Azure Marketplace 映射的安全性 建議

  • 發行項

將映射上傳至 Azure Marketplace 之前,您的映像必須更新數個安全性設定需求。 這些需求可協助維護 Azure Marketplace 中合作夥伴解決方案映像的高階安全性。

請務必先在您的映射上執行安全性弱點偵測,再將其提交至 Azure Marketplace。 如果您在自己的已發佈映射中偵測到安全性弱點,您必須及時通知客戶弱點的詳細數據,以及如何在目前的部署中加以修正。

Linux 和 開放原始碼 OS 映射

類別 勾選
安全性 安裝 Linux 發行版的所有最新安全性修補程式。
安全性 遵循業界指導方針來保護特定 Linux 發行版的 VM 映像。
安全性 只使用必要的 Windows Server 角色、功能、服務和網路埠,將受攻擊面限制在最少。
安全性 掃描原始碼和產生的 VM 映像以取得惡意代碼。
安全性 VHD 映射只包含沒有允許互動式登入之默認密碼的必要鎖定帳戶;沒有後門。
安全性 除非應用程式在功能上依賴防火牆規則,例如防火牆設備,否則請停用防火牆規則。
安全性 從 VHD 映射中移除所有敏感性資訊,例如測試 SSH 金鑰、已知主機檔案、記錄檔和不必要的憑證。
安全性 避免使用 LVM。 LVM 很容易寫入 VM Hypervisor 的快取問題,也會增加映像用戶的數據復原複雜度。
安全性 包含最新版的必要連結庫:
- OpenSSL v1.0 或更新
版本 - Python 2.5 或更新版本 (強烈建議使用 Python 2.6+ )
- 如果未安裝
Python pyasn1 套件 - d.OpenSSL v 1.0 或更新版本
安全性 清除 Bash/Shell 記錄專案。 這可能包括其他系統的私人資訊或純文本認證。
網路 預設包含 SSH 伺服器。 使用下列選項將 SSH 保持運作設定為 sshd 組態:ClientAliveInterval 180。
網路 從映像中移除任何自定義網路組態。 刪除 resolv.conf: rm /etc/resolv.conf
部署 安裝最新的 Azure Linux 代理程式。
- 使用 RPM 或 Deb 套件進行安裝。
- 您也可以使用手動安裝程式,但建議使用安裝程式套件,並偏好使用。
- 如果從 GitHub 存放庫手動安裝代理程式,請先將檔案複製到 並執行 (以 root 身分執行):
# chmod 755 /usr/sbin/waagent
# /usr/sbin/waagent -install
代理程式組態檔會放在 。/etc/waagent.confwaagent/usr/sbin
部署 請確定 Azure 支援可在需要時提供我們的合作夥伴序列控制台輸出,併為從雲端記憶體掛接的 OS 磁碟提供適當的逾時。 將下列參數新增至映像核心開機行: console=ttyS0 earlyprintk=ttyS0 rootdelay=300
部署 OS 磁碟上沒有交換分割區。 Linux 代理程式可以要求交換以在本機資源磁碟上建立。
部署 為 OS 磁碟建立單一根分割。
部署 僅限64位作業系統。

Windows Server 映射

類別 勾選
安全性 使用安全的OS基底映像。 用於以 Windows Server 為基礎的任何映像來源的 VHD 必須來自透過 Microsoft Azure 提供的 Windows Server OS 映射。
安全性 安裝所有最新的安全性更新。
安全性 應用程式不應該相依於受限制的用戶名稱,例如系統管理員、根或系統管理員。
安全性 為 OS 硬碟和數據硬碟啟用 BitLocker 磁碟驅動器加密。
安全性 只啟用必要的 Windows Server 角色、功能、服務和網路埠,藉此限制受攻擊面。
安全性 掃描原始碼和產生的 VM 映像以取得惡意代碼。
安全性 將 Windows Server 映像安全性更新設定為自動更新。
安全性 VHD 映射只包含沒有允許互動式登入之默認密碼的必要鎖定帳戶;沒有後門。
安全性 除非應用程式在功能上依賴防火牆規則,例如防火牆設備,否則請停用防火牆規則。
安全性 從 VHD 映射中移除所有敏感性資訊,包括 HOSTS 檔案、記錄檔和不必要的憑證。
部署 僅限64位作業系統。

即使您的組織在 Azure Marketplace 中沒有映像,也請考慮檢查您的 Windows 和 Linux 映像設定,以針對這些建議。