Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
! [ÖNEMLİ] Bu makalede SSH Duruş Denetimi'nin erken önizleme sürümü açıklanmaktadır. Güncel belgeler için bkz. SSH Duruş Denetimi nedir?
SSH Duruş Denetimi, Azure İlkesi ve Makine Yapılandırması'nın bilindik iş akışlarını kullanarak şunları kullanmanıza olanak tanır:
- Sektörünüzde veya kuruluşunuzda standartlara uyumluluğu güvence altına alma
- Uzaktan yönetim özelliklerinin saldırı yüzeyini azaltma
- Güvenlik ve üretkenlik için filonuzda tutarlı kurulum sağlayın
SSH Duruş Denetimi, uyumluluk veya uyumsuzluk durumunun nasıl belirlendiğini açıklayan ayrıntılı Nedenler de sağlar. Bu Nedenler eyleme geçmeyi veya uyumluluğu tam olarak belgeleyi kolaylaştırır.
SSH Duruş Denetimi yaklaşık 20 SSH sunucusu (sshd) parametresini analiz eder ve uygular. Varsayılan olarak Linux için Azure İşlem Güvenliği Temeli ile tutarlı en iyi yöntemleri denetler ve uygular. Ayrıca belirli parametreleri ortamınıza uyacak şekilde özelleştirebilirsiniz. Örneğin, SSH erişimine izin verilen kullanıcıları ve grupları özelleştirebilirsiniz.
Özel önizleme sınırlamaları
Önemli
SSH Duruş Denetimi özel önizleme aşamasındadır; siz ve Microsoft arasında iletişim kutusunu tetikleme amacıyla tasarlanmıştır.
- Önizleme, herhangi bir sorunun (SSH erişimine yanlışlıkla kendinizi kilitlemek dahil) önemli sonuçlar doğurmaması durumunda yalıtılmış geliştirme/test makinelerinde kullanıma yöneliktir.
- Önizleme, ilke tanımını Azure İlkesi yerleşik listesinden seçmek yerine içeri aktarmayı içerir.
- Desteklenen Linux dağıtımları başlangıçta Ubuntu Server (20.04, 22.04) ve Debian (11, 12) ile sınırlıdır. Lütfen önizlemeye bir sonraki girişi görmek istediğiniz dağıtımları bize bildirin (sayfanın sonundaki iletişim bilgileri).
Başlarken örneği
Bu örnek, hızlı bir şekilde kullanmaya odaklanmıştır. Varsayımları basitleştirir ve mümkün olan her şeyi keşfetmez. Örneğin, izin verilen kullanıcılar ve gruplar gibi parametreleri özelleştirmek yerine PolicyDefinition'ın varsayılan SSH ayarlarını kullanır. Yakın gelecekte ayarlar ve davranışlar dahil olmak üzere SSH Duruş Denetimi hakkında daha kapsamlı bilgiler beklenmektedir.
İpucu
Bu makale boyunca aşağıdaki zihinsel model ve terminoloji kullanılmaktadır.
- PolicyDefinition : Azure İlkesi hizmetinde gösterildiği gibi SSH Duruş Denetimi tanımı ve meta verileri.
- PolicyAssignment : SSH Posture Control PolicyDefinition'ınızı bu ilkenin uygulanması gereken bir kapsama (kaynak grubu gibi) bağlar.
- Makine : Azure İlkesi ve Makine Yapılandırması (diğer adıyla Konuk Yapılandırması) tarafından yönetilebilen bir uç nokta. Başka bir deyişle Arc özellikli bir makine veya Azure VM.
A. Ön koşullar
- Kaynak grubu, VM (veya Arc makinesi), ilke tanımı ve ilke ataması oluşturma iznine sahip bir Azure hesabı.
- Ek önkoşullar için tercih ettiğiniz deneyimi seçin:
- Web tarayıcısı kullanarak Azure Portal'da veya yerel eşdeğerinizde oturum açın.
B. Kaynak grubu oluşturma
- Bir kaynak grubu oluşturun. Önümüzdeki adımlarda bu ilkenin kapsamını ve yeni bir test makinesi içermesini sağlamak için kullanılacaktır.
C. PolicyDefinition oluşturma
Not
Özel önizleme sırasında bu ek adım (yalnızca PolicyDefinition'ı seçmek yerine oluşturma) gereklidir.
- Azure İlkesine Genel Bakış sayfasına gidin. Örneğin, URI'yi kullanabilirsiniz: https://portal.azure.com/#view/Microsoft_Azure_Policy/PolicyMenuBlade/~/Overview.
- Tanımlar görünümüne gidin.
- Giriş olarak aşağıdakileri girerek yeni bir PolicyDefinition oluşturmak için + İlke Tanımı düğmesine tıklayın.
- Tanım konumu: PolicyDefinition'ın yaşayacağı Azure aboneliğinizi seçin.
- Ad: [Önizleme] SSH Duruş Denetimi ilkesi
- Kategori: Var Olanı Kullan'ı ve ardından Konuk Yapılandırması'nı seçin
- İlke kuralı: Önceden var olan JSON'u silin ve Önizleme SSH Duruş Denetimi ilke tanımından PolicyDefinition JSON'u yapıştırın
- Kaydet’e tıklayın
D. PolicyDefinition'ı kaynak grubunuz için uygulamak için PolicyAssignment kullanma
Dikkat
Bu ilke kapsam içi makinelerde sshd yapılandırmasını değiştirir. Bu yönergeler, daha sonra bir test makinesi oluşturacağınız başlangıçta boş bir kaynak grubuna atamanızı sağlar. Daha geniş bir kapsama atamayı seçerseniz dikkatli olun.
