Como administrador de operaciones de servicio de nube, debe asegurarse de que vRealize Automation Cloud Guardrails se integre con varios productos. Cloud Guardrails agrega el estado de la infraestructura, las definiciones de límites de protección y las directivas asignadas como código a los recursos del entorno. Ejecuta el código mediante los motores de directiva en nubes públicas nativas, SaltStack SecOps, CloudHealth Secure State, etc.

Para administrar el entorno de AWS de modo que cumpla con las directivas, debe realizar varias acciones. Por ejemplo, las integraciones con AWS requieren que tenga en cuenta los requisitos de límites de protección de línea base para las directivas preventivas en las unidades organizativas (OU) de AWS.

Importante: Para poder utilizar la plantilla de límite de protección de seguridad de línea base de Cloud Guardrails con AWS, debe asegurarse de que las imágenes de máquina de AWS (AMI) tengan minions integrados. Si no es así, debe agregarlos manualmente.

Por ejemplo: la directiva preventiva de seguridad de nube para un límite de protección de nube de línea base debe proporcionar los siguientes requisitos para cada OU de AWS.

Tabla 1. Recomendaciones de límite de protección de línea base de directiva preventiva para OU de AWS
Recomendaciones de directivas para OU de AWS Qué aplica la directiva
Etiquetas Un conjunto de etiquetas que indican el propósito de la OU, y que Cloud Guardrails administra la OU, con los metadatos adicionales necesarios.
CloudTrail y AWS Config CloudTrail y AWS Config deben estar habilitados en las OU de AWS de forma predeterminada y no se pueden editar. Los registros deben reenviarse a un analizador de registros o un contenedor S3 al que no se pueda acceder públicamente, como un contenedor S3 que posee un equipo de seguridad en una OU de seguridad.
Directiva de copia de seguridad Se debe definir y aplicar una directiva de copia de seguridad.
Borrar directiva de control de servicio (SCP) La unidad organizativa de AWS puede definir una directiva de control de servicio (SCP) clara con las acciones permitir o denegar que especifique los servicios y las acciones exactos que se permiten en la OU. Esta directiva se puede definir manualmente o controlarse mediante una asignación predefinida de la etiqueta de propósito en una SCP.
Autenticación multifactor Debe requerir una autenticación multifactor para los usuarios.
Cuenta de IAM con privilegios de administrador completos Debe crear una cuenta de IAM con privilegios de administrador completos que solo esté disponible mediante un mecanismo Just-in-Time (JIT).
Sin acceso raíz Debe tener el acceso raíz deshabilitado.
Alertas Debe tener alertas configuradas para supervisar el acceso a la cuenta con privilegios de administrador completos o a la cuenta raíz, y tener un registro detallado implementado en esas cuentas.
Lista preestablecida de funciones de IAM aprobadas Debe tener una lista preestablecida de funciones de IAM aprobadas que se puedan asignar a usuarios con registros aplicados.
Directivas de seguridad aplicadas Debe aplicar directivas de seguridad conocidas, por ejemplo, que todos los grupos de seguridad bloqueen la entrada de 0.0.0.0/0 al puerto 22 y 3389.
Grupo de seguridad predeterminado para una VPC Debe tener un grupo de seguridad predeterminado a una VPC que restrinja todo el tráfico.

Requisitos previos

Qué hacer a continuación

Administre el acceso de los usuarios y comience a utilizar Cloud Guardrails.