VMware vRealize® Automation Cloud Guardrails™ 是策略和基础架构的置备服务。 它是一种基础架构即代码解决方案,可帮助您为环境创建配置、安全性、网络、性能和成本规则并确保环境符合这些规则。
为确保您的环境持续符合策略,Cloud Guardrails 将运行高级规则(也称为策略)。这些策略以 Idem 代码模板的形式为私有云或公有云环境提供持续监管。Cloud Guardrails 会应用这些规则,以便环境的所需状态与您策略的意图一致。
Cloud Guardrails 部署的模板包含基础架构和策略配置,通过遵循您定义的规则来管理您的环境。通过 Cloud Guardrails 模板,可以集中策略、部署自己的云护栏并观察结果。
Cloud Guardrails 策略库包括引导程序、网络、安全性、成本、配置和性能模板。
可以在公有云或私有云中的多个层次结构级别实施护栏。例如:
- S3 存储桶不得为公共存储桶。
- 不允许 *.xlarge 及更大类型的 EC2 实例。
- 仅允许美国东部区域。
- 资源必须具有特定的标记。
- 虚拟机必须符合 CIS OS 配置基准。
Cloud Guardrails 使用原生云策略引擎和第三方策略引擎,并通过使用服务角色和用户角色提供权限。
Cloud Guardrails 管理绿地云环境。
- 绿地:通过 Cloud Guardrails,可以根据预定义的组织设置、网络、IAM 和安全性、成本以及性能策略创建云环境。
可以实例化和发现 Cloud Guardrails 模板,从而确保绿地和棕地应用程序持续符合所有策略。
作为 Cloud Ops 管理员,您可以使用 Cloud Guardrails 建立一组基准护栏。这些护栏以编程方式为您的环境启用云安全预防和检测、操作系统安全检测、成本和性能策略。
以下类型的策略映射到 Cloud Guardrails 库中的模板类别。
| 策略的类型 | 作用 |
|---|---|
| 引导 | 导导策略创建云环境,包括 AWS 组织、组织单位和成员帐户。 |
| 安全 | 安全性策略在原生公有云和外部安全引擎上创建安全控制。安全性策略当前包含预防性模板、检测性模板和操作系统检测性模板。 云安全预防性策略直接应用于公有云,在一组资源中限制或强制执行操作,例如强制关闭端口或强制启用日志记录并转发到解析器。 云安全检测策略要求 VMware CloudHealth Secure State 启用特定合规性框架,以在该框架中监控一组资源是否存在违规行为。 操作系统安全检测策略要求 VMware SaltStack SecOps 根据系统类型、操作系统、基准和安全级别监控操作系统是否存在漏洞。 |
| 成本 | 成本计算策略要求 VMware CloudHealth 监控一组资源是否存在成本相关的违规行为,包括成本异常、预算违规和僵停资源。 |
| 性能 | 性能策略要求 VMware vRealize Operations 监控一组资源是否存在性能违规行为,包括 API 响应时间。 |
| 网络 | 网络策略处理云原生网络对象和控制的创建,包括 VPC、子网、路由和网络访问控制列表 (NACL)。 |
| 配置 | 配置护栏对云环境启用额外配置,包括创建 IAM 角色、创建用于记录云跟踪记录日志的 S3 存储桶,以及启用云计算管理所需的第三方工具。 |
基准安全护栏模板提供最佳做法。例如:
- 通过使用服务控制策略 (SCP) 为 AWS 组织单位 (OU) 提供云安全预防性策略
- 为 AWS 组织提供云检测策略
- 为在 AWS 组织单位中部署的所有虚拟机提供操作系统安全策略
有关 Cloud Guardrails 策略模板的详细信息,请参见 Cloud Guardrails 模板结构是什么。
要设置 Cloud Guardrails,请参见设置 Cloud Guardrails。
