VMware vRealize® Automation Cloud Guardrails™ 是策略和基础架构的置备服务。 它是一种基础架构即代码解决方案,可帮助您为环境创建配置、安全性、网络、性能和成本规则并确保环境符合这些规则。

为确保您的环境持续符合策略,Cloud Guardrails 将运行高级规则(也称为策略)。这些策略以 Idem 代码模板的形式为私有云或公有云环境提供持续监管。Cloud Guardrails 会应用这些规则,以便环境的所需状态与您策略的意图一致。

Cloud Guardrails 部署的模板包含基础架构和策略配置,通过遵循您定义的规则来管理您的环境。通过 Cloud Guardrails 模板,可以集中策略、部署自己的云护栏并观察结果。

Cloud Guardrails 策略库包括引导程序、网络、安全性、成本、配置和性能模板。

Guardrails 策略库包括引导、网络、安全性、成本、配置和性能模板。

可以在公有云或私有云中的多个层次结构级别实施护栏。例如:

  • S3 存储桶不得为公共存储桶。
  • 不允许 *.xlarge 及更大类型的 EC2 实例。
  • 仅允许美国东部区域。
  • 资源必须具有特定的标记。
  • 虚拟机必须符合 CIS OS 配置基准。

Cloud Guardrails 使用原生云策略引擎和第三方策略引擎,并通过使用服务角色和用户角色提供权限。

Cloud Guardrails 管理绿地云环境。

  • 绿地:通过 Cloud Guardrails,可以根据预定义的组织设置、网络、IAM 和安全性、成本以及性能策略创建云环境。

可以实例化和发现 Cloud Guardrails 模板,从而确保绿地和棕地应用程序持续符合所有策略。

作为 Cloud Ops 管理员,您可以使用 Cloud Guardrails 建立一组基准护栏。这些护栏以编程方式为您的环境启用云安全预防和检测、操作系统安全检测、成本和性能策略。

以下类型的策略映射到 Cloud Guardrails 库中的模板类别。

表 1. Cloud Guardrails 策略类型
策略的类型 作用
引导 导导策略创建云环境,包括 AWS 组织、组织单位和成员帐户。
安全

安全性策略在原生公有云和外部安全引擎上创建安全控制。安全性策略当前包含预防性模板、检测性模板和操作系统检测性模板。

云安全预防性策略直接应用于公有云,在一组资源中限制或强制执行操作,例如强制关闭端口或强制启用日志记录并转发到解析器。

云安全检测策略要求 VMware CloudHealth Secure State 启用特定合规性框架,以在该框架中监控一组资源是否存在违规行为。

操作系统安全检测策略要求 VMware SaltStack SecOps 根据系统类型、操作系统、基准和安全级别监控操作系统是否存在漏洞。

成本 成本计算策略要求 VMware CloudHealth 监控一组资源是否存在成本相关的违规行为,包括成本异常、预算违规和僵停资源。
性能 性能策略要求 VMware vRealize Operations 监控一组资源是否存在性能违规行为,包括 API 响应时间。
网络 网络策略处理云原生网络对象和控制的创建,包括 VPC、子网、路由和网络访问控制列表 (NACL)。
配置 配置护栏对云环境启用额外配置,包括创建 IAM 角色、创建用于记录云跟踪记录日志的 S3 存储桶,以及启用云计算管理所需的第三方工具。

基准安全护栏模板提供最佳做法。例如:

  • 通过使用服务控制策略 (SCP) 为 AWS 组织单位 (OU) 提供云安全预防性策略
  • 为 AWS 组织提供云检测策略
  • 为在 AWS 组织单位中部署的所有虚拟机提供操作系统安全策略

有关 Cloud Guardrails 策略模板的详细信息,请参见 Cloud Guardrails 模板结构是什么

要设置 Cloud Guardrails,请参见设置 Cloud Guardrails