Como administrador de operaciones de servicio de nube, debe asegurarse de que vRealize Automation Cloud Guardrails se integre con varios productos. Cloud Guardrails agrega el estado de la infraestructura, las definiciones de límites de protección y las directivas asignadas como código a los recursos del entorno. Ejecuta el código mediante los motores de directiva en nubes públicas nativas, SaltStack SecOps, CloudHealth Secure State, etc.
Para administrar el entorno de AWS de modo que cumpla con las directivas, debe realizar varias acciones. Por ejemplo, las integraciones con AWS requieren que tenga en cuenta los requisitos de límites de protección de línea base para las directivas preventivas en las unidades organizativas (OU) de AWS.
Importante: Para poder utilizar la plantilla de límite de protección de seguridad de línea base de Cloud Guardrails con AWS, debe asegurarse de que las imágenes de máquina de AWS (AMI) tengan minions integrados. Si no es así, debe agregarlos manualmente.
Por ejemplo: la directiva preventiva de seguridad de nube para un límite de protección de nube de línea base debe proporcionar los siguientes requisitos para cada OU de AWS.
| Recomendaciones de directivas para OU de AWS | Qué aplica la directiva |
|---|---|
| Etiquetas | Un conjunto de etiquetas que indican el propósito de la OU, y que Cloud Guardrails administra la OU, con los metadatos adicionales necesarios. |
| CloudTrail y AWS Config | CloudTrail y AWS Config deben estar habilitados en las OU de AWS de forma predeterminada y no se pueden editar. Los registros deben reenviarse a un analizador de registros o un contenedor S3 al que no se pueda acceder públicamente, como un contenedor S3 que posee un equipo de seguridad en una OU de seguridad. |
| Directiva de copia de seguridad | Se debe definir y aplicar una directiva de copia de seguridad. |
| Borrar directiva de control de servicio (SCP) | La unidad organizativa de AWS puede definir una directiva de control de servicio (SCP) clara con las acciones permitir o denegar que especifique los servicios y las acciones exactos que se permiten en la OU. Esta directiva se puede definir manualmente o controlarse mediante una asignación predefinida de la etiqueta de propósito en una SCP. |
| Autenticación multifactor | Debe requerir una autenticación multifactor para los usuarios. |
| Cuenta de IAM con privilegios de administrador completos | Debe crear una cuenta de IAM con privilegios de administrador completos que solo esté disponible mediante un mecanismo Just-in-Time (JIT). |
| Sin acceso raíz | Debe tener el acceso raíz deshabilitado. |
| Alertas | Debe tener alertas configuradas para supervisar el acceso a la cuenta con privilegios de administrador completos o a la cuenta raíz, y tener un registro detallado implementado en esas cuentas. |
| Lista preestablecida de funciones de IAM aprobadas | Debe tener una lista preestablecida de funciones de IAM aprobadas que se puedan asignar a usuarios con registros aplicados. |
| Directivas de seguridad aplicadas | Debe aplicar directivas de seguridad conocidas, por ejemplo, que todos los grupos de seguridad bloqueen la entrada de 0.0.0.0/0 al puerto 22 y 3389. |
| Grupo de seguridad predeterminado para una VPC | Debe tener un grupo de seguridad predeterminado a una VPC que restrinja todo el tráfico. |
Requisitos previos
- Compruebe que la implementación de integraciones y configuraciones de productos funcione correctamente. Consulte Cómo integrar Cloud Guardrails con herramientas de administración de la nube.
- Asegúrese de configurar los permisos de usuario en su entorno. Consulte Cómo administrar el acceso de usuarios en Cloud Guardrails.
Qué hacer a continuación
Administre el acceso de los usuarios y comience a utilizar Cloud Guardrails.
