Vysvětlení konfigurace hosta ve službě Azure Policy

Azure Policy můžou auditovat nastavení v počítači, a to pro počítače běžící v Azure i v počítačích připojených k Arc. Ověřování se provádí pomocí rozšíření Konfigurace hosta a prostřednictvím klienta. Toto rozšíření prostřednictvím klienta ověřuje nastavení, jako například:

  • Konfigurace operačního systému
  • Konfigurace nebo přítomnost aplikací
  • Nastavení prostředí

V současné době většina Azure Policy definice zásad konfigurace hostů jenom auditovat nastavení v rámci počítače. Neaplikují konfigurace. Výjimkou je jedna integrovaná zásada, na kterou se odkazuje níže.

K dispozici je návod k videu tohoto dokumentu.

Povolit konfiguraci hosta

Pokud chcete auditovat stav počítačů ve vašem prostředí, včetně počítačů v Azure a připojených počítačů ARC, Projděte si následující podrobnosti.

Poskytovatel prostředků

Než budete moct použít konfiguraci hosta, musíte zaregistrovat poskytovatele prostředků. Pokud se přiřazení zásady konfigurace hosta provádí prostřednictvím portálu nebo pokud je předplatné zaregistrované v Azure Security Center, poskytovatel prostředků se zaregistruje automaticky. Můžete provést ruční registraci prostřednictvím portálu, Azure PowerShellnebo rozhraní příkazového řádku Azure.

Nasazení požadavků pro virtuální počítače Azure

Pokud chcete auditovat nastavení v rámci počítače, je povolená rozšíření virtuálního počítače a počítač musí mít systémově spravovanou identitu. Toto rozšíření stáhne příslušné přiřazení zásad a odpovídající definici konfigurace. Identita se používá k ověření počítače při jeho čtení a zápisu do služby konfigurace hosta. Pro připojené počítače ARC není rozšíření vyžadováno, protože je zahrnuto v agentovi počítače připojeného k ARC.

Důležité

K auditování virtuálních počítačů Azure se vyžaduje rozšíření konfigurace hosta a spravovaná identita. Pokud chcete nasadit rozšíření ve velkém měřítku, přiřaďte následující iniciativu zásad:

Deploy prerequisites to enable Guest Configuration policies on virtual machines

Omezení nastavená pro rozšíření

Pokud chcete omezit rozšíření proti ovlivnění aplikací spuštěných v počítači, konfigurace hosta nemůže překročit více než 5% procesoru. Toto omezení existuje jak pro předdefinované, tak pro vlastní definice. Totéž platí pro službu Konfigurace hosta v agentovi Arc Connected Machine.

Nástroje pro ověřování

V počítači klient konfigurace hosta používá ke spuštění auditu místní nástroje.

Následující tabulka obsahuje seznam místních nástrojů používaných v jednotlivých podporovaných operačních systémech. V případě integrovaného obsahu zpracovává konfigurace hosta načítání těchto nástrojů automaticky.

Operační systém Nástroj pro ověřování Poznámky
Windows PowerShell Desired State Configuration v2 Načítá se bokem do složky, kterou používá Azure Policy. Nebude v konfliktu s Windows PowerShell DSC. PowerShell Core se nepřidá do systémové cesty.
Linux Chef InSpec Nainstaluje Chef InSpec verze 2.2.61 ve výchozím umístění a přidá se do systémové cesty. Jsou nainstalované také závislosti pro balíček InSpec, včetně Ruby a Pythonu.

Frekvence ověřování

Klient konfigurace hosta každých 5 minut kontroluje nová nebo změněná přiřazení hostů. Po přijetí přiřazení hosta se nastavení pro konfiguraci znovu kontrolují v 15minutových intervalech. Výsledky se po dokončení auditu posílají poskytovateli prostředků konfigurace hosta. Když dojde k triggeru vyhodnocení zásad, stav počítače se zapisuje do poskytovatele prostředků Konfigurace hosta. Tato aktualizace Azure Policy vyhodnocuje vlastnosti Azure Resource Manager. Vyhodnocení na vyžádání Azure Policy nejnovější hodnotu z poskytovatele prostředků Konfigurace hosta. Neaktivuje ale nové auditování konfigurace v rámci počítače. Stav se zapisuje současně do grafu prostředků Azure.

