Microsoft Defender for Cloudにあるコンプライアンス「Azure Security Benchmark v3」のPV-4に「ゲスト構成拡張機能がマシンにインストールされている必要がある」という項目があります。
ゲスト構成拡張機能の概要 を見てもいまいちよく分からなかったので、実際に試してみました。
概要
-
ゲスト構成拡張機能の概要 ページに
ゲスト構成拡張機能は、仮想マシン内で監査および構成操作を実行する Azure Policy のコンポーネントですとあります。実際にAzureポリシーの定義を見ると理解が深まりましたので見ていきます。 -
Azure Portalより[Azure Policy]を選択します。
-
左メニューより[定義]を選択します。
-
カテゴリで[Guest Configuration]を選択します。
-
ここで表示される定義がゲスト構成拡張機能で検出できる一覧です。例えばWindowsのユーザーパスワードに関する監査など、仮想マシン内の項目まで検出できることが分かります。
ポリシー割り当て
-
今回はこの中から[指定した日数以内に再起動されていないWindowsマシンを監査する]ポリシーを割り当ててみます。
-
検索バーから[再起動]と入力し、該当のポリシーを選択します。
-
[割り当て]を選択します。
-
[スコープ]を選択します。デフォルトではサブスクリプションに対してですが、特定のリソースグループのみにすることもできます。また、[除外]の設定で、特定のリソースはポリシー監査の除外にすることも可能です。
-
パラメーターで[入力またはレビューが必要なパラメーターのみを表示する]のチェックを外します。
-
[日数]に1を入力します。今回は1日以上再起動していなければ検知する条件とします。
-
[修復]タブではデフォルト設定で次にいきます。準拠していなければ準拠するよう自動的に対処する設定ですが、今回は監査したいだけなので不要です。
-
[非準拠メッセージ]タブで非準拠メッセージを入力します。
-
ここまで設定出来たらポリシーを割り当てます。
-
Policyの左メニューから[コンプライアンス]を選択します。
-
先ほど割り当てたポリシーを選択します。
-
[GCExtensionIdentityMissing]と表示されていると思います。これはVMに拡張機能がインストールされていない且つVMにマネージドID設定がされていない場合に出力されるものです。次に拡張機能をインストールします。
拡張機能インストール
- Cloud Shellを開いてAzure CLIを使います。
- VMにアタッチされている拡張機能を表示します。
az vm extension list -g [Resource Group Name] --vm-name [VM Name] -o table
- 拡張機能をインストールします。
az vm extension set --publisher Microsoft.GuestConfiguration --name ConfigurationforWindows --extension-instance-name AzurePolicyforWindows --resource-group [Resource Group Name] --vm-name [VM Name] --enable-auto-upgrade true
- 再度確認します。[AzurePolicyforWindows]という拡張機能がインストールされていればOKです。
az vm extension list -g [Resource Group Name] --vm-name [VM Name] -o table
マネージドID設定
-
ここまででポリシーの準拠状況を見てみると、[ManagedIdentityMissing]というステータスに変わるはずです(ステータスが変わるまで数時間掛かります)。これは拡張機能はインストールされているが、対象VMのマネージドIDが有効化されていないという意味になります。
-
Azure Portalから対象VMを選択、左メニューから[ID]を選択します。
-
システム割り当てマネージドIDの状態を[オン]にして保存します。
監査結果確認
-
[ポリシー]→[コンプライアンス]の画面に戻り該当ポリシーを選択します。
-
準拠していないサーバーが検出されていることが分かります。(該当VMは数日再起動していません)
-
[詳細]ボタンを押すと、非準拠メッセージが表示されています。
-
該当VMを再起動すると、非準拠が解消されることが確認できます。
以上