OSConfig ベースの Azure security baseline for Linux
はじめに
これまで Azure におけるセキュリティベースラインの管理は、主にゲスト構成エージェントと PowerShell DSC などを活用して行われてきました。
今回、新たに Linux 向けの OSConfig ベースの Azure ポリシーがパブリック プレビューとして利用可能になりましたので、こちらの動作を確認していきます。なお、自動修復についても限定パブリックプレビューでエントリー式で開始しているようですが、今回は検証していません。
手順
まず検証用のリソース グループを作成します。(手順割愛)
次に以下からポリシー用の json ファイルをダウンロードします。
[定義] > [ポリシー定義] をクリックします。
以下を設定します。
定義の場所: <テスト用の Azure サブスクリプションを選択>
名前: [Preview]: Azure security baseline for Linux (by OSConfig)
カテゴリ: [既存のものを使用] > [Guest Configuration]
ポリシールール: 事前に入力されたコンテンツを削除し、ファイルから JSON を貼り付け
[割り当て] > [ポリシーの割り当て] をクリックします。
以下を設定し、[確認および作成] から割り当てを行います。
スコープ: テスト用のリソース グループ
ポリシー定義: 先ほど作成したポリシー
検証環境準備
Ubuntu 22.04 LTS の VM をシステム割り当てマネージド ID ありで作成します。(詳細割愛)
デプロイ後、[Azure Automanage Machine Configuration] 拡張機能をインストールします。
ちなみにインストール後確認したところ、名称が異なるだけでゲスト構成エージェントでした。
動作確認
しばらくするとポリシーの [コンプライアンス] から詳細が可能です。作成したポリシーをクリックします。
以下のように準拠していない VM が表示されます。今回検証しているのは 02 の VM ですが、01 の VM については拡張機能が未インストールのため、準拠していない表示となっているようです。
対象 VM の [詳細] をクリックし、[前回の評価済みリソース] をクリックします。
このような形で準拠状況が確認できます。
なお、VM のページにおける [構成管理] からも確認可能となっています。(AzureLinuxBaseline は従来のベースライン)
詳細
結局、従来と何が違うのか?ということで、関連ブログを改めて読んでみました。
主要なアップデートとしては OSConfig を使って正確性を向上させている点と最新の CIS Distribution Independent Linux ベンチマークを使用できる点でしょうか。
※ ブラウザの機能で翻訳しています。
なお、ベースラインの差分については上記のブログの最後に添付されています。
VM 上を見てみると、たしかに従来のベースラインとは異なり、OSConfig のモジュールが組み込まれていることが確認できました。DSC については引き続き利用しているように見えます。
注意点
上記のブログに書いてあるのですが、将来的に既存のベースライン用のポリシー定義は新ポリシー定義に置き換わるようなので、ご利用されている方は今後のアナウンスなどをご確認ください。
Discussion