Pour exécuter vos modèles de stratégie Cloud Guardrails, Cloud Guardrails intègre plusieurs outils simplifiant la gestion de la sécurité de votre infrastructure. Ces outils vous permettent d'exploiter les meilleures pratiques, d'appliquer la configuration, d'observer l'activité et d'appliquer des garde-fous cohérents sur vos clusters Kubernetes.

Avant de pouvoir utiliser certaines capacités dans Cloud Guardrails, vous devez vous assurer que les intégrations à ces outils fonctionnent correctement.

Tableau 1. Intégrations et configurations
Intégration Cas d'utilisation Plus d'informations
Amazon Web Services (AWS)

Configurez des garde-garde de ligne de base qui établissent des stratégies et des règles par programmation sur votre instance d'AWS. Les types de stratégies incluent :

  • Stratégies de sécurité cloud préventives
  • Stratégies de sécurité cloud de détection
  • Stratégies de sécurité du système d'exploitation
  • Stratégies de sécurité de coût
  • Stratégies de performance

Documentation de vRealize Automation Cloud Assembly sur AWS :

Voir aussi :

Informations de sécurité et gestion des événements (SIEