Als Cloud Service Operations-Administrator müssen Sie sicherstellen, dass vRealize Automation Cloud Guardrails in verschiedene Produkte integriert ist. In Cloud Guardrails werden der Zustand der Infrastruktur, die Integritätsschutzdefinitionen und die Richtlinien zusammengefasst, die den Ressourcen in Ihrer Umgebung als Code zugewiesen wurden. Der Code wird mithilfe der Richtlinien-Engines in nativen Public Clouds, SaltStack SecOps, CloudHealth Secure State usw. ausgeführt.

Um die AWS-Umgebung so zu verwalten, dass sie den Richtlinien entspricht, müssen Sie mehrere Aktionen durchführen. Beispielsweise erfordern die Integrationen mit AWS, dass Sie die Anforderungen an den Baseline-Integritätsschutz für präventive Richtlinien in AWS-Organisationseinheiten berücksichtigen.

Wichtig: Bevor Sie die Integritätsschutzvorlage der Cloud Guardrails-Sicherheits-Baseline mit AWS verwenden können, müssen Sie sicherstellen, dass Minions in AWS-Maschinen-Images (AMIs) eingebettet sind. Andernfalls müssen Sie die Minions manuell hinzufügen.

Beispielsweise muss die präventive Cloud-Sicherheitsrichtlinie für einen Baseline-Cloud-Integritätsschutz die folgenden Anforderungen für jede AWS-Organisationseinheit erfüllen.

Tabelle 1. Präventive Richtlinienempfehlungen für Baseline-Integritätsschutz für AWS-Organisationseinheiten
Richtlinienempfehlungen für AWS-Organisationseinheiten Durch die Richtlinie erzwungene Elemente
Tags Ein Tag-Satz, der neben dem Zweck der Organisationseinheit auch angibt, dass die Organisationseinheit von Cloud Guardrails verwaltet wird, wobei zusätzliche Metadaten erforderlich sind.
CloudTrail und AWS Config CloudTrail und AWS Config müssen in den AWS-Organisationseinheiten standardmäßig aktiviert sein und können nicht bearbeitet werden. Protokolle müssen an einen Protokoll-Parser oder einen S3-Bucket weitergeleitet werden, auf den nicht öffentlich zugegriffen werden kann, wie z. B. an einen S3-Bucket, über den ein Sicherheitsteam in einer Sicherheits-OE verfügt.
Sicherheitsrichtlinie Eine Sicherungsrichtlinie muss definiert und erzwungen werden.
Eindeutige Dienststeuerungsrichtlinie (SCP) Die AWS-Organisationseinheit kann eine eindeutige Dienststeuerungsrichtlinie (Service Control Policy, SCP) mit „Zulassen“ oder „Verweigern“ zur Angabe der genauen Dienste und Aktionen definieren, die in der Organisationseinheit zulässig sind. Diese Richtlinie kann manuell definiert oder durch eine vordefinierte Zuordnung des Zweck-Tags zu einem SCP gesteuert werden.
Multifaktor-Authentifizierung Für Benutzer ist Multifaktor-Authentifizierung erforderlich.
Vollständiges Admin-IAM-Konto Ein vollständiges Admin-IAM-Konto muss erstellt werden, das nur mithilfe eines JIT-Mechanismus (Just-in-Time) verfügbar ist.
Kein Root-Zugriff Root-Zugriff muss deaktiviert sein.
Warnungen Warnungen müssen konfiguriert sein, um den Zugriff auf das vollständige Administrator- oder Root-Konto zu überwachen. Darüber hinaus muss eine gründliche Protokollierung für diese Konten erzwungen werden.
Voreingestellte Liste der genehmigten IAM-Rollen Muss über eine voreingestellte Liste von genehmigten IAM-Rollen verfügen, die Benutzern mit erzwungener Protokollierung zugewiesen werden können.
Sicherheitsrichtlinien durchgesetzt Bekannte Sicherheitsrichtlinien müssen erzwungen werden, wie z. B. alle Sicherheitsgruppen blockieren den eingehenden Datenverkehr von 0.0.0.0/0 zu Port 22 und 3389.
Standardsicherheitsgruppe für eine VPC Muss über eine Standardsicherheitsgruppe für eine VPC verfügen, die den gesamten Datenverkehr einschränkt.

Voraussetzungen

Nächste Maßnahme

Verwalten Sie den Benutzerzugriff und beginnen Sie mit der Verwendung von Cloud Guardrails.