Azure Market Görüntüleri için Güvenlik Öneriler
Görüntüleri Azure Market yüklemeden önce görüntünüzün çeşitli güvenlik yapılandırma gereksinimleriyle güncelleştirilmiş olması gerekir. Bu gereksinimler, Azure Market genelinde iş ortağı çözümü görüntüleri için yüksek düzeyde güvenlik sağlamaya yardımcı olur.
Azure Market göndermeden önce görüntünüzde bir güvenlik açığı algılaması çalıştırdığınızdan emin olun. Kendi yayımlanmış görüntünüzde bir güvenlik açığı algılarsanız, müşterilerinize hem güvenlik açığının ayrıntılarını hem de geçerli dağıtımlarda nasıl düzelteceklerini zamanında bildirmeniz gerekir.
Linux ve açık kaynak işletim sistemi görüntüleri
| Kategori | İşaretli |
|---|---|
| Güvenlik | Linux dağıtımı için en son güvenlik düzeltme eklerinin tümünü yükleyin. |
| Güvenlik | Belirli Bir Linux dağıtımı için VM görüntüsünün güvenliğini sağlamak için sektör yönergelerini izleyin. |
| Güvenlik | Yalnızca gerekli Windows Server rolleri, özellikleri, hizmetleri ve ağ bağlantı noktalarıyla minimum ayak izi tutarak saldırı yüzeyini sınırlayın. |
| Güvenlik | Kötü amaçlı yazılım için kaynak kodu ve sonuçta elde edilen VM görüntüsünü tarayın. |
| Güvenlik | VHD görüntüsü yalnızca etkileşimli oturum açma izni verecek varsayılan parolaları olmayan gerekli kilitli hesapları içerir; Arka kapı yok. |
| Güvenlik | Uygulama, güvenlik duvarı gereci gibi işlevsel olarak bunlara bağlı olmadığı sürece güvenlik duvarı kurallarını devre dışı bırakın. |
| Güvenlik | Test SSH anahtarları, bilinen konaklar dosyası, günlük dosyaları ve gereksiz sertifikalar gibi tüm hassas bilgileri VHD görüntüsünden kaldırın. |
| Güvenlik | LVM kullanmaktan kaçının. LVM, VM hiper yöneticileriyle ilgili yazma önbelleği sorunlarına karşı savunmasızdır ve görüntünüzün kullanıcıları için veri kurtarma karmaşıklığını artırır. |
| Güvenlik | Gerekli kitaplıkların en son sürümlerini ekleyin: - OpenSSL v1.0 veya üzeri - Python 2.5 veya üzeri (Python 2.6+ kesinlikle önerilir) - Henüz yüklü değilse Python pyasn1 paketi - d.OpenSSL v 1.0 veya üzeri |
| Güvenlik | Bash/Shell geçmiş girdilerini temizleyin. Bu, diğer sistemler için özel bilgileri veya düz metin kimlik bilgilerini içerebilir. |
| Ağ | Varsayılan olarak SSH sunucusunu ekleyin. Şu seçenekle SSH etkin tutma özelliğini sshd yapılandırmasına ayarlayın: ClientAliveInterval 180. |
| Ağ | Görüntüden herhangi bir özel ağ yapılandırmasını kaldırın. resolv.conf: rm /etc/resolv.conföğesini silin. |
| Dağıtım | En son Azure Linux Aracısı'nı yükleyin. - RPM veya Deb paketini kullanarak yükleyin. - El ile yükleme işlemini de kullanabilirsiniz, ancak yükleyici paketleri önerilir ve tercih edilir. - Aracıyı GitHub deposundan el ile yüklüyorsanız, önce dosyasını konumuna kopyalayın waagent ve çalıştırın (kök olarak):# chmod 755 /usr/sbin/waagent# /usr/sbin/waagent -installAracı yapılandırma dosyası konumuna /etc/waagent.confyerleştirilir./usr/sbin |
| Dağıtım | Azure Desteği'nin iş ortaklarımıza gerektiğinde seri konsol çıkışı sağlayabildiğinden ve bulut depolama alanından işletim sistemi disk bağlaması için yeterli zaman aşımı sağladığından emin olun. Çekirdek Önyükleme Satırı görüntüsüne aşağıdaki parametreleri ekleyin: console=ttyS0 earlyprintk=ttyS0 rootdelay=300. |
| Dağıtım | İşletim sistemi diskinde değiştirme bölümü yok. Linux Aracısı tarafından yerel kaynak diskinde oluşturma için değiştirme istenebilir. |
| Dağıtım | İşletim Sistemi diski için tek bir kök bölümü oluşturun. |
| Dağıtım | Yalnızca 64 bit işletim sistemi. |
Windows Server görüntüleri
| Kategori | İşaretli |
|---|---|
| Güvenlik | Güvenli bir işletim sistemi temel görüntüsü kullanın. Windows Server tabanlı herhangi bir görüntünün kaynağı için kullanılan VHD, Microsoft Azure aracılığıyla sağlanan Windows Server işletim sistemi görüntülerinden olmalıdır. |
| Güvenlik | En son güvenlik güncelleştirmelerinin tümünü yükleyin. |
| Güvenlik | Uygulamalar yönetici, kök veya yönetici gibi kısıtlanmış kullanıcı adlarına bağımlı olmamalıdır. |
| Güvenlik | Hem işletim sistemi sabit sürücüleri hem de veri sabit sürücüleri için BitLocker Sürücü Şifrelemesi'ni etkinleştirin. |
| Güvenlik | Yalnızca gerekli Windows Server rolleri, özellikleri, hizmetleri ve ağ bağlantı noktaları etkinken minimum ayak izi tutarak saldırı yüzeyini sınırlayın. |
| Güvenlik | Kötü amaçlı yazılım için kaynak kodu ve sonuçta elde edilen VM görüntüsünü tarayın. |
| Güvenlik | Windows Server görüntüleri güvenlik güncelleştirmesini otomatik güncelleştirme olarak ayarlayın. |
| Güvenlik | VHD görüntüsü yalnızca etkileşimli oturum açma izni verecek varsayılan parolaları olmayan gerekli kilitli hesapları içerir; Arka kapı yok. |
| Güvenlik | Uygulama, güvenlik duvarı gereci gibi işlevsel olarak bunlara bağlı olmadığı sürece güvenlik duvarı kurallarını devre dışı bırakın. |
| Güvenlik | KONAK dosyaları, günlük dosyaları ve gereksiz sertifikalar dahil olmak üzere VHD görüntüsündeki tüm hassas bilgileri kaldırın. |
| Dağıtım | Yalnızca 64 bit işletim sistemi. |
Kuruluşunuzun Azure marketinde görüntüleri olmasa bile Windows ve Linux görüntü yapılandırmalarınızı bu önerilere karşı denetlemeyi göz önünde bulundurun.