Como administrador de operaciones de seguridad de nube, debe saber continuamente que las unidades organizativas de la zona de destino de AWS cumplen con las directivas que aplicó. Cloud Guardrails ayuda a detectar el desfase de las directivas y a exigir la conformidad.

Para garantizar que las unidades organizativas de la zona de destino de AWS cumplan con las directivas de seguridad, puede hacer que Cloud Guardrails asocie límites de protección de línea base de seguridad a la zona de destino de AWS. Cloud Guardrails incluye plantillas de seguridad que incluyen directivas y reglas de configuración. Las plantillas de seguridad aplican las reglas de configuración en las unidades organizativas de la zona de destino de AWS.

Cloud Guardrails puede aplicar directivas de límites de protección de seguridad de línea base obligatorias, altamente recomendadas y optativas a la zona de destino de AWS. Como administrador de operaciones de nube, al configurar la zona de destino de AWS, se habilitan los límites de protección obligatorios de forma predeterminada. Durante la configuración, puede seleccionar los límites de protección altamente recomendados y los optativos que necesita aplicar a su zona de destino. Más adelante puede anular su selección, según sea necesario.

Tabla 1. Plantillas de línea base de seguridad de Cloud Guardrails para unidades organizativas en la zona de destino de AWS
Tipo de barrera de seguridad Plantillas de seguridad compatibles Reglas de la plantilla que aplica Cloud Guardrails
Límites de protección obligatorios Mandatory and Strongly Recommended Guardrails SCP Policy
  • Disallow Deletion of Log Archive
  • Detect Public Read Access Setting for Log Archive
  • Detect Public Write Access Setting for Log Archive
  • Disallow Configuration Changes to AWS Config
  • Enable AWS Config in All Available Regions
Límites de protección altamente recomendados Strongly Recommended Guardrails Config Rules
  • Disallow Creation of Access Keys for the Root User
  • Disallow Actions as a Root User
  • Detect Whether Encryption is Enabled for Amazon EBS Volumes Attached to Amazon EC2 Instances
  • Detect Whether Unrestricted Incoming TCP Traffic is Allowed
  • Detect Whether Unrestricted Internet Connection Through SSH is Allowed
  • Detect Whether MFA for the Root User is Enabled
  • Detect Whether Public Read Access to Amazon S3 Buckets is Allowed
  • Detect Whether Public Write Access to Amazon S3 Buckets is Allowed
  • Detect Whether Amazon EBS Volumes are Attached to Amazon EC2 Instances
  • Detect Whether Amazon EBS Optimization is Enabled for Amazon EC2 Instances
  • Detect Whether Public Access to Amazon RDS Database Instances is Enabled
  • Detect Whether Public Access to Amazon RDS Database Snapshots is Enabled
  • Detect Whether Storage Encryption is Enabled for Amazon RDS Database Instances

Límites de protección optativos

Cloud Guardrails proporciona plantillas que admiten límites de protección optativos para las directivas de SCP y las reglas de configuración.

Elective Guardrails SCP Policy

Elective Guardrails Config Rules

  • Disallow Changes to Encryption Configuration for Amazon S3 Buckets [Previously: Enable Encryption at Rest for Log Archive]
  • Disallow Changes to Logging Configuration for Amazon S3 Buckets [Previously: Enable Access Logging for Log Archive]
  • Disallow Changes to Bucket Policy for Amazon S3 Buckets [Previously: Disallow Policy Changes to Log Archive]
  • Disallow Changes to Lifecycle Configuration for Amazon S3 Buckets [Previously: Set a Retention Policy for Log Archive]
  • Disallow Changes to Replication Configuration for Amazon S3 Buckets
  • Disallow Delete Actions on Amazon S3 Buckets Without MFA
  • Detect Whether MFA is Enabled for AWS IAM Users
  • Detect Whether MFA is Enabled for AWS IAM Users of the AWS Console
  • Detect Whether Versioning for Amazon S3 Buckets is Enabled
  • Guardrails that enhance data residency protection

Requisitos previos

Procedimiento

  1. Para aplicar las directivas de seguridad en las unidades organizativas de la zona de destino de AWS, acceda a las plantillas de directivas de Cloud Guardrails desde la instancia de vRealize Automation Cloud.
    1. En la pestaña Guardrails, haga clic en +Nuevo.
    2. Haga clic en Desde biblioteca.
    3. Haga clic en la tarjeta Seguridad.
  2. Importe la plantilla de directivas de SCP y las plantillas de configuración.
    1. Seleccione la plantilla con el nombre Directiva de SCP para límites de protección obligatorios y altamente recomendados.
    2. Seleccione la plantilla con el nombre Reglas de configuración para límites de protección altamente recomendados.
    3. Seleccione la plantilla con el nombre Directiva de SCP para límites de protección optativos.
    4. Seleccione la plantilla con el nombre Reglas de configuración para límites de protección optativos.
    Seleccione las plantillas de línea base de seguridad para las unidades organizativas en la zona de destino de AWS, y seleccione un proyecto.
  3. Haga clic en Agregar plantilla seleccionada , seleccione un proyecto y haga clic en Importar.
    Las plantillas aparecen en la lista de la pestaña Plantillas.
  4. Para crear los estados deseados, haga clic en cada plantilla y, a continuación, haga clic en Crear estado deseado.
    Por ejemplo, haga clic en Reglas de configuración para límites de protección altamente recomendados y, a continuación, haga clic en Crear estado deseado.
    La plantilla que seleccione mostrará los estados de la plantilla y el código en la plantilla.
  5. En el cuadro de diálogo Crear un estado deseado, introduzca un nombre y una descripción, y seleccione una cuenta de nube y una región. A continuación, haga clic en Crear.
  6. Cree los estados deseados para las otras plantillas de seguridad de su zona de destino.

Resultados

Enhorabuena. Para asegurarse de que las unidades organizativas de la zona de destino de AWS cumplan con las directivas de seguridad, debe importar las plantillas de seguridad para la zona de destino y crear los estados deseados.

Qué hacer a continuación

Después de crear el estado deseado, puede ejecutarlo y ver las implementaciones resultantes. Para obtener más información sobre cómo crear los estados y las implementaciones deseados, consulte Cómo crear un estado deseado de Cloud Guardrails a partir de una plantilla y aplicarlo.