电话咨询
业务留言
回到顶部

客户案例

文章博客

文章博客

全部文章
解决方案
企业动态

文章博客 > 文章内容

如何使用Packer镜像在Azure云中实现CIS加固?

分类:

云安全企业动态

发布日期: 2024年10月12日

在现代信息技术环境中,确保系统的性和一致性是每个组织的关键任务。为了实现这一目标,许多企业选择使用Packer工具在Azure云中创建自定义镜像,并应用CIS(互联网中心)基准进行加固。本文将详细介绍如何使用Packer在Azure云中实现CIS加固,包括安装Packer、配置Packer流水线、运行Packer流水线以及生成终的黄金镜像。

一、安装Packer

Packer是一个轻量级的开源工具,用于为常用的操作系统(如Windows、Linux)创建镜像,同时它也能支持多种云平台(如AWS、Azure、阿里云等)。在开始使用Packer之前,我们需要先在我们的环境中安装Packer。

如何使用Packer镜像在Azure云中实现CIS加固?

在Linux服务器上安装Packer的步骤如下:

1. 使用yum工具安装Packer:

yum install y yumutils

yumconfigmanager addrepo https://rpm.releases.hashicorp.com/RHEL/hashicorp.repo

yum y install packer

2. 注意:系统默认有一个名为packer的命令,这是Arch的包管理工具的旧名称,而不是HashiCorp的Packer。所以默认的packer命令已经被占用了,可以使用一定路径或者重命名再使用:

[root@localhost ~] whereis packer

packer: /usr/bin/packer /usr/sbin/packer

在这里,我们使用/usr/bin/packer。

二、配置Packer流水线

在安装完Packer之后,我们需要配置Packer流水线。在当前目录下,配置如下文件:

1. 创建主配置文件azure.pkr.hcl,定义执行的流水线步骤:

packer {

required_plugins {

azure = {

version = "=2.0.1"

source = "github.com/hashicorp/azure"

}

}

source "azurearm" "linux" {

client_id = var.client_id

client_secret = var.client_secret

subscription_id = var.subscription_id

tenant_id = var.tenant_id

cloud_environment_name = var.cloud_environment_name

}

2. 定义变量赋值配置文件values.auto.pkrvars.hcl(赋值内容根据实际项目填写):

variable "client_id" {

type = string

variable "client_secret" {

type = string

variable "subscription_id" {

type = string

variable "tenant_id" {

type = string

variable "cloud_environment_name" {

type = string

}

3. 定义变量定义配置文件variables.pkr.hcl:

variable "client_id" {

type = string

variable "client_secret" {

type = string

variable "subscription_id" {

type = string

variable "tenant_id" {

type = string

variable "cloud_environment_name" {

type = string

}

三、运行Packer流水线

在配置完Packer流水线之后,我们可以运行Packer流水线来生成镜像。运行命令如下:

/usr/bin/packer init .

运行上述命令后,Packer会根据配置文件中的步骤在Azure云中创建虚拟机,并执行Shell脚本来初始化系统配置。完成后,生成的黄金镜像会被回传至共享镜像库(SIG)。

四、Packer终效果

通过运行Packer流水线,我们可以在Azure中生成终的黄金镜像。基于该镜像,我们可以创建新的虚拟机。后续任何更新,都可以通过调整Packer流水线来完成镜像版本的迭代,十分高效和便利。

此外,Packer生成的镜像也可以与Terraform或Pulumi集成,进一步简化基础设施的管理和部署。以下是相关的参考代码:

provider "azurerm" {

features = {}

data "azurerm_shared_image_gallery_image" "example" {

name = "yourimagename"

resource_group_name = "yourresourcegroup"

resource "azurerm_virtual_machine" "example" {

name = "examplevm"

resource_group_name = "yourresourcegroup"

location = "yourlocation"

size = "Standard_DS2_v2"

admin_username = "yourusername"

admin_password = "yourpassword"

network_interface_ids = [azurerm_network_interface.example.id]

storage_image_reference {

publisher = data.azurerm_shared_image_gallery_image.example.publisher

offer = data.azurerm_shared_image_gallery_image.example.offer

sku = data.azurerm_shared_image_gallery_image.example.sku

version = data.azurerm_shared_image_gallery_image.example.version

}

os_profile {

computer_name = "examplevm"

admin_username = "yourusername"

admin_password = "yourpassword"

}

os_profile_linux_config {

disable_password_authentication = false

}

}

五、CIS标准与Puppet模块

CIS标准指的是由互联网中心(Center for Internet Security,简称CIS)制定的基准。这些基准是一系列详细的配置指南,旨在帮助组织确保其信息技术系统的性,以降低遭受网络攻击和数据泄露的风险。

为了实现CIS加固,我们可以使用Puppet模块来自动化应用CIS基准中的配置。以下是Puppet模块的安装和配置步骤:

1. 安装所需的Puppet模块:

puppet module install simpsimplib version 4.12.1

puppet module install puppetaugeasproviders_pam version 4.0.0

puppet module install puppetaugeasproviders_core version 4.1.0

puppet module install puppetaugeasproviders_grub version 5.1.0

puppet module install puppetlabsreboot version 5.0.0

puppet module install puppetkmod version 4.0.1

puppet module install puppetlabsinifile version 6.1.0

puppet module install puppetlabschocolatey version 8.0.0

puppet module install puppetlabsaugeas_core version 1.4.1

2. 配置Puppet模块来应用CIS基准中的配置:

class { 'cis':

ensure => present,

baseline => 'level1',

os => 'redhat',

}

通过上述配置,Puppet模块会自动应用CIS基准中的配置,确保系统符合CIS的要求。

六、黄金镜像的优势

创建Golden Image(黄金镜像)是一种在IT管理和部署中常见的实践,有多个原因可以解释为什么需要制作Golden Image:

1. 一致性和可重复性:Golden Image确保环境的一致性,因为它是一个经过配置和测试的标准化镜像。使用Golden Image可以确保在不同的环境中部署相同的基础设施,提供可重复的结果。

2. 快速部署:Golden Image包含了操作系统、应用程序和配置的预先安装,使得部署新系统或应用程序非常快速。这对于需要在大量机器上部署相似配置的场景非常有用。

3. 配置管理:Golden Image包含了已经配置和验证的设置,包括操作系统设置、配置、应用程序配置等。这确保了所有部署的系统都符合相同的标准。

4. 可靠性和稳定性:由于Golden Image是经过测试和验证的,因此它通常更加可靠和稳定。这减少了在生产环境中遇到问题的可能性。

5. 性:制作Golden Image时可以执行各种性操作,例如关闭不必要的服务、应用很新的补丁和配置。这有助于减少系统的潜在漏洞。

6. 容易更新:当需要对环境进行更新时,可以更新Golden Image,然后重新部署。这比逐个更新每个服务器要更为高效。

7. 支持版本控制:Golden Image可以与版本控制系统集成,允许在环境中轻松管理和跟踪不同版本的镜像。

七、

通过使用Packer在Azure云中创建包含CIS加固的自定义镜像,我们可以确保系统的一致性、性和可靠性。Packer工具的自动化配置和CIS模块的集成,使得镜像的创建和管理变得更加高效和便利。无论是快速部署新系统,还是进行系统更新,Golden Image都提供了一种的方法来提高系统部署、管理和维护的效率。

希望本文能够帮助您理解如何使用Packer在Azure云中实现CIS加固,并为您的组织提供一个、可靠和高效的IT环境。

业务标签

FinOps DevOps MSP 云安全 大数据

精选文章

联系我们

选择您关注的产品或解决方案,我们将尽快联系您!

售前咨询

400-670-5818 (周一至周五 9:30-18:00)
隐私政策

更新日期:2021年 08 月 27 日
生效日期:2021年 08 月 27 日

上海联蔚数字科技集团股份有限公司及其关联公司(简称“我们”)深知个人信息对您的重要性,我们将按照法律法规的规定,会尽全力保护您的个人信息安全可靠。我们制定本“隐私政策”并特别提示:希望您在使用我们招聘及相关服务前仔细阅读并理解本隐私政策,以便做出适当的选择。

请仔细阅读——了解我们如何收集和使用您的信息,以及您可以如何控制这些信息非常重要。有关您个人信息权益的条款重要内容我们已用加粗形式提示,请特别关注。

一、我们收集哪些信息以及如何使用信息

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
(一) 您须授权我们收集和使用您个人信息的情形
收集个人信息的目的在于向您提供产品和/或服务,并且保证我们遵守适用的相关法律、法规及其他规范性文件。请您注意,只有在您确认同意后,我们才会开始收集、使用、处理和存储您的个人信息。您有权自行选择是否同意授权提供您的个人信息,但多数情况下,如果您不提供,我们可能无法向您提供相应的服务,也无法回应您遇到的问题。

例如,当您通过我们网站申请意向职位时,我们需要您提供:真实姓名、联系方式等个人信息。这些信息包含敏感个人信息,亦属于使用我们服务所必须的信息,您可以选择不予提供,但您可能无法完全使用我们提供的招聘等服务。

为评估您是否符合我们对相关职位的预期与需求,我们可能会使用您的上述个人信息进行职位、工作能力以及相关职业资格等方面的评估,如您符合/不符合我们的预期与需求,我们可能使用您提供的手机号与您联系

(二) 收集您的设备信息
为了保障服务的安全运行及优化改进系统功能,我们也会收集您的IP 地址、操作、服务日志(即使您未向我们申请职位,仅仅是浏览我们网页)。

(三) 征得授权同意的例外
根据相关法律法规的规定,在以下情形中,我们可以在不征得您的授权同意的情况下收集、使用一些必要的个人信息:
1. 与国家安全、公共安全、公共卫生、重大公共利益直接相关的;
2. 与犯罪侦查、起诉、审判和判决执行等直接相关的;
3. 所收集的个人信息是您自行向社会公众公开的;
4. 从合法公开披露的信息中收集到您的个人信息,如从合法的新闻报道、政府信息公开等渠道;
5. 法律法规规定的其他情形。

二、我们如何共享、转让、公开披露个人信息

(一)共享
为改善我们的产品或服务水平,提高您的服务体验,我司基于合法、正当目的会遵循以下原则向第三方共享您的信息
1. 事先获得您的明确授权或同意。 获得您的明确同意,我们会与其他方共享您的个人信息;除非共享的个人信息是去标识化处理后的信息,且共享第三方无法重新识别此类信息的自然人主体。
2. 合法正当与最小必要原则:向第三方共享的数据必须具有合法正当目的,且共享的数据以达成目的必要为限。比如在收到您的职位申请后,我们进行岗位评估时,启动对您的背景调查,包括委托第三方背景调查服务提供商或向您的前雇主进行调查,可能涉及需向第三方共享您个人信息情形,但我们会坚持最小必要原则进行信息共享。
(二) 转让
我们不会转让您的个人信息给任何其他第三方,除非征得您的明确同意。
(三)披露 除非获取您的明确同意,我们不会公开披露您的个人信息。
但基于法律、法律程序、诉讼或政府主管部门强制性要求的情况下,我们会向有权机关披露您的个人信息。但我们保证,在上述情况发生时,我们会要求披露请求方必须出具与之相应的有效法律文件,同时尽合理可能对被披露的信息采取符合法律和业界标准的安全防护措施。

三、我们如何存储个人信息

(一) 存储地点
我们依照法律法规的规定,将在境内运营过程中收集和产生的您的个人信息存储于中华人民共和国境内。目前,我们不会将上述信息传输至境外,如果我们向境外传输,我们将会遵循相关国家规定及征求您的同意。
(二) 存储期限
我们仅在为实现您申请的岗位招聘之目的所必需的期间内保留您的个人信息,超出必要期限后,我们将对您的个人信息进行删除或匿名化处理,但法律法规另有规定的除外。

四、我们如何保护个人信息的安全

(一) 技术安全
我们非常重视您个人信息的安全,将努力采取合理的安全措施(包括技术方面和管理方面)来保护您的个人信息,防止您提供的个人信息被不当使用或未经授权的情况下被访问、公开披露、使用、修改、损坏、丢失或泄漏。
(二)我们已经取得公安部信息安全等级保护三级认证,并与监管机构建立了良好的沟通协调机制,及时抵御并处置各类信息安全威胁,为您的信息安全提供全方面的保障。
(三)您知悉并理解,通过互联网传输信息并不完全安全。尽管我们将实施并保持合理措施来保护您的个人信息,但我们不能保证通过本网站或以其他方式通过互联网传输的信息的安全性,有可能因我们可控范围外的因素而出现问题,因此我们强烈建议您采取积极措施保护个人信息的安全。
(四)在不幸发生个人信息安全事件后,我们将按照法律法规的要求,及时向您告知:安全事件的基本情况和可能的影响,我们已采取或将采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等等。同时,我们还将按照监管部门的要求,主动上报个人信息安全事件的处置情况。

五、访问隐私政策

您可以在我们官网页面查看本隐私政策全部内容,我们有权根据服务范围和内容的更新,适时对本隐私政策进行修订,并及时通过官方网站进行发布。

六、联系我们

如果您对本隐私政策内容有任何疑问、意见或建议,您可以通过(【(021)6196-1588 】)与我们联系,我们核查并验证您的用户身份后会及时向您反馈。

本“隐私政策”的版权为我们所有,在法律允许的范围内,我们拥有解释和修改的权利。

以下规则(以下称“使用条款”)适用于所有访问本网站的用户或浏览者,上海联蔚数字科技集团股份有有限公司和/或其关联公司(以下统称"联蔚")保留随时修改这些规则的权利。访问本网站的权利由联蔚根据下列条款授予。

