Doporučení zabezpečení pro image z Azure Marketplace
Před nahráním imagí na Azure Marketplace je potřeba image aktualizovat několika požadavky na konfiguraci zabezpečení. Tyto požadavky pomáhají udržovat vysokou úroveň zabezpečení imagí partnerských řešení na azure Marketplace.
Před odesláním do Azure Marketplace nezapomeňte na obrázku spustit detekci ohrožení zabezpečení. Pokud zjistíte ohrožení zabezpečení ve vlastní již publikované imagi, musíte informovat zákazníky včas o podrobnostech o ohrožení zabezpečení a o tom, jak ji opravit v aktuálních nasazeních.
Linux a opensourcové image operačního systému
| Kategorie | Zaškrtnout |
|---|---|
| Zabezpečení | Nainstalujte všechny nejnovější opravy zabezpečení pro distribuci Linuxu. |
| Zabezpečení | Při zabezpečení image virtuálního počítače pro konkrétní distribuci Linuxu postupujte podle oborových pokynů. |
| Zabezpečení | Omezte prostor pro útoky tím, že zachováte minimální nároky jenom na nezbytné role, funkce, služby a síťové porty Windows Serveru. |
| Zabezpečení | Zkontrolujte zdrojový kód a výslednou image virtuálního počítače pro malware. |
| Zabezpečení | Image virtuálního pevného disku zahrnuje pouze nezbytné uzamčené účty, které nemají výchozí hesla, která by umožňovala interaktivní přihlášení; žádné zadní dveře. |
| Zabezpečení | Zakažte pravidla brány firewall, pokud se na ně aplikace funkčně nezapojí, například na zařízení brány firewall. |
| Zabezpečení | Odeberte všechny citlivé informace z image virtuálního pevného disku, jako jsou testovací klíče SSH, známý soubor hostitelů, soubory protokolů a nepotřebné certifikáty. |
| Zabezpečení | Vyhněte se používání LVM. LVM je zranitelné kvůli problémům s ukládáním do mezipaměti u hypervisorů virtuálních počítačů a také zvyšuje složitost obnovení dat pro uživatele vaší image. |
| Zabezpečení | Uveďte nejnovější verze požadovaných knihoven: – OpenSSL verze 1.0 nebo novější – Python 2.5 nebo novější (Python 2.6 nebo novější) – Balíček Pythonu pyasn1 ( pokud ještě není nainstalovaný – d.OpenSSL v 1.0 nebo novější) |
| Zabezpečení | Vymažte položky historie prostředí Bash/Shell. To může zahrnovat soukromé informace nebo přihlašovací údaje ve formátu prostého textu pro jiné systémy. |
| Sítě | Ve výchozím nastavení zahrňte server SSH. Nastavte SSH na konfiguraci sshd pomocí následující možnosti: ClientAliveInterval 180. |
| Sítě | Odeberte z image veškerou vlastní konfiguraci sítě. Odstraňte soubor resolv.conf: rm /etc/resolv.conf. |
| Nasazení | Nainstalujte nejnovějšího agenta Azure Linux. – Nainstalujte pomocí balíčku RPM nebo Deb. – Můžete také použít proces ruční instalace, ale instalační balíčky jsou doporučené a upřednostňované. – Pokud agenta ručně nainstalujete z úložiště GitHub, nejprve zkopírujte soubor a spusťte ho waagent (jako kořen):# chmod 755 /usr/sbin/waagent# /usr/sbin/waagent -installKonfigurační soubor agenta se umístí do /etc/waagent.confumístění ./usr/sbin |
| Nasazení | Ujistěte se, že podpora Azure může našim partnerům poskytnout výstup sériové konzoly v případě potřeby a zajistit odpovídající časový limit pro připojení disku s operačním systémem z cloudového úložiště. Do spouštěcího řádku jádra image přidejte následující parametry: console=ttyS0 earlyprintk=ttyS0 rootdelay=300. |
| Nasazení | Na disku s operačním systémem není žádný oddíl prohození. Prohození je možné vyžádat k vytvoření na místním disku prostředku agentem Linuxu. |
| Nasazení | Vytvořte jediný kořenový oddíl pro disk operačního systému. |
| Nasazení | Pouze 64bitový operační systém. |
Image Windows Serveru
| Kategorie | Zaškrtnout |
|---|---|
| Zabezpečení | Použijte zabezpečenou základní image operačního systému. Virtuální pevný disk používaný pro zdroj jakékoli image založené na Windows Serveru musí být z imagí operačního systému Windows Serveru poskytovaných prostřednictvím Microsoft Azure. |
| Zabezpečení | Nainstalujte všechny nejnovější aktualizace zabezpečení. |
| Zabezpečení | Aplikace by neměly záviset na omezených uživatelských jménech, jako je správce, kořen nebo správce. |
| Zabezpečení | Povolte nástroj BitLocker Drive Encryption pro pevné disky operačního systému i datové pevné disky. |
| Zabezpečení | Omezte prostor pro útoky tím, že zachováte minimální nároky jenom na nezbytné role, funkce, služby a síťové porty windows Serveru. |
| Zabezpečení | Zkontrolujte zdrojový kód a výslednou image virtuálního počítače pro malware. |
| Zabezpečení | Nastavte aktualizaci zabezpečení imagí Windows Serveru na automatickou aktualizaci. |
| Zabezpečení | Image virtuálního pevného disku zahrnuje pouze nezbytné uzamčené účty, které nemají výchozí hesla, která by umožňovala interaktivní přihlášení; žádné zadní dveře. |
| Zabezpečení | Zakažte pravidla brány firewall, pokud se na ně aplikace funkčně nezapojí, například na zařízení brány firewall. |
| Zabezpečení | Odeberte všechny citlivé informace z image virtuálního pevného disku, včetně souborů HOSTS, souborů protokolu a nepotřebných certifikátů. |
| Nasazení | Pouze 64bitový operační systém. |
I když vaše organizace nemá image na Azure Marketplace, zvažte kontrolu konfigurací imagí pro Windows a Linux v těchto doporučeních.