作为 Cloud Service Operations 管理员,您必须确保 vRealize Automation Cloud Guardrails 与各种产品集成。Cloud Guardrails 聚合了基础架构的状态、护栏定义和以代码形式分配给环境中资源的策略。它通过在原生公有云、SaltStack SecOps、CloudHealth Secure State 等中使用策略引擎来运行代码。
要管理 AWS 环境以使其符合您的策略,您必须执行多项操作。例如,与 AWS 集成要求在 AWS 组织单位 (OU) 中考虑预防性策略的基准护栏要求。
重要说明:必须确保已在 AWS 计算机映像 (AMI) 中嵌入工作节点,才能将 Cloud Guardrails 基准安全护栏模板与 AWS 结合使用。如果未嵌入,则必须手动添加。
例如,基准云护栏的云安全预防性策略必须为每个 AWS OU 提供以下要求。
| AWS OU 的策略建议 | 策略强制执行的内容 |
|---|---|
| 标记 | 一组指示 OU 用途以及 Cloud Guardrails 正在管理 OU 的标记,以及所需的任何其他元数据。 |
| CloudTrail 和 AWS 配置 | CloudTrail 和 AWS Config 必须默认在 AWS OU 中处于启用状态,且不可编辑。日志必须转发到不能公开访问的日志解析器或 S3 存储桶,例如安全 OU 中安全团队拥有的 S3 存储桶。 |
| 备份策略 | 必须定义并实施备份策略。 |
| 明确的服务控制策略 (SCP) | AWS OU 可以定义明确的服务控制策略 (SCP)(允许或拒绝),以指定 OU 中允许的确切服务和操作。此策略可以手动定义,也可以由用途标记到 SCP 的预定义映射驱动。 |
| 多因素身份验证 | 必须要求用户进行多因素身份验证。 |
| 完整的管理员 IAM 帐户 | 必须创建只有使用实时 (JIT) 机制时才可用的完全管理员 IAM 帐户。 |
| 无 root 访问权限 | 必须禁用 root 访问权限。 |
| 警示 | 必须将警示配置为监控对完全管理员帐户或 root 帐户的访问,并对这些帐户实施全面的日志记录。 |
| 批准的 IAM 角色的预设列表 | 必须具有已批准 IAM 角色的预设列表,可以将其分配给实施了日志记录的用户。 |
| 已实施安全策略 | 必须实施已知安全策略,例如所有安全组阻止从 0.0.0.0/0 到端口 22 和 3389 的输入。 |
| VPC 的默认安全组 | 必须具有 VPC 的默认安全组以限制所有流量。 |
前提条件
- 确认产品集成和配置的实施正常运行。请参见如何将 Cloud Guardrails 与云计算管理工具集成。
- 确保在环境中设置用户权限。请参见如何在 Cloud Guardrails 中管理用户访问权限。
下一步做什么
管理用户访问权限并开始使用 Cloud Guardrails。