Podporované typy klientů

Definice zásad konfigurace hostů jsou zahrnuté do nových verzí. Starší verze operačních systémů, které jsou k dispozici v Azure Marketplace, jsou vyloučené, pokud není klient konfigurace hosta kompatibilní. Následující tabulka uvádí seznam podporovaných operačních systémů na imagí Azure. Text ". x" je symbolické číslo, které představuje nové podverze distribucí systému Linux.

Publisher Name Verze
Canonical Ubuntu Server 14,04-20. x
Credativ Debian 8.10. x
Microsoft Windows Server 2012 – 2019
Microsoft Klient Windows Windows 10
OpenLogic CentOS 7,3 -8. x
Red Hat Red Hat Enterprise Linux 7,4 – 8. x
SUSE SLES 12 SP3 – SP5, 15. x

Definice zásad konfigurace hosta podporuje vlastní image virtuálních počítačů, pokud se jedná o jeden z operačních systémů uvedených v tabulce výše.

Požadavky sítě

Virtuální počítače v Azure můžou ke komunikaci se službou konfigurace hosta použít buď svůj místní síťový adaptér, nebo privátní odkaz.

Počítače se systémem Azure Arc se připojují pomocí místní síťové infrastruktury, aby se dosáhlo služeb Azure a nahlásily stav dodržování předpisů.

Komunikace přes virtuální sítě v Azure

Aby počítače komunikovaly s poskytovatelem prostředků konfigurace hosta v Azure, vyžadují odchozí přístup k datacentrům Azure na portu 443. Pokud síť v Azure nepovoluje odchozí přenosy, nakonfigurujte výjimky s pravidly skupiny zabezpečení sítě . Značku služby GuestAndHybridManagement je možné použít k odkazování na službu Konfigurace hosta místo ruční údržby seznamu rozsahů IP adres pro datacentra Azure.

Virtuální počítače mohou ke komunikaci se službou Konfigurace hosta používat službu Private Link. Pokud chcete tuto funkci povolit, použijte značku s názvem EnablePrivateNetworkGC TRUE a hodnotou. Značku je možné použít před nebo po použití definic zásad konfigurace hosta na počítači.

Provoz se směruje pomocí virtuální veřejné IP adresy Azure k vytvoření zabezpečeného ověřeného kanálu s prostředky platformy Azure.

Azure Arc připojených počítačů

Uzly umístěné mimo Azure, které jsou připojené Azure Arc vyžadují připojení ke službě Konfigurace hosta. Podrobnosti o požadavcích na síť a proxy server, které jsou uvedené v Azure Arc dokumentaci.

V případě serverů připojených k Arc v privátních datacentrech povolte provoz s využitím následujících vzorů:

  • Port: Pro odchozí internetový přístup se vyžaduje jenom port TCP 443.
  • Globální adresa URL: *.guestconfiguration.azure.com

Požadavky na spravovanou identitu

Definice zásad v iniciativě Nasazení požadavků pro povolení zásad konfigurace hosta na virtuálních počítačích umožňují spravovanou identitu přiřazenou systémem, pokud neexistuje. V iniciativě existují dvě definice zásad, které spravují vytváření identit. Podmínky IF v definicích zásad zajišťují správné chování na základě aktuálního stavu prostředku počítače v Azure.

Pokud počítač aktuálně nemá žádné spravované identity, efektivní zásadou bude Přidat spravovanou identitu přiřazenou systémem, která povolí přiřazení konfigurace hosta na virtuálních počítačích bez identit.

Pokud má počítač aktuálně systémovou identitu přiřazenou uživatelem, efektivní zásadou bude: Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítači s identitou přiřazenou uživatelem

Požadavky na definici konfigurace hosta

Definice zásad konfigurace hostů používají efekt AuditIfNotExists . Po přiřazení definice služba back-end automaticky zpracuje životní cyklus všech požadavků v Microsoft.GuestConfiguration poskytovateli prostředků Azure.

