Recommandations de sécurité pour les images Place de marché Microsoft Azure
Avant de charger des images sur la Place de marché Azure, votre image doit être mise à jour avec plusieurs exigences de configuration de sécurité. Ces exigences permettent de maintenir un niveau élevé de sécurité pour les images de solutions partenaires dans toute la Place de marché Azure.
Veillez à exécuter une détection de vulnérabilité de sécurité sur votre image avant de la soumettre dans la Place de marché Azure. Si vous détectez une vulnérabilité de sécurité dans votre propre image qui est déjà publiée, vous devez informer vos clients en temps voulu des détails de la vulnérabilité et de la manière de la corriger dans les déploiements actuels.
Images de système d’exploitation Linux et open source
| Catégorie | Vérification |
|---|---|
| Sécurité | Installez tous les derniers correctifs de sécurité pour la distribution de Linux. |
| Sécurité | Suivez les bonnes pratiques du secteur pour sécuriser l’image de machine virtuelle pour votre distribution de Linux spécifique. |
| Sécurité | Limitez la surface d’attaque en conservant un encombrement minimal avec seulement les rôles Windows Server, fonctionnalités, services et ports réseau strictement nécessaires. |
| Sécurité | Analysez le code source et l’image de machine virtuelle qui en résulte à la recherche de programmes malveillants. |
| Sécurité | L’image de disque dur virtuel inclut uniquement les comptes verrouillés nécessaires qui n’ont pas de mots de passe par défaut et qui permettent une connexion interactive ; pas de portes dérobées. |
| Sécurité | Désactivez les règles de pare-feu, sauf si l’application compte fonctionnellement sur elles, par exemple dans le cas d’un appareil de pare-feu. |
| Sécurité | Supprimez toutes les informations sensibles de l’image de disque dur virtuel, comme les clés SSH de test, le fichier d’hôtes connus, les fichiers journaux et les certificats inutiles. |
| Sécurité | Évitez d’utiliser LVM. LVM est vulnérable aux problèmes de mise en cache en écriture avec les hyperviseurs de machine virtuelle et augmente également la complexité de récupération des données pour les utilisateurs de votre image. |
| Sécurité | Incluez les versions les plus récentes des bibliothèques requises : - OpenSSL v1.0 ou version supérieure - Python 2.5 ou version supérieure (Python 2.6+ est vivement recommandé) - Package Python pyasn1 si non installé - d.OpenSSL v 1.0 ou version supérieure |
| Sécurité | Effacez les entrées de l’historique de Bash/l’interpréteur de commandes. Cela peut inclure des informations privées ou des informations d’identification en texte brut pour d’autres systèmes. |
| Mise en réseau | Incluez le serveur SSH par défaut. Réglez l’option de maintien de la connexion au fichier de configuration du serveur SSH avec l’option suivante : ClientAliveInterval 180. |
| Mise en réseau | Supprimez toute configuration réseau personnalisée de l’image. Supprimez le fichier resolv.conf :rm /etc/resolv.conf. |
| Déploiement | Installez l’agent Linux Azure le plus récent. - Effectuez l’installation à l’aide du package RPM ou Deb. - Vous pouvez également utiliser le processus d’installation manuelle, mais les packages d’installation sont recommandés et préférés. - Si vous installez l’agent manuellement à partir du référentiel GitHub, vous devez tout d’abord copier le fichier waagent sur /usr/sbin et l’exécuter (en tant que root) : # chmod 755 /usr/sbin/waagent# /usr/sbin/waagent -installLe fichier de configuration de l’agent sera placé dans /etc/waagent.conf. |
| Déploiement | Assurez-vous que le support Azure peut fournir à nos partenaires une sortie de console série lorsque cela est nécessaire et indiquez un délai d’expiration adapté au montage du disque de système d’exploitation à partir du stockage cloud. Ajoutez les paramètres suivants à la ligne de démarrage du noyau de l’image :console=ttyS0 earlyprintk=ttyS0 rootdelay=300. |
| Déploiement | Aucune partition d’échange n’est présente sur le disque du système d’exploitation. L’échange peut être demandé pour la création sur le disque de la ressource locale par l’agent Linux. |
| Déploiement | Créez une partition racine unique pour le disque de système d’exploitation. |
| Déploiement | Système d’exploitation 64 bits uniquement. |
Images Windows Server
| Catégorie | Vérification |
|---|---|
| Sécurité | Utilisez une image de base de système d’exploitation sécurisée. Le disque dur virtuel utilisé pour la source de n’importe quelle image basée sur Windows Server doit venir d’images de système d’exploitation Windows Server obtenues via Microsoft Azure. |
| Sécurité | Installez toutes les dernières mises à jour de sécurité. |
| Sécurité | Les applications ne doivent pas dépendre de noms d’utilisateur restreints tels que « administrator », « root » et « admin ». |
| Sécurité | Activez le Chiffrement de lecteur BitLocker pour les disques durs du système d’exploitation et les disques durs de données. |
| Sécurité | Limitez la surface d’attaque en conservant un encombrement minimal avec seulement les rôles Windows Server, fonctionnalités, services et ports réseau strictement nécessaires activés. |
| Sécurité | Analysez le code source et l’image de machine virtuelle qui en résulte à la recherche de programmes malveillants. |
| Sécurité | Réglez les mises à jour de sécurité pour les images Windows Server pour qu’elles se fassent automatiquement. |
| Sécurité | L’image de disque dur virtuel inclut uniquement les comptes verrouillés nécessaires qui n’ont pas de mots de passe par défaut et qui permettent une connexion interactive ; pas de portes dérobées. |
| Sécurité | Désactivez les règles de pare-feu, sauf si l’application compte fonctionnellement sur elles, par exemple dans le cas d’un appareil de pare-feu. |
| Sécurité | Supprimez toutes les informations sensibles de l’image de disque dur virtuel, notamment les fichiers HOSTS, les fichiers journaux et les certificats inutiles. |
| Déploiement | Système d’exploitation 64 bits uniquement. |
Même si votre organisation ne dispose pas d’images dans la Place de marché Azure, pensez à vérifier les configurations de vos images Windows et Linux par rapport à ces recommandations.