一、权利归属

1. 本网站上的所有内容均受著作权法的保护,其著作权均为联蔚拥有,但注明引用他方内容除外。 2. 联蔚仅允许仅为个人目的而非商业目的的浏览、拷贝、打印、传播本网页的内容。 3. 未经联蔚许可,任何人擅自使用上述内容,均可能会侵犯联蔚权利,我们将会追究侵权者的法律责任。 4. 本网站上所使用的所有商标、商号、标识的所有权均为联蔚所拥有,但注明属于他方拥有的商标、商号、标识除外。本网站的浏览、使用在任何情况下不得被解释为被授予使用本网站出现的任何标记的许可或权利。

二、网站使用说明

1. 任何人不得出于任何非法或本使用条款禁止的目的使用本网站包含的任何内容,不得将本网站包含的任何内容用于任何非法用途,也不得唆使任何非法活动或其他侵犯联蔚或他人权利的活动。 2. 任何人不得以任何非法方式,在未经授权的情况下访问本网站及其任何部分,或接受通过本网站提供的任何服务。 3. 任何人不得使用任何自动或手动的流程、抓取设备、程序、算法或方法,来访问、获取、拷贝或监控本网站的任何组成部分或内容。 4. 任何人不得以任何方式(包括但不限于使用任何设备、软件或程序)干扰或试图干扰本网站的正常运作及其他人对本网站的正常使用。 5. 任何人在使用本网站及其内容时,需遵守国家法律法规、社会公共道德。不得利用本网站及其内容从事制作、查阅、复制和传播任何违法、侵犯他人权益等扰乱社会秩序、破坏社会稳定的行为,亦不得利用本网站及其内容从事任何危害或试图危害计算机系统及网络安全的活动。

三、第三方链接

1. 如果联蔚将来提供了若干第三方网站的超级链接或指针,提供与这些第三方网站的任何链接只是为了向用户提供方便和信息而已。 2. 所链接的任何网站中的内容不在我们联蔚的控制之下,如果用户决定访问这些网站,则完全由用户本人承担风险和责任。

四、免责条款

1. 本网站所载的材料和信息,包括但不限于文本、图片、数据、观点、建议,联蔚并不保证这些材料和内容的准确、完整和可靠性,并且明确声明不对这些材料和内容的错误或遗漏承担责任,也不对这些材料和内容作出任何明示或默示的、包括但不限于有关所有权担保、没有侵犯第三方权利、质量和没有计算机病毒的保证。 2. 联蔚并不就网址上提供的任何产品、服务或信息作出任何声明、保证或认可,所有销售的产品和服务应受实际签订的销售合同约束。联蔚不应对间接、附带、特殊或任何形式的惩罚性赔偿承担任何责任,也不应对任何利润、收入、数据、数据使用的损失承担任何责任。联蔚不对本网站的“资料”承担任何责任,不论该责任因何原因引起或者基于何种侵权理论。 3. 联蔚可以在没有任何通知或提示的情况下随时对本网站上的内容进行修改,为了得到最新版本的信息,请定时访问本网站。

五、隐私保护

1. 联蔚深知个人信息的重要性,尊重并保护每个用户的个人信息安全。 2. 用户可以通过访问《隐私政策》来了解联蔚会收集哪些数据、为什么收集这些数据,会利用这些数据做些什么及如何保护这些数据。

六、争议解决及所适用法律

因本声明或使用本网站发生争议,应当协商解决,协商不成的,各方一致同意中国上海市有管辖权的法院具有相关的管辖权,所发生的争议适用中华人民共和国法律。

版权声明

此网站上的所有内容,包括但不限于文本、设计、图表、界面及其选择和安排,作为汇集作品受版权相关法律保护,上海联蔚数字科技集团股份有限公司及其关联公司(以下统称“联蔚”)对其发行作品享有版权。对于联蔚作品,未经联蔚书面许可的使用行为,联蔚均保留追究法律责任的权利。

商标声明

联蔚网站上使用和显示的所有商标、标志皆属联蔚或其许可人所有。未经事先书面许可,任何人不得以任何方式使用联蔚名称及联蔚的商标、标记。