共用方式為

Azure Marketplace 映像的安全性建議

  • 發行項

將映像上傳至 Azure Marketplace 之前,必須先更新您的映像以包含數個安全性設定要求。 這些要求有助於針對 Azure Marketplace 上的合作夥伴解決方案映像維護高等級的安全性。

在將其提交至 Azure Marketplace 之前,請務必對映像執行安全性弱點偵測。 如果您在自己的已發佈映像中偵測到安全性弱點,則必須及時通知客戶弱點的相關資料,以及在目前的部署中加以更正的方式。

Linux 和開放原始碼 OS 映像

類別 勾選
安全性 針對 Linux 發行版本安裝所有最新的安全性修補程式。
安全性 遵循業界指導方針來保護特定 Linux 發行版本的 VM 映像。
安全性 只利用需要的 Windows 伺服器角色、功能、服務和網路連接埠來維持最少的使用量,藉以限制受攻擊面。
安全性 掃描原始程式碼和產生的 VM 映像以偵測惡意程式碼。
安全性 VHD 映像只包括沒有預設密碼的必要已鎖定帳戶,而預設密碼允許互動式登入;沒有後門。
安全性 除非應用程式功能依賴防火牆規則 (例如防火牆設備),否則請停用防火牆規則。
安全性 已經從 VHD 映像中移除所有敏感性資訊,例如,測試 SSH 金鑰、已知的 hosts 檔案、記錄檔和不必要的憑證。
安全性 請避免使用 LVM。 LVM 具有 VM Hypervisor 寫入快取問題上的弱點,同時也會為您映像的使用者增加資料復原的複雜度。
安全性 包括最新版的必要程式庫:
- OpenSSL v1.0 或更新版本
- Python 2.5 或更新版本 (強烈建議使用 Python 2.6+)
- Python pyasn1 套件 (若尚未安裝)
- d.OpenSSL v 1.0 或更新版本
安全性 清除 Bash/Shell 歷程記錄項目。 這可能包括其他系統的私人資訊或純文字認證。
網路 預設會包括 SSH 伺服器。 使用下列選項,將保持運作的 SSH 設定為 sshd config:ClientAliveInterval 180。
網路 從映像中移除任何自訂網路設定。 刪除 resolv.conf:rm /etc/resolv.conf
部署 安裝最新的 Azure Linux 代理程式。
- 使用 RPM 或 Deb 套件來進行安裝。
- 您也可以使用手動安裝程序,但建議使用且慣用安裝程式套件。
- 如果是從 GitHub 存放庫手動安裝代理程式,則請先將 waagent 檔案複製至 /usr/sbin 並執行 (以 root 身分):
# chmod 755 /usr/sbin/waagent
# /usr/sbin/waagent -install
代理程式設定檔放置於 /etc/waagent.conf
部署 確保 Azure 支援服務可以在需要時,為我們的合作夥伴提供序列主控台輸出,並針對從雲端儲存體掛接的 OS 磁碟提供適當的逾時。 將下列參數新增至映像核心開機行:console=ttyS0 earlyprintk=ttyS0 rootdelay=300
部署 OS 磁碟上沒有交換磁碟分割。 交換可透過 Linux 代理程式要求,以便在本機資源磁碟上建立。
部署 為 OS 磁碟建立單一根分割。
部署 僅限 64 位元作業系統。

Windows Server 映像

類別 勾選
安全性 使用安全的 OS 基本映像。 針對以 Windows Server 為基礎之任何映像的來源使用的 VHD,必須來自透過 Microsoft Azure 提供的 Windows Server OS 映像。
安全性 安裝所有最新的安全性更新。
安全性 應用程式不應該根據受限制的使用者名稱,例如系統管理員、root 或 admin。
安全性 針對 OS 硬碟和資料硬碟,啟用 BitLocker 磁碟機加密。
安全性 只利用已啟用的必要 Windows Server 角色、功能、服務和網路連接埠來維持最少的使用量,以限制受攻擊面。
安全性 掃描原始程式碼和產生的 VM 映像以偵測惡意程式碼。
安全性 設定 Windows Server 映像安全性更新來自動更新。
安全性 VHD 映像只包括沒有預設密碼的必要已鎖定帳戶,而預設密碼允許互動式登入;沒有後門。
安全性 除非應用程式功能依賴防火牆規則 (例如防火牆設備),否則請停用防火牆規則。
安全性 從 VHD 映像中移除所有敏感性資訊,包括 HOSTS 檔案、記錄檔和不必要的憑證。
部署 僅限 64 位元作業系統。

即使您的組織在 Azure Marketplace 中沒有映像,也請考慮針對這些建議檢查您的 Windows 和 Linux 映像設定。