Azure İlkesi ve Makine Yapılandırması ile SSH Duruş Denetimi (özel önizleme) nedir?

! [ÖNEMLİ] Bu makalede SSH Duruş Denetimi'nin erken önizleme sürümü açıklanmaktadır. Güncel belgeler için bkz. SSH Duruş Denetimi nedir?

SSH Duruş Denetimi, Azure İlkesi ve Makine Yapılandırması'nın bilindik iş akışlarını kullanarak şunları kullanmanıza olanak tanır:

• Sektörünüzde veya kuruluşunuzda standartlara uyumluluğu güvence altına alma
• Uzaktan yönetim özelliklerinin saldırı yüzeyini azaltma
• Güvenlik ve üretkenlik için filonuzda tutarlı kurulum sağlayın

SSH Duruş Denetimi, uyumluluk veya uyumsuzluk durumunun nasıl belirlendiğini açıklayan ayrıntılı Nedenler de sağlar. Bu Nedenler eyleme geçmeyi veya uyumluluğu tam olarak belgeleyi kolaylaştırır.

SSH Duruş Denetimi yaklaşık 20 SSH sunucusu (sshd) parametresini analiz eder ve uygular. Varsayılan olarak Linux için Azure İşlem Güvenliği Temeli ile tutarlı en iyi yöntemleri denetler ve uygular. Ayrıca belirli parametreleri ortamınıza uyacak şekilde özelleştirebilirsiniz. Örneğin, SSH erişimine izin verilen kullanıcıları ve grupları özelleştirebilirsiniz.

Özel önizleme sınırlamaları

Önemli

SSH Duruş Denetimi özel önizleme aşamasındadır; siz ve Microsoft arasında iletişim kutusunu tetikleme amacıyla tasarlanmıştır.

• Önizleme, herhangi bir sorunun (SSH erişimine yanlışlıkla kendinizi kilitlemek dahil) önemli sonuçlar doğurmaması durumunda yalıtılmış geliştirme/test makinelerinde kullanıma yöneliktir.
• Önizleme, ilke tanımını Azure İlkesi yerleşik listesinden seçmek yerine içeri aktarmayı içerir.
• Desteklenen Linux dağıtımları başlangıçta Ubuntu Server (20.04, 22.04) ve Debian (11, 12) ile sınırlıdır. Lütfen önizlemeye bir sonraki girişi görmek istediğiniz dağıtımları bize bildirin (sayfanın sonundaki iletişim bilgileri).

Başlarken örneği

Bu örnek, hızlı bir şekilde kullanmaya odaklanmıştır. Varsayımları basitleştirir ve mümkün olan her şeyi keşfetmez. Örneğin, izin verilen kullanıcılar ve gruplar gibi parametreleri özelleştirmek yerine PolicyDefinition'ın varsayılan SSH ayarlarını kullanır. Yakın gelecekte ayarlar ve davranışlar dahil olmak üzere SSH Duruş Denetimi hakkında daha kapsamlı bilgiler beklenmektedir.

İpucu

Bu makale boyunca aşağıdaki zihinsel model ve terminoloji kullanılmaktadır.

• PolicyDefinition : Azure İlkesi hizmetinde gösterildiği gibi SSH Duruş Denetimi tanımı ve meta verileri.
• PolicyAssignment : SSH Posture Control PolicyDefinition'ınızı bu ilkenin uygulanması gereken bir kapsama (kaynak grubu gibi) bağlar.
• Makine : Azure İlkesi ve Makine Yapılandırması (diğer adıyla Konuk Yapılandırması) tarafından yönetilebilen bir uç nokta. Başka bir deyişle Arc özellikli bir makine veya Azure VM.

