Säkerhets Rekommendationer för Azure Marketplace-avbildningar
Innan avbildningar laddas upp till Azure Marketplace måste avbildningen uppdateras med flera krav på säkerhetskonfiguration. Dessa krav bidrar till att upprätthålla en hög säkerhetsnivå för partnerlösningsbilder på Azure Marketplace.
Se till att köra en säkerhetsriskidentifiering på avbildningen innan du skickar den till Azure Marketplace. Om du upptäcker en säkerhetsrisk i din egen redan publicerade avbildning måste du informera dina kunder i tid både om säkerhetsriskens information och hur du korrigerar den i aktuella distributioner.
Linux- och öppen källkod OS-avbildningar
| Kategori | Markera |
|---|---|
| Säkerhet | Installera alla de senaste säkerhetskorrigeringarna för Linux-distributionen. |
| Säkerhet | Följ branschriktlinjerna för att skydda vm-avbildningen för den specifika Linux-distributionen. |
| Säkerhet | Begränsa attackytan genom att hålla minimalt fotavtryck med endast nödvändiga Windows Server-roller, funktioner, tjänster och nätverksportar. |
| Säkerhet | Sök igenom källkoden och den resulterande VM-avbildningen efter skadlig kod. |
| Säkerhet | VHD-avbildningen innehåller endast nödvändiga låsta konton som inte har standardlösenord som tillåter interaktiv inloggning. inga bakdörrar. |
| Säkerhet | Inaktivera brandväggsregler om inte programmet funktionellt förlitar sig på dem, till exempel en brandväggsinstallation. |
| Säkerhet | Ta bort all känslig information från VHD-avbildningen, till exempel testa SSH-nycklar, känd värdfil, loggfiler och onödiga certifikat. |
| Säkerhet | Undvik att använda LVM. LVM är sårbart för problem med skrivcachelagring med vm-hypervisorer och ökar även dataåterställningskomplexiteten för användare av avbildningen. |
| Säkerhet | Inkludera de senaste versionerna av obligatoriska bibliotek: – OpenSSL v1.0 eller senare – Python 2.5 eller senare (Python 2.6+ rekommenderas starkt) – Python pyasn1-paket om det inte redan är installerat – d.OpenSSL v 1.0 eller senare |
| Säkerhet | Rensa Bash/Shell-historikposter. Detta kan omfatta privat information eller autentiseringsuppgifter för oformaterad text för andra system. |
| Nätverk | Inkludera SSH-servern som standard. Ange SSH keep alive till sshd config med följande alternativ: ClientAliveInterval 180. |
| Nätverk | Ta bort alla anpassade nätverkskonfigurationer från avbildningen. Ta bort resolve.conf: rm /etc/resolv.conf. |
| Distribution | Installera den senaste Azure Linux-agenten. – Installera med RPM- eller Deb-paketet. – Du kan också använda den manuella installationsprocessen, men installationspaketen rekommenderas och rekommenderas. – Om du installerar agenten manuellt från GitHub-lagringsplatsen kopierar waagent du först filen till /usr/sbin och kör (som rot):# chmod 755 /usr/sbin/waagent# /usr/sbin/waagent -installAgentkonfigurationsfilen placeras på . /etc/waagent.conf |
| Distribution | Se till att Azure-supporten kan ge våra partner seriekonsolutdata när det behövs och ge tillräcklig timeout för montering av OS-diskar från molnlagring. Lägg till följande parametrar i bilden Kernel Boot Line: console=ttyS0 earlyprintk=ttyS0 rootdelay=300. |
| Distribution | Ingen växlingspartition på OS-disken. Växling kan begäras för skapande på den lokala resursdisken av Linux-agenten. |
| Distribution | Skapa en enskild rotpartition för OS-disken. |
| Distribution | Endast 64-bitars operativsystem. |
Windows Server-avbildningar
| Kategori | Markera |
|---|---|
| Säkerhet | Använd en säker os-basavbildning. Den virtuella hårddisk som används för källan till en avbildning som baseras på Windows Server måste vara från Windows Server OS-avbildningarna som tillhandahålls via Microsoft Azure. |
| Säkerhet | Installera alla senaste säkerhetsuppdateringar. |
| Säkerhet | Program bör inte vara beroende av begränsade användarnamn som administratör, rot eller administratör. |
| Säkerhet | Aktivera BitLocker-diskkryptering för både OPERATIVSYSTEM-hårddiskar och datahårdenheter. |
| Säkerhet | Begränsa attackytan genom att hålla minimalt fotavtryck med endast nödvändiga Windows Server-roller, funktioner, tjänster och nätverksportar aktiverade. |
| Säkerhet | Sök igenom källkoden och den resulterande VM-avbildningen efter skadlig kod. |
| Säkerhet | Ange säkerhetsuppdatering för Windows Server-avbildningar till automatisk uppdatering. |
| Säkerhet | VHD-avbildningen innehåller endast nödvändiga låsta konton som inte har standardlösenord som tillåter interaktiv inloggning. inga bakdörrar. |
| Säkerhet | Inaktivera brandväggsregler om inte programmet funktionellt förlitar sig på dem, till exempel en brandväggsinstallation. |
| Säkerhet | Ta bort all känslig information från VHD-avbildningen, inklusive HOSTS-filer, loggfiler och onödiga certifikat. |
| Distribution | Endast 64-bitars operativsystem. |
Även om din organisation inte har avbildningar på Azure Marketplace kan du överväga att kontrollera dina Windows- och Linux-avbildningskonfigurationer mot dessa rekommendationer.