Azure Marketplace イメージのセキュリティに関する推奨事項Security Recommendations for Azure Marketplace Images

イメージは、これらのセキュリティ構成の推奨事項を満たしている必要があります。Your image must meet these security configuration recommendations. そうすることで、Azure Marketplace のパートナー ソリューション イメージのセキュリティを高いレベルに維持することができます。This helps maintain a high level of security for partner solution images in the Azure Marketplace.

送信する前に、必ずイメージに対してセキュリティの脆弱性の検出を実行してください。Always run a security vulnerability detection on your image prior to submitting. 自分が発行したイメージでセキュリティの脆弱性を検出した場合は、脆弱性とその修正方法の両方について、適切なタイミングで顧客に通知する必要があります。If you detect a security vulnerability in your own published image, you must inform your customers in a timely manner of both the vulnerability and how to correct it.

オープン ソース ベースのイメージOpen Source-based Images

カテゴリCategory Check
SecuritySecurity Linux ディストリビューションの最新のセキュリティ パッチをすべてインストールします。Install all the latest security patches for the Linux distribution.
SecuritySecurity 特定の Linux ディストリビューション用の VM イメージのセキュリティ保護に関する業界のガイドラインに従います。Follow industry guidelines to secure the VM image for the specific Linux distribution.
SecuritySecurity Windows Server の役割、機能、サービス、ネットワーク ポートを必要なものだけにしてフット プリントを最小限にすることで、攻撃対象領域を制限します。Limit the attack surface by keeping minimal footprint with only necessary Windows Server roles, features, services, and networking ports.
SecuritySecurity ソース コードおよびそれから作成される VM イメージでマルウェアをスキャンします。Scan source code and resulting VM image for malware.
SecuritySecurity VHD イメージには、既定のパスワードを持たない、ロックされた必要なアカウントだけが含まれています。これにより、対話型ログインが可能になり、バック ドアが存在しないようにします。The VHD image only includes necessary locked accounts that do not have default passwords that would allow interactive login; no back doors.
SecuritySecurity ファイアウォール アプライアンスなど、アプリケーションが機能的に依存している場合を除き、ファイアウォール規則を無効にします。Disable firewall rules unless application functionally relies on them, such as a firewall appliance.
SecuritySecurity テスト SSH キー、既知の hosts ファイル、ログ ファイル、不要な証明書など、すべての機密情報を VHD イメージから削除します。Remove all sensitive information from the VHD image, such as test SSH keys, known hosts file, log files, and unnecessary certificates.
SecuritySecurity LVM の使用を避けます。Avoid using LVM.
SecuritySecurity 必要なライブラリの最新バージョンを含めます。Include the latest versions of required libraries:
- OpenSSL v1.0 以降- OpenSSL v1.0 or greater
- Python 2.5 以降 (Python 2.6 以降の使用を強くお勧めします)- Python 2.5 or above (Python 2.6+ is highly recommended)
- Python pyasn1 パッケージ (まだインストールされていない場合)- Python pyasn1 package if not already installed
- d.OpenSSL v 1.0 以降- d.OpenSSL v 1.0 or greater
SecuritySecurity Bash/シェルの履歴エントリをクリアします。Clear Bash/Shell history entries.
ネットワークNetworking 既定で SSH サーバーを含めます。Include the SSH server by default. 次のオプションを使って、SSH キープアライブを sshd 構成に設定します。ClientAliveInterval 180。Set SSH keep alive to sshd config with the following option: ClientAliveInterval 180.
ネットワークNetworking イメージからカスタム ネットワーク構成をすべて削除します。Remove any custom network configuration from the image. resolv.conf を削除します (rm /etc/resolv.conf)。Delete the resolv.conf: rm /etc/resolv.conf.
デプロイDeployment 最新の Azure Linux エージェントをインストールします。Install the latest Azure Linux Agent.
- RPM または Deb パッケージを使用してインストールします。- Install using the RPM or Deb package.
- 手動インストール プロセスを使うこともできますが、インストーラー パッケージを優先することをお勧めします。- You may also use the manual install process, but the installer packages are recommended and preferred.
- GitHub リポジトリから手動でエージェントをインストールする場合は、最初に waagent ファイルを /usr/sbin にコピーし、root として実行します。- If installing the agent manually from the GitHub repository, first copy the waagent file to /usr/sbin and run (as root):
# chmod 755 /usr/sbin/waagent
# /usr/sbin/waagent -install
エージェントの構成ファイルは /etc/waagent.conf に配置されます。The agent configuration file is placed at /etc/waagent.conf.
デプロイDeployment Azure サポートが必要に応じてシリアル コンソール出力を提供し、クラウド ストレージからの OS ディスクのマウントに十分なタイムアウトを提供できることを確認します。Ensure Azure Support can provide our partners with serial console output when needed and provide adequate timeout for OS disk mounting from cloud storage. パラメーター console=ttyS0 earlyprintk=ttyS0 rootdelay=300をイメージのカーネル ブート ラインに追加します。Add the following parameters to the image Kernel Boot Line: console=ttyS0 earlyprintk=ttyS0 rootdelay=300.
デプロイDeployment OS ディスクにスワップ パーティションがないこと。No swap partition on the OS disk. Linux エージェントは、ローカル リソース ディスクへのスワップの作成を要求できます。Swap can be requested for creation on the local resource disk by the Linux Agent.
デプロイDeployment OS ディスクの単一のルート パーティションを作成します。Create a single root partition for the OS disk.
デプロイDeployment 64 ビット オペレーティング システムだけであること。64-bit operating system only.