A. Ön koşullar

1. Kaynak grubu, VM (veya Arc makinesi), ilke tanımı ve ilke ataması oluşturma iznine sahip bir Azure hesabı.
2. Ek önkoşullar için tercih ettiğiniz deneyimi seçin:

Portal

1. Web tarayıcısı kullanarak Azure Portal'da veya yerel eşdeğerinizde oturum açın.

PowerShell

1. Aşağıdaki modüllerin yüklü olduğu bir PowerShell ortamı:
   1. Az.ResourceGraph
   2. Az.Accounts
   3. Az.Resources
2. İstenen Azure ortamının hedeflendiğinden emin olmak için ve/veya Set-AzContext cmdlet'leri kullanınGet-AzContext.

İpucu

PowerShell modunda Azure Cloud Shell kullanıma hazır bir ortamdır ve kullanmaya başlamanın kolay bir yoludur.

Azure CLI

Şu anda kullanılamıyor. Beklemede https://github.com/Azure/azure-cli/issues/28377. Lütfen Portal veya PowerShell yönergelerini kullanın.

B. Kaynak grubu oluşturma

Portal

1. Bir kaynak grubu oluşturun. Önümüzdeki adımlarda bu ilkenin kapsamını ve yeni bir test makinesi içermesini sağlamak için kullanılacaktır.

PowerShell

$myResourceGroupName = "ssh_demo_resource_group" 
$myAzureLocation = "eastus" ## Modify as needed

$myResourceGroup = New-AzResourceGroup -Name $myResourceGroupName -Location $myAzureLocation

Azure CLI

Şu anda kullanılamıyor. Beklemede https://github.com/Azure/azure-cli/issues/28377. Lütfen Portal veya PowerShell yönergelerini kullanın.

C. PolicyDefinition oluşturma

Not

Özel önizleme sırasında bu ek adım (yalnızca PolicyDefinition'ı seçmek yerine oluşturma) gereklidir.

Portal

1. Azure İlkesine Genel Bakış sayfasına gidin. Örneğin, URI'yi kullanabilirsiniz: https://portal.azure.com/#view/Microsoft_Azure_Policy/PolicyMenuBlade/~/Overview.
2. Tanımlar görünümüne gidin.
3. Giriş olarak aşağıdakileri girerek yeni bir PolicyDefinition oluşturmak için + İlke Tanımı düğmesine tıklayın.
   1. Tanım konumu: PolicyDefinition'ın yaşayacağı Azure aboneliğinizi seçin.
   2. Ad: [Önizleme] SSH Duruş Denetimi ilkesi
   3. Kategori: Var Olanı Kullan'ı ve ardından Konuk Yapılandırması'nı seçin
   4. İlke kuralı: Önceden var olan JSON'u silin ve Önizleme SSH Duruş Denetimi ilke tanımından PolicyDefinition JSON'u yapıştırın
4. Kaydet’e tıklayın

PowerShell

$sshPolicyDefinitionJsonUri = "https://raw.githubusercontent.com/Azure/azure-osconfig/main/src/adapters/mc/sshpreview/OsConfigPolicy_DeployIfNotExists.json"
$sshPolicyDefinitionName = "[Preview] SSH Posture Control policy"

$sshPolicyDefinition = New-AzPolicyDefinition -Name $sshPolicyDefinitionName -Policy $sshPolicyDefinitionJsonUri

Azure CLI

Şu anda kullanılamıyor. Beklemede https://github.com/Azure/azure-cli/issues/28377. Lütfen Portal veya PowerShell yönergelerini kullanın.

D. PolicyDefinition'ı kaynak grubunuz için uygulamak için PolicyAssignment kullanma

Dikkat

Bu ilke kapsam içi makinelerde sshd yapılandırmasını değiştirir. Bu yönergeler, daha sonra bir test makinesi oluşturacağınız başlangıçta boş bir kaynak grubuna atamanızı sağlar. Daha geniş bir kapsama atamayı seçerseniz dikkatli olun.