- İlke | bölümüne gidin Kullanılabilir tüm ilke tanımlarını listeleyen Tanımlar sayfası.
- Daha önce oluşturduğunuz [Önizleme] SSH Duruş Denetimi ilkesi policyDefinition öğesini seçin
- Ata'ya tıklayın.
- Kapsam için daha sonra yeni bir test makinesi oluşturacağınız kaynak grubunu seçin.
- Parametreler sekmesine geçin.
- Arc bağlantılı makineleri hariç tutmak istemiyorsanız Arc bağlantılı makineleri dahil et için "true" seçeneğini belirleyin.
- NOT: İzin verilen gruplar gibi SSH ayarlarını özelleştirmek istiyorsanız, tüm kullanılabilir parametreleri göstermek için Yalnızca parametreleri göster... kutusunun işaretini kaldırın. İzin verilen veya reddedilen kullanıcıları veya grupları belirtmeyi seçerseniz, boşlukla ayrılmış bir dize girdiğinizi unutmayın; örneğin
userA userB
.
- Düzeltme sekmesine geçin.
- NOT: Bu tanıtım yeni bir makineye odaklansa da, PolicyAssignment öğesinin mevcut makinelere uygulanmasını istediğiniz diğer senaryolarda Düzeltme görevi oluştur kutusunu işaretleyebilirsiniz.
- Sistem tarafından atanan ve seçtiğiniz bir kimlik konumuyla Yönetilen Kimlik Oluştur'u seçin.
- Gözden Geçir ve oluştur'a geçin
- PolicyAssignment'ı tamamlamak için Oluştur'u seçin.
E. Yeni makine oluşturma
Yeni PolicyAssignments mevcut makinelere uygulanabilir ancak işlem 24 saate kadar sürebilir. Bu hızlı başlangıç için yeni bir makineyi değerlendirmeye odaklanacağız. Bu örnekte bir Azure VM oluşturacağız, ancak isterseniz Arc özellikli bir makine oluşturabilirsiniz.
- Azure Sanal Makineler deneyimine gidin.
- Aşağıdaki özellikleri sağlayarak yeni bir VM oluşturun:
- Abonelik ve Kaynak Grubu, PolicyAssignment kapsamının bulunduğu yerle eşleşmelidir.
- Görüntü "Unbuntu Server 22.04..." olmalıdır.
- VM mimarisi x64 olmalıdır.
- VM adı, boyutu vb. gibi diğer özellikler istediğiniz gibi olabilir.
- VM oluşturma işleminin tamamlanmasını bekleyin ve makineye genel bakış sayfasına ulaşmak için Kaynağa Git'e tıklayın
- Sol gezinti bölmesinde Kimlik'i seçin ve makinenin sistem tarafından yönetilen bir kimliğe sahip olduğundan emin olun
- Sol gezinti bölmesinde Uzantılar + uygulamalar'ı ve ardından + Ekle'yi seçin
- Azure Otomatik Yönetim Makine Yapılandırması uzantısını ve ardından İleri'yi seçin
- Gözden geçir + oluştur'u ve ardından oluştur'u seçin
F. Devam etmeden önce ara verin
Yeni PolicyDefinitions, PolicyAssignments ve makineler söz konusu olduğunda, her şeyin kararlı duruma ulaşması birkaç dakika sürebilir. Sonraki adıma geçmeden önce en az 30 dakika beklemeyi göz önünde bulundurun.
G. Uyumluluk sonuçlarını gözlemleme
Aşağıdaki adımlar, farklı yüksekliklerde bir uyumluluk toplaması görmenize olanak tanır:
- PolicyAssignment'a Göre Uyumluluk
- Uyumlu ve uyumlu olmayan makine sayısı
- En yüksek rakım, özellikle büyük filolar için kullanışlıdır
- Makineye göre uyumluluk
- Makine başına evet/hayır içeren makinelerin listesi
- Belirli bir makine için ayarlayarak uyumluluk
- Bu makalenin üst kısmındaki ekran görüntüsü gibi en ayrıntılı ayrıntı düzeyi.
İpucu
Yeni makineniz, ilkeyle ilk kez karşılaştığında büyük olasılıkla uyumsuz olarak değerlendirilir. İlkedeki varsayılan SSH ayarları, varsayılan olarak yapılandırılan işletim sistemi görüntüsünden daha katıdır. 20 dakika kadar sonra, SSH Duruş Denetimi'nde yerleşik olarak bulunan düzeltme mantığı sayesinde makinenizin uyumlu hale geldiğini fark etmelisiniz.
- İlke | bölümüne gidin Uyumluluk sayfası.
- [Önizleme] SSH Duruş Denetimi ilkesi'ni seçin.
- Uyumlu/uyumlu olmayan makine sayısının bildirildiğini gözlemleyin
- Kaynak Uyumluluğu altında tek tek makinelerin durumunu görebilirsiniz
- Belirli bir makine için ayara göre ayarlama ayrıntılarına gitmek için:
- Makinenin Genel Bakış sayfasına ulaşmak için makinenin yanındaki ... öğesine tıklayın ve Kaynağı görüntüle'yi seçin
- Sol taraftaki gezinti bölmesinde İşlemler'in altında Yapılandırma yönetimi'ne tıklayın (Ayarlar'ın altında Yapılandırma'ya tıklayın)
- LinuxSSHServerSecurityBaseline öğesine tıklayın
- Sonuçta elde edilen sayfa, yapılandırmadaki her ayarın yanı sıra uyumluluğun nasıl belirlendiğiyle ilgili ayrıntıları gösterir.
Sonraki adım
Geri bildirim, özellik istekleri vb. sağlamak için Microsoft'taki ekiple iletişime geçin.