Definice zásad AuditIfNotExists nevrátí výsledky dodržování předpisů, dokud nebudou všechny požadavky splněny v počítači. Požadavky jsou popsané v části požadavky na nasazení pro virtuální počítače Azure

Důležité

V předchozí verzi konfigurace hosta se vyžadovala iniciativa ke kombinování definicí DeployIfNotExists a AuditIfNotExists . Definice DeployIfNotExists se už nevyžadují. Definice a iniciativy jsou označeny, [Deprecated] ale existující přiřazení budou fungovat i nadále. Informace najdete v blogovém příspěvku: důležitá změna vydaná pro zásady auditu konfigurace hostů .

Co je přiřazení hostů?

Pokud je přiřazena Azure Policy, pokud je v kategorii "konfigurace hosta", existují metadata, která jsou obsažena v popisu přiřazení hostů. Přiřazení hostů si můžete představit jako propojení mezi počítačem a scénářem Azure Policy. Například následující fragment kódu přidruží konfiguraci standardních hodnot Windows Azure s minimální verzí 1.0.0 na všechny počítače v oboru zásad. Ve výchozím nastavení bude přiřazení hostů provádět jenom audit počítače.

"metadata": {
    "category": "Guest Configuration",
    "guestConfiguration": {
        "name": "AzureWindowsBaseline",
        "version": "1.*"
    }
//additional metadata properties exist

Přiřazení hostů se vytváří automaticky pro jednotlivé počítače pomocí služby konfigurace hosta. Typ prostředku je Microsoft.GuestConfiguration/guestConfigurationAssignments. Azure Policy používá vlastnost complianceStatus prostředku přiřazení hosta k hlášení stavu dodržování předpisů. Další informace najdete v tématu získání dat o dodržování předpisů.

Auditování nastavení operačního systému po oborových plánech

Jedna z iniciativ v Azure Policy Audituje nastavení operačního systému podle směrného plánu. Definice, [ verze Preview ] : počítače s Windows by měly splňovat požadavky na základní hodnoty zabezpečení Azure, zahrnuje sadu pravidel založených na službě Active Directory Zásady skupiny.

Většina nastavení je k dispozici jako parametry. Parametry umožňují přizpůsobit, co se audituje. Srovnejte zásady s vašimi požadavky nebo je namapte na informace třetích stran, jako jsou oborové regulační standardy.

Některé parametry podporují rozsah celočíselných hodnot. Nastavení Maximální stáří hesla může například auditovat efektivní nastavení Zásady skupiny hesla. Rozsah 1,70 potvrzuje, že uživatelé musí změnit hesla alespoň každých 70 dní, ale ne méně než jeden den.

Pokud přiřadíte zásadu pomocí šablony Azure Resource Manager (šablona ARM), použijte soubor parametrů ke správě výjimek. Soubory se pište do systému pro řízení verzí, jako je Git. Komentáře ke změnám souboru poskytují důkaz, proč je přiřazení výjimkou z očekávané hodnoty.

Použití konfigurací pomocí konfigurace hosta

Pouze definice Konfigurace časového pásma na počítačích s Windows provede změny počítače pomocí konfigurace časového pásma. Vlastní definice zásad pro konfiguraci nastavení uvnitř počítačů se nepodporují.

Při přiřazování definic, které začínají na Konfigurovat , musíte také přiřadit definici Nasadit požadavky, aby se na virtuálních počítačech s Windows povolují zásady konfigurace hosta. Pokud si zvolíte, můžete tyto definice v iniciativě zkombinovat.

Poznámka

Integrovaná zásada časového pásma je jedinou definicí, která podporuje konfiguraci nastavení uvnitř počítačů a vlastní definice zásad, které konfigurují nastavení uvnitř počítačů, se nepodporují.