Portal

1. İlke | bölümüne gidin Kullanılabilir tüm ilke tanımlarını listeleyen Tanımlar sayfası.
2. Daha önce oluşturduğunuz [Önizleme] SSH Duruş Denetimi ilkesi policyDefinition öğesini seçin
3. Ata'ya tıklayın.
4. Kapsam için daha sonra yeni bir test makinesi oluşturacağınız kaynak grubunu seçin.
5. Parametreler sekmesine geçin.
   1. Arc bağlantılı makineleri hariç tutmak istemiyorsanız Arc bağlantılı makineleri dahil et için "true" seçeneğini belirleyin.
   2. NOT: İzin verilen gruplar gibi SSH ayarlarını özelleştirmek istiyorsanız, tüm kullanılabilir parametreleri göstermek için Yalnızca parametreleri göster... kutusunun işaretini kaldırın. İzin verilen veya reddedilen kullanıcıları veya grupları belirtmeyi seçerseniz, boşlukla ayrılmış bir dize girdiğinizi unutmayın; örneğin userA userB.
6. Düzeltme sekmesine geçin.
   1. NOT: Bu tanıtım yeni bir makineye odaklansa da, PolicyAssignment öğesinin mevcut makinelere uygulanmasını istediğiniz diğer senaryolarda Düzeltme görevi oluştur kutusunu işaretleyebilirsiniz.
   2. Sistem tarafından atanan ve seçtiğiniz bir kimlik konumuyla Yönetilen Kimlik Oluştur'u seçin.
7. Gözden Geçir ve oluştur'a geçin
   1. PolicyAssignment'ı tamamlamak için Oluştur'u seçin.

PowerShell

$myResourceGroupName = "ssh_demo_resource_group"
$myAzureLocation = "eastus"
$sshPolicyDefinitionName = "[Preview] SSH Posture Control policy"
$sshPolicyAssignmentName = "[Preview] SSH Posture Control assignment"

$myResourceGroup = Get-AzResourceGroup -Name $myResourceGroupName
$sshPolicyDefinition = Get-AzPolicyDefinition -Name $sshPolicyDefinitionName

## Assign our new SSH policy to the resource group
$sshPolicyAssignment = New-AzPolicyAssignment -Name $sshPolicyAssignmentName -PolicyDefinition $sshPolicyDefinition -Scope $myResourceGroup.ResourceId -AssignIdentity -Location $myAzureLocation
## Complete RBAC assignment
New-AzRoleAssignment -ObjectId $sshPolicyAssignment.Identity.PrincipalId -RoleDefinitionId $sshPolicyDefinition.Properties.PolicyRule.then.details.roleDefinitionIds[0].split("/")[4] -Scope "/subscriptions/$((Get-AzContext).Subscription.Id)"

Azure CLI

Şu anda kullanılamıyor. Beklemede https://github.com/Azure/azure-cli/issues/28377. Lütfen Portal veya PowerShell yönergelerini kullanın.

E. Yeni makine oluşturma

Yeni PolicyAssignments mevcut makinelere uygulanabilir ancak işlem 24 saate kadar sürebilir. Bu hızlı başlangıç için yeni bir makineyi değerlendirmeye odaklanacağız. Bu örnekte bir Azure VM oluşturacağız, ancak isterseniz Arc özellikli bir makine oluşturabilirsiniz.

Portal

1. Azure Sanal Makineler deneyimine gidin.
2. Aşağıdaki özellikleri sağlayarak yeni bir VM oluşturun:
   1. Abonelik ve Kaynak Grubu, PolicyAssignment kapsamının bulunduğu yerle eşleşmelidir.
   2. Görüntü "Unbuntu Server 22.04..." olmalıdır.
   3. VM mimarisi x64 olmalıdır.
   4. VM adı, boyutu vb. gibi diğer özellikler istediğiniz gibi olabilir.
3. VM oluşturma işleminin tamamlanmasını bekleyin ve makineye genel bakış sayfasına ulaşmak için Kaynağa Git'e tıklayın
4. Sol gezinti bölmesinde Kimlik'i seçin ve makinenin sistem tarafından yönetilen bir kimliğe sahip olduğundan emin olun
5. Sol gezinti bölmesinde Uzantılar + uygulamalar'ı ve ardından + Ekle'yi seçin
6. Azure Otomatik Yönetim Makine Yapılandırması uzantısını ve ardından İleri'yi seçin
7. Gözden geçir + oluştur'u ve ardından oluştur'u seçin