Windows Server ベースのイメージWindows Server-based Images

カテゴリCategory Check
SecuritySecurity セキュリティで保護された OS ベース イメージを使います。Use a secure OS base image. Windows Server に基づくイメージのソースに使われる VHD は、Microsoft Azure によって提供される Windows Server OS イメージが基になっている必要があります。The VHD used for the source of any image based on Windows Server must be from the Windows Server OS images provided through Microsoft Azure.
SecuritySecurity 最新のセキュリティ更新プログラムをすべてインストールします。Install all latest security updates.
SecuritySecurity アプリケーションは、administrator、root、admin などの制限されたユーザー名に依存してはなりません。Applications should not depend on restricted user names like administrator, root, or admin.
SecuritySecurity OS ハード ドライブとデータ ハード ドライブの両方に対して BitLocker ドライブ暗号化を有効にします。Enable BitLocker Drive Encryption for both OS hard drives and data hard drives.
SecuritySecurity Windows Server の役割、機能、サービス、ネットワーク ポートは必要なものだけを有効にしてフット プリントを最小限にすることで、攻撃対象領域を制限します。Limit the attack surface by keeping minimal footprint with only necessary Windows Server roles, features, services, and networking ports enabled.
SecuritySecurity ソース コードおよびそれから作成される VM イメージでマルウェアをスキャンします。Scan source code and resulting VM image for malware.
SecuritySecurity Windows Server イメージのセキュリティ更新プログラムを自動更新に設定します。Set Windows Server images security update to auto-update.
SecuritySecurity VHD イメージには、既定のパスワードを持たない、ロックされた必要なアカウントだけが含まれています。これにより、対話型ログインが可能になり、バック ドアが存在しないようにします。The VHD image only includes necessary locked accounts that do not have default passwords that would allow interactive login; no back doors.
SecuritySecurity ファイアウォール アプライアンスなど、アプリケーションが機能的に依存している場合を除き、ファイアウォール規則を無効にします。Disable firewall rules unless application functionally relies on them, such as a firewall appliance.
SecuritySecurity HOSTS ファイル、ログ ファイル、不要な証明書など、すべての機密情報を VHD イメージから削除します。Remove all sensitive information from the VHD image, including HOSTS files, log files, and unnecessary certificates.
デプロイDeployment 64 ビット オペレーティング システムだけであること。64-bit operating system only.

組織が Azure Marketplace にイメージを持っていない場合でも、これらの推奨事項に照らして Windows と Linux のイメージ構成をチェックすることを検討してください。Even if your organization does not have images in the Azure marketplace, consider checking your Windows and Linux image configurations against these recommendations.