Přiřazení zásad k počítačům mimo Azure

Definice zásad auditu dostupné pro konfiguraci hosta zahrnují typ prostředku Microsoft.HybridCompute/machines. Automaticky se zahrnou všechny počítače Azure Arc pro servery, které jsou v oboru přiřazení zásad.

Dostupnost

Zákazníci, kteří navrhují vysoce dostupné řešení, by měli zvážit požadavky na plánování redundance pro virtuální počítače, protože přiřazení hostů jsou rozšířením prostředků počítačů v Azure. Když se prostředky přiřazení hosta zřídí v oblasti Azure, která se spáruje, pokud je k dispozici alespoň jedna oblast ve páru, budou k dispozici sestavy přiřazení hostů. Pokud oblast Azure není spárovaná a nebude k dispozici, není možné získat přístup k sestavám pro přiřazení hostů, dokud se oblast neobnoví.

Při zvažování architektury pro aplikace s vysokou dostupností, zejména v případě, že jsou virtuální počítače zřízené v rámci řešení pro vyrovnávání zatížení za účelem zajištění vysoké dostupnosti, je osvědčeným postupem přiřadit stejné definice zásad se stejnými parametry ke všem počítačům v řešení. Pokud je to možné, jediné přiřazení zásady zahrnující všechny počítače by poskytovalo minimální režijní náklady na správu.

U počítačů chráněných aplikací Azure Site Recoveryzajistěte, aby počítače v sekundární lokalitě byly v rozsahu Azure Policy přiřazení pro stejné definice pomocí stejných hodnot parametrů jako počítače v primární lokalitě.

Řešení potíží s konfigurací hosta

Další informace o řešení potíží s konfigurací hostů najdete v tématu řešení potíží s Azure Policy.

Více přiřazení

Definice zásad konfigurace hostů momentálně podporují přiřazování stejného přiřazení hostů jenom jednou pro každý počítač, a to i v případě, že přiřazení zásady používá jiné parametry.

Soubory protokolů klienta

Rozšíření konfigurace hosta zapisuje soubory protokolu do následujících umístění:

Windows: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log

Linux

  • Virtuální počítač Azure: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log
  • Virtuální počítač Azure: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Vzdálené shromažďování protokolů

Prvním krokem při řešení potíží s konfiguracemi konfigurace hosta nebo moduly by se měly používat Test-GuestConfigurationPackage rutiny podle kroků, jak vytvořit vlastní zásady auditu konfigurace hostů pro Windows. Pokud to neproběhne úspěšně, může shromažďování protokolů klienta pomáhat s diagnostikou problémů.

Windows

Pomocí příkazu spustit pro virtuální počítače AzureZachyťte informace ze souborů protokolů, což může být užitečné v následujícím ukázkovém skriptu PowerShellu.

$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$logPath = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Select-String -Path $logPath -pattern 'DSCEngine','DSCManagedEngine' -CaseSensitive -Context $linesToIncludeBeforeMatch,$linesToIncludeAfterMatch | Select-Object -Last 10

Linux

Zachycení informací ze souborů protokolu pomocí virtuálního počítače Azure Spustit příkaz, může být užitečný následující příklad skriptu Bash.

linesToIncludeBeforeMatch=0
linesToIncludeAfterMatch=10
logPath=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $linesToIncludeBeforeMatch -A $linesToIncludeAfterMatch 'DSCEngine|DSCManagedEngine' $logPath | tail

Klientské soubory

Klient konfigurace hosta stáhne balíčky obsahu do počítače a extrahuje obsah. Pokud chcete ověřit, jaký obsah se stáhl a uložil, prohlédněte si umístění složek uvedená níže.

Windows: c:\programdata\guestconfig\configuration

Linux: /var/lib/GuestConfig/Configuration

Ukázky konfigurace hosta

Ukázky předdefinované zásady Konfigurace hosta jsou k dispozici v následujících umístěních:

Přehled videí

Následující přehled konfigurace hosta Azure Policy od ITOps Talks 2021.

Řízení směrných plánů v hybridních serverových prostředích Azure Policy konfigurace hosta

Další kroky