PowerShell

$myResourceGroupName = "ssh_demo_resource_group"
$myNameForNewVM = "sshdemovm01"

## Creates a new VM which is prepped to work with MachineConfiguration
## by having a system assigned identity and the GuestConfiguration extension
New-AzVM -Name $myNameForNewVM -ResourceGroupName $myResourceGroupName -SystemAssignedIdentity -Image Ubuntu2204
Set-AzVMExtension -ResourceGroupName $myResourceGroupName -VMName $myNameForNewVM -ExtensionType "ConfigurationforLinux" -Publisher "Microsoft.GuestConfiguration" -Name "AzurePolicyForLinux" -TypeHandlerVersion 1.0

Azure CLI

Şu anda kullanılamıyor. Beklemede https://github.com/Azure/azure-cli/issues/28377. Lütfen Portal veya PowerShell yönergelerini kullanın.

F. Devam etmeden önce ara verin

Yeni PolicyDefinitions, PolicyAssignments ve makineler söz konusu olduğunda, her şeyin kararlı duruma ulaşması birkaç dakika sürebilir. Sonraki adıma geçmeden önce en az 30 dakika beklemeyi göz önünde bulundurun.

G. Uyumluluk sonuçlarını gözlemleme

Aşağıdaki adımlar, farklı yüksekliklerde bir uyumluluk toplaması görmenize olanak tanır:

• PolicyAssignment'a Göre Uyumluluk
  • Uyumlu ve uyumlu olmayan makine sayısı
  • En yüksek rakım, özellikle büyük filolar için kullanışlıdır
• Makineye göre uyumluluk
  • Makine başına evet/hayır içeren makinelerin listesi
• Belirli bir makine için ayarlayarak uyumluluk
  • Bu makalenin üst kısmındaki ekran görüntüsü gibi en ayrıntılı ayrıntı düzeyi.

İpucu

Yeni makineniz, ilkeyle ilk kez karşılaştığında büyük olasılıkla uyumsuz olarak değerlendirilir. İlkedeki varsayılan SSH ayarları, varsayılan olarak yapılandırılan işletim sistemi görüntüsünden daha katıdır. 20 dakika kadar sonra, SSH Duruş Denetimi'nde yerleşik olarak bulunan düzeltme mantığı sayesinde makinenizin uyumlu hale geldiğini fark etmelisiniz.

Portal

1. İlke | bölümüne gidin Uyumluluk sayfası.
2. [Önizleme] SSH Duruş Denetimi ilkesi'ni seçin.
3. Uyumlu/uyumlu olmayan makine sayısının bildirildiğini gözlemleyin
4. Kaynak Uyumluluğu altında tek tek makinelerin durumunu görebilirsiniz
5. Belirli bir makine için ayara göre ayarlama ayrıntılarına gitmek için:
   1. Makinenin Genel Bakış sayfasına ulaşmak için makinenin yanındaki ... öğesine tıklayın ve Kaynağı görüntüle'yi seçin
   2. Sol taraftaki gezinti bölmesinde İşlemler'in altında Yapılandırma yönetimi'ne tıklayın (Ayarlar'ın altında Yapılandırma'ya tıklayın)
   3. LinuxSSHServerSecurityBaseline öğesine tıklayın
   4. Sonuçta elde edilen sayfa, yapılandırmadaki her ayarın yanı sıra uyumluluğun nasıl belirlendiğiyle ilgili ayrıntıları gösterir.

