VMware vRealize® Automation Cloud Guardrails™ es un servicio de aprovisionamiento para políticas e infraestructuras. Es una solución de infraestructura como código que le ayuda a crear y mantener el entorno conforme con las reglas de configuración, seguridad, red, rendimiento y coste de su entorno.

Para garantizar que el entorno cumpla continuamente con las directivas, Cloud Guardrails ejecuta reglas de alto nivel, también conocidas como directivas. Estas directivas, en forma de plantillas de código Idem, proporcionan gobernanza continua para los entornos de nube pública o privada. Cloud Guardrails aplica estas reglas para que el estado deseado de su entorno se alinee con la intención de sus directivas.

Cloud Guardrails implementa plantillas que contienen la configuración de la infraestructura y la directiva que administran el entorno siguiendo las reglas que defina. Con las plantillas de Cloud Guardrails, centraliza sus directivas, implementa sus propios límites de protección de nube y observa los resultados.

La biblioteca de directivas de Cloud Guardrails incluye plantillas de arranque, red, seguridad, costes, configuración y rendimiento.

La biblioteca de directivas de Guardrails incluye plantillas de arranque, red, seguridad, coste, configuración y rendimiento.

Puede aplicar límites de protección en varios niveles jerárquicos en la nube pública o privada. Por ejemplo:

  • Los contenedores S3 no deben ser públicos.
  • La instancia EC2 de tipo *.xlarge y superior no está permitida.
  • Solo se permite la región este de EE. UU.
  • Los recursos deben tener etiquetas específicas.
  • Las máquinas virtuales deben cumplir con los bancos de pruebas de configuración del sistema operativo CIS.

Cloud Guardrails utiliza motores de directivas de nube nativos y motores de directivas de terceros, y proporciona permisos mediante el uso de funciones de servicio y funciones de usuario.

Cloud Guardrails administra entornos de nube totalmente nuevos.

  • Totalmente nuevos: Cloud Guardrails permite crear un entorno de nube con directivas para una configuración de organización predefinida, red, IAM y seguridad, coste y rendimiento.

Se pueden crear instancias y detectar plantillas de Cloud Guardrails, lo que garantiza que las aplicaciones totalmente nuevas y las existentes cumplan continuamente con todas las directivas.

Como administrador de Operaciones de nube, puede utilizar Cloud Guardrails para establecer un conjunto de límites de protección de línea base. Estos límites de protección habilitan directivas mediante programación para la prevención y detección de seguridad de la nube, la detección de seguridad del sistema operativo, el coste y el rendimiento del entorno.

Los siguientes tipos de directivas se asignan a las categorías de plantillas en la biblioteca de Cloud Guardrails.

Tabla 1. Tipos de directivas de Cloud Guardrails
Tipo de directiva Qué función tiene
Arranque Las directivas de arranque crean el entorno de nube, incluidas las organizaciones, las unidades organizativas y las cuentas de miembro de AWS.
Seguridad

Las directivas de seguridad crean controles de seguridad en la nube pública nativa y en los motores de seguridad externos. Actualmente, las directivas de seguridad contienen plantillas preventivas, de detección general y de detección de sistema operativo.

Las directivas preventivas de seguridad de nube aplicadas directamente en la nube pública restringen o exigen acciones en un grupo de recursos, como exigir que se cierre un puerto o exigir que el registro esté habilitado y se reenvíe a un analizador.

Las directivas de detección de seguridad de nube solicitan que VMware CloudHealth Secure State habilite un marco de conformidad específico que supervise un grupo de recursos en busca de infracciones en ese marco.

Las directivas de detección de seguridad del sistema operativo solicitan que VMware SaltStack SecOps supervise un sistema operativo para detectar vulnerabilidades en función del tipo de sistema, sistema operativo, banco de pruebas y nivel de seguridad.

Coste Las directivas de costes solicitan que VMware CloudHealth supervise un grupo de recursos para detectar infracciones relacionadas con los costes, incluidas las anomalías de costes, las infracciones de presupuesto y los recursos autómatas.
Rendimiento Las directivas de rendimiento solicitan que VMware vRealize Operations supervise a un grupo de recursos para detectar infracciones de rendimiento, incluido el tiempo de respuesta de la API.
Red Las directivas de redes controlan la creación de controles y objetos de red nativos en la nube, incluidos VPC, subredes, rutas y listas de control de acceso a la red (NACL).
Configuración Los límites de protección de configuración permiten configuraciones adicionales en entornos de nube, incluidas la creación de funciones de IAM y de un contenedor S3 para el registro de CloudTrail, y la habilitación de herramientas de terceros necesarias para la administración de la nube.

Las plantillas de límite de protección de seguridad de línea base ofrecen las prácticas recomendadas. Por ejemplo:

  • Una directiva preventiva de seguridad de nube para una unidad organizativa (OU) de AWS mediante la directiva de control de servicios (SCP)
  • Una directiva de detección de nube para una organización de AWS
  • Una directiva de seguridad de sistema operativo para todas las máquinas virtuales implementadas en una unidad organizativa de AWS

Para obtener más información sobre las plantillas de directiva de Cloud Guardrails, consulte Descripción de la estructura de plantillas de Cloud Guardrails.

Para configurar Cloud Guardrails, consulte Configurar Cloud Guardrails.