização pública! Inclui Controlo de Postura SSH, além de mais regras de segurança e gestão para proteger melhor a sua frota de dispositivos Linux. Para obter mais informações, consulte Guia de início rápido: auditar a linha de base de segurança do Azure para Linux com uma máquina de teste.

Mais documentação

Visão geral ede referência : Para obter informações conceituais, referências e perguntas frequentes, consulte Visão geral : O que é o Controle de Postura SSH?.
Guia de início rápido: Para uma experiência prática clique a clique, consulte Guia de início rápido : aplicar de controle de postura SSH a uma máquina de teste.

Para obter suporte com problemas, etc., entre em contato com o Suporte da Microsoft
Para fornecer comentários, discutir solicitações de recursos, etc., entre em contato com: linux_sec_config_mgmt@service.microsoft.com

Last updated on 2025-01-17

Partilhar via