PowerShell

En yüksek rakımdaki durumu gözlemlemek için (yalnızca makine sayıları) aşağıdakileri kullanabilirsiniz:

$machineCountsQuery = @'
guestconfigurationresources
| where name startswith("LinuxSshServerSecurityBaseline")
| extend complianceStatus = tostring(properties.complianceStatus)
| summarize machineCount = count() by complianceStatus
'@

Search-AzGraph -Query $machineCountsQuery

<#
Sample output from an environment with two machines:

complianceStatus machineCount
---------------- ------------
Pending                     1
Compliant                   1
#>

Makineye göre uyumluluğu görmek için aşağıdakileri kullanabilirsiniz:

$machinePerRowQuery = @'
guestconfigurationresources
| where name startswith("LinuxSshServerSecurityBaseline")
| project 
    machine = split(properties.targetResourceId,'/')[-1],
    complianceStatus = properties.complianceStatus,
    lastComplianceStatusChecked = properties.lastComplianceStatusChecked
'@

Search-AzGraph -Query $machinePerRowQuery

<#
Sample output:

machine     complianceStatus lastComplianceStatusChecked
-------     ---------------- ---------------------------
sshdemovm01 Compliant        2/15/2024 11:07:21 PM
sshdemovm02 Pending          1/1/0001 12:00:00 AM
#>

Ayara göre ayarlama ayrıntılarını görmek için aşağıdakileri kullanabilirsiniz:

$settingPerRowQuery = @'
guestconfigurationresources
| where name startswith ('LinuxSshServerSecurityBaseline')
| extend machine = split(properties.targetResourceId,'/')[-1]
| mvexpand properties.latestAssignmentReport.resources
| mvexpand properties_latestAssignmentReport_resources.reasons
| project machine,
    complianceCheck = tostring(properties_latestAssignmentReport_resources.resourceId),
    complianceStatus = tostring(properties.complianceStatus),
    complianceReason = tostring(properties_latestAssignmentReport_resources_reasons.phrase)
'@

Search-AzGraph $settingPerRowQuery

<#
Sample output:

machine     complianceCheck                                                  complianceStatus     complianceReason
-------     ---------------                                                  ------               ------
sshdemovm01 Ensure permissions on /etc/ssh/sshd_config are configured        Compliant            Access to '/etc/ssh/sshd_config' matches required ...
sshdemovm01 Ensure SSH is configured to meet best practices (protocol 2)     Compliant            'Protocol 2' is found uncommented in /etc/ssh/sshd_config
sshdemovm01 Ensure SSH is configured to ignore rhosts                        Compliant            The sshd service reports that 'ignorerhosts' is set to 'yes'
sshdemovm01 Ensure SSH LogLevel is set to INFO                               Compliant            The sshd service reports that 'loglevel' is set to 'INFO'
sshdemovm01 Ensure SSH MaxAuthTries is configured                            Compliant            The sshd service reports that 'maxauthtries' is set to '6'
sshdemovm01 Ensure allowed users for SSH access are configured               Compliant            The sshd service reports that 'allowusers' is set to '*@*'
sshdemovm01 Ensure denied users for SSH are configured                       Compliant            The sshd service reports that 'denyusers' is set to 'root'
sshdemovm01 Ensure allowed groups for SSH are configured                     Compliant            The sshd service reports that 'allowgroups' is set to '*'
sshdemovm01 Ensure denied groups for SSH are configured                      Compliant            The sshd service reports that 'denygroups' is set to 'root'
sshdemovm01 Ensure SSH host-based authenticationis disabled                  Compliant            The sshd service reports that 'hostbasedauthentication' is ...
#>

Azure CLI

Şu anda kullanılamıyor. Beklemede https://github.com/Azure/azure-cli/issues/28377. Lütfen Portal veya PowerShell yönergelerini kullanın.

Sonraki adım

Geri bildirim, özellik istekleri vb. sağlamak için Microsoft'taki ekiple iletişime geçin.

ssh_posture_control_through_azure@service.microsoft.com