Recomendações de segurança para as imagens do Azure Marketplace
Antes de carregar imagens no Azure Marketplace, sua imagem deve ser atualizada com vários requisitos de configuração de segurança. Esses requisitos ajudam a manter um elevado nível de segurança para imagens de soluções de parceiros em todo o Azure Marketplace.
Execute uma detecção de vulnerabilidade de segurança em sua imagem antes de enviá-la ao Azure Marketplace. Se você detectar uma vulnerabilidade de segurança em sua própria imagem já publicada, deverá informar seus clientes em tempo hábil, tanto dos detalhes da vulnerabilidade quanto de como corrigi-la nas implantações atuais.
Imagens do sistema operacional Linux e de software livre
| Categoria | Verificação |
|---|---|
| Segurança | Instale todos os patches de segurança mais recentes para a distribuição Linux. |
| Segurança | Siga as diretrizes do setor para proteger a imagem da VM para a distribuição Linux específica. |
| Segurança | Limite a superfície de ataque mantendo somente o volume mínimo necessário das funções, recursos, serviços e portas de rede do Windows Server. |
| Segurança | Faça a verificação do código-fonte e da imagem da VM em relação à presença de malware. |
| Segurança | A imagem VHD inclui apenas as contas bloqueadas necessárias que não tenham senhas padrão que permitiriam um logon interativo; sem backdoors. |
| Segurança | Desabilite as regras de firewall, a menos que a funcionalidade do aplicativo dependa delas, como um dispositivo de firewall. |
| Segurança | Remova todas as informações confidenciais da imagem VHD, tais como chaves SSH de teste, arquivo de hosts conhecidos, arquivos de log e certificados desnecessários. |
| Segurança | Evite usar LVM. O LVM é vulnerável a problemas de cache de gravação com hipervisores de VM e também aumenta a complexidade da recuperação de dados para os usuários de sua imagem. |
| Segurança | Inclua as versões mais recentes das bibliotecas necessárias: – OpenSSL v1.0 ou superior – Python 2.5 ou superior (o Python 2.6+ é altamente recomendado) – Pacote pyasn1 do Python, se ainda não estiver instalado – d.OpenSSL v 1.0 ou superior |
| Segurança | Limpe entradas de histórico de Bash/Shell. Isso pode incluir informações privadas ou credenciais de texto sem formatação para outros sistemas. |
| Rede | Inclua o servidor SSH por padrão. Defina o SSH keep alive como sshd config com a seguinte opção: ClientAliveInterval 180. |
| Rede | Remova qualquer configuração de rede personalizada da imagem. Exclua o resolv.conf: rm /etc/resolv.conf. |
| Implantação | Instale o Agente Linux do Azure mais recente. – Instale usando o pacote RPM ou Deb. – Você também pode usar o processo de instalação manual, mas os pacotes do instalador são recomendados e preferenciais. – Se estiver instalando o agente manualmente por meio do repositório do GitHub, primeiro copie o arquivo waagent para /usr/sbin e execute (como raiz): # chmod 755 /usr/sbin/waagent# /usr/sbin/waagent -installO arquivo de configuração do agente é colocado em /etc/waagent.conf. |
| Implantação | Garanta que o Suporte do Azure pode fornecer aos nossos parceiros uma saída de console serial quando necessário, e fornece o tempo limite adequado para montagem do disco de sistema operacional do armazenamento em nuvem. Adicione os seguintes parâmetros à Linha de Inicialização do Kernel da imagem: console=ttyS0 earlyprintk=ttyS0 rootdelay=300. |
| Implantação | Não troque a partição no disco do sistema operacional. A troca pode ser solicitada para a criação no disco de recurso local pelo Agente do Linux. |
| Implantação | Crie uma partição raiz única para o disco do sistema operacional. |
| Implantação | Somente sistema operacional de 64 bits. |
Imagens do Windows Server
| Categoria | Verificação |
|---|---|
| Segurança | Use uma imagem de base segura do sistema operacional. O VHD usado para a origem de qualquer imagem baseada no Windows Server deve estar entre as imagens do sistema operacional do Windows Server fornecidas pelo Microsoft Azure. |
| Segurança | Instale todas as últimas atualizações de segurança. |
| Segurança | Os aplicativos não devem depender de nomes de usuário restritos como administrador, raiz ou administrador. |
| Segurança | Habilite a criptografia de unidade BitLocker para discos rígidos de sistema operacional e discos rígidos de dados. |
| Segurança | Limite a superfície de ataque mantendo somente o volume mínimo necessário das funções, recursos, serviços e portas de rede do Windows Server habilitado. |
| Segurança | Faça a verificação do código-fonte e da imagem da VM em relação à presença de malware. |
| Segurança | Configure a atualização de segurança de imagens do Windows Server para atualização automática. |
| Segurança | A imagem VHD inclui apenas as contas bloqueadas necessárias que não tenham senhas padrão que permitiriam um logon interativo; sem backdoors. |
| Segurança | Desabilite as regras de firewall, a menos que a funcionalidade do aplicativo dependa delas, como um dispositivo de firewall. |
| Segurança | Remova todas as informações confidenciais da imagem VHD, incluindo arquivos HOSTS, arquivos de log e certificados desnecessários. |
| Implantação | Somente sistema operacional de 64 bits. |
Mesmo que sua organização não tenha imagens no Azure Marketplace, considere verificar as configurações de imagem do Windows e do Linux em relação a essas recomendações.