作为 Cloud Service Operations 管理员,您必须确保 vRealize Automation Cloud Guardrails 与各种产品集成。Cloud Guardrails 聚合了基础架构的状态、护栏定义和以代码形式分配给环境中资源的策略。它通过在原生公有云、SaltStack SecOps、CloudHealth Secure State 等中使用策略引擎来运行代码。

要管理 AWS 环境以使其符合您的策略,您必须执行多项操作。例如,与 AWS 集成要求在 AWS 组织单位 (OU) 中考虑预防性策略的基准护栏要求。

重要说明:必须确保已在 AWS 计算机映像 (AMI) 中嵌入工作节点,才能将 Cloud Guardrails 基准安全护栏模板与 AWS 结合使用。如果未嵌入,则必须手动添加。

例如,基准云护栏的云安全预防性策略必须为每个 AWS OU 提供以下要求。

表 1. 为 AWS OU 提供的预防性策略基准护栏建议
AWS OU 的策略建议 策略强制执行的内容
标记 一组指示 OU 用途以及 Cloud Guardrails 正在管理 OU 的标记,以及所需的任何其他元数据。
CloudTrail 和 AWS 配置 CloudTrail 和 AWS Config 必须默认在 AWS OU 中处于启用状态,且不可编辑。日志必须转发到不能公开访问的日志解析器或 S3 存储桶,例如安全 OU 中安全团队拥有的 S3 存储桶。
备份策略 必须定义并实施备份策略。
明确的服务控制策略 (SCP) AWS OU 可以定义明确的服务控制策略 (SCP)(允许或拒绝),以指定 OU 中允许的确切服务和操作。此策略可以手动定义,也可以由用途标记到 SCP 的预定义映射驱动。
多因素身份验证 必须要求用户进行多因素身份验证。
完整的管理员 IAM 帐户 必须创建只有使用实时 (JIT) 机制时才可用的完全管理员 IAM 帐户。
无 root 访问权限 必须禁用 root 访问权限。
警示 必须将警示配置为监控对完全管理员帐户或 root 帐户的访问,并对这些帐户实施全面的日志记录。
批准的 IAM 角色的预设列表 必须具有已批准 IAM 角色的预设列表,可以将其分配给实施了日志记录的用户。
已实施安全策略 必须实施已知安全策略,例如所有安全组阻止从 0.0.0.0/0 到端口 22 和 3389 的输入。
VPC 的默认安全组 必须具有 VPC 的默认安全组以限制所有流量。

前提条件

下一步做什么

管理用户访问权限并开始使用 Cloud Guardrails。