部署符合 STIG 規範的 Linux 虛擬機器 (預覽版)

  • 發行項

警告

本文參考 CentOS,亦即接近生命週期結束 (EOL) 狀態的 Linux 發行版本。 請據此考慮您的使用方式和規劃。

Microsoft Azure 安全性技術實作指南 (STIG) 解決方案範本可藉由提供自動化解決方案來部署虛擬機器,並透過 Azure 入口網站套用 STIG,協助您加速完成 DoD STIG 合規性

此快速入門說明如何使用對應的入口網站,在 Azure 或 Azure Government 上部署符合 STIG 規範的 Linux 虛擬機器 (預覽版)。

必要條件

  • Azure 或 Azure Government 訂用帳戶
  • 儲存體帳戶
    • 如有需要,必須位於與 VM 相同的資源群組/區域中
    • 如果您打算儲存 Log Analytics 診斷,則為必要項目
  • Log Analytics 工作區 (如果您打算儲存診斷記錄,則為必要項目)

登入 Azure

視您的訂用帳戶而定,從 Azure 入口網站Azure Government 入口網站登入。

建立符合 STIG 規範的虛擬機器

  1. 選取 [建立資源]。

  2. 在搜尋列中輸入 適用於 Linux 的 Azure STIG 範本,然後按 Enter。

  3. 從搜尋結果中選取 [適用於 Linux 的 Azure STIG 範本],然後選取 [建立]

  4. 在 [基本] 索引標籤的 [專案詳細資料] 下:

    a. 選取現有的訂用帳戶

    b. 建立新的資源群組或輸入現有資源群組。

    c. 選取您的區域

    重要

    請務必選擇空白資源群組或建立新群組。

    Project details section showing where you select the Azure subscription and the resource group for the virtual machine

  5. 在 [執行個體詳細資料] 下,輸入所有必要的資訊:

    a. 輸入 VM 名稱

    b. 選取可用性選項。 若要了解可用性設定組,請參閱可用性設定組概觀

    c. 選取 Linux 作業系統版本

    d. 選取執行個體大小

    e. 輸入系統管理員使用者名稱

    f. 透過選擇 [密碼] 或 [公開金鑰] 來選取驗證類型。

    .g 輸入密碼或公開金鑰。

    h. 確認密碼 (公開金鑰只需要輸入一次)。

    注意

    如需為 SSH 用戶端連線建立 SSH RSA 公開-私密金鑰組的指示,請參閱在 Azure 中建立和管理對 Linux VM 進行驗證所需的 SSH 金鑰

    Instance details section where you provide a name for the virtual machine and select its region, image, and size

  6. 在 [磁碟] 下:

    a. 選取作業系統磁碟類型

    b. 選取加密類型

    Disk options section showing where you select the disk and encryption type for the virtual machine

  7. 在 [網路] 底下:

    a. 選取虛擬網路。 使用現有的虛擬網路,或選取 [建立新網路] (請注意不允許 RDP 輸入)。

    b. 選取 [子網路]

    c. 應用程式安全性群組 (選用)。

    Network interface section showing where you select the network and subnet for the virtual machine

  8. 在 [管理] 底下:

    a. 針對 [診斷設定] 選取儲存體帳戶 (選用,儲存診斷記錄時需要)。

    b. 輸入 Log Analytics 工作區 (選用,儲存記錄分析時需要)。

    c. 輸入自訂資料 (選用,僅適用於 RHEL 7.7/7.8、CentOS 7.7/7.8/7.9 和 Ubuntu 18.04)。

    Management section showing where you select the diagnostic settings for the virtual machine

  9. 選取 [檢閱與建立] 以檢閱您所有的選項。

  10. 如果驗證檢查成功,選取 [建立]

  11. 啟動建立程序之後,會顯示 [部署] 程序頁面:

    a. [部署概觀] 索引標籤會顯示部署程序,包括可能發生的任何錯誤。 部署完成後,此索引標籤會提供有關部署的資訊,並提供下載部署詳細資料的機會。

    b. [輸入] 索引標籤提供部署輸入的清單。

    c. [輸出] 索引標籤提供任何部署輸出的相關資訊。

    d. [範本] 索引標籤提供範本中所用 JSON 指令碼的可下載存取權。

  12. 可以在用於部署的資源群組中找到部署的虛擬機器。 因為不允許輸入 RDP,因此必須使用 Azure Bastion 來連線 VM。

高可用性與復原能力

我們的解決方案範本會使用進階或標準作業系統磁碟建立單一執行個體虛擬機器,其支援虛擬機器的 SLA

建議您部署在 Azure Load Balancer 和/或 Azure 流量管理員後方設定的多個虛擬機器執行個體,以取得更高的可用性和復原能力。

業務持續性和災害復原 (BCDR)

以一個組織而言,您必須採用商務持續性與災害復原 (BCDR) 策略,以便在預期或非預期中斷發生時,可以保護您資料的安全,並使您的應用程式和工作負載保持運作。

Azure Site Recovery 使商務應用程式和工作負載在中斷期間持續運作,有助於確保商務持續性。 Site Recovery 會將實體和虛擬機器上執行的工作負載從主要站台複寫到次要位置。 當您的主要站台發生中斷,您會容錯移轉至次要位置,並從該處存取應用程式。 在主要位置再次執行之後,您就可以容錯回復。

Site Recovery 可以管理複寫:

  • 在 Azure 區域間複寫 Azure VM。
  • 內部部署 VM、Azure Stack VM 和實體伺服器。

若要深入了解 Azure 中虛擬機器的備份和還原選項,請繼續閱讀 VM 的備份選項概觀

清除資源

如果不再需要,您可以刪除資源群組、虛擬機器和所有相關資源。

請選取虛擬機器的資源群組,然後選取 [刪除]。 確認要完成資源刪除作業的資源群組名稱。

支援

請連絡 Azure 支援以取得 STIG 解決方案範本相關問題的協助。 您可以在 Azure 入口網站中建立及管理支援要求。 如需詳細資訊,請參閱建立 Azure 支援要求。 建立票證時,請使用下列支援路徑:

Azure -> 執行 Linux 的虛擬機器 -> 無法建立 VM -> 針對我的 ARM 範本錯誤進行疑難排解

New support request for Linux STIG solution template

常見問題集

符合 STIG 規範的虛擬機器何時會正式發行 (GA)?
符合 Azure STIG 規範的 VM 供應項目預計會維持預覽狀態,而不會正式發行,這是因為 DISA STIG 的發佈節奏。 每一季,供應項目都會根據最新的指引進行升級,此流程在未來預計會繼續進行。 請參閱上一節,以了解大多數客戶生產工作負載所需的支援選項,包括建立支援票證。

Azure 更新管理可以搭配 STIG 映像使用嗎?
可以,Azure 自動化中的更新管理支援 STIG 映像。

範本套用了哪些 STIG 設定?
如需詳細資訊,請參閱部署 Azure 虛擬機器 (Linux) 並套用 STIG

下一步

此快速入門說明如何在 Azure 或 Azure Government 上部署符合 STIG 規範的 Linux 虛擬機器 (預覽版)。 如需在下列位置建立虛擬機器的詳細資訊:

若要深入了解 Azure 服務,請繼續閱讀 Azure 文件。

Azure 文件

如需 Azure Government 的詳細資訊,請參閱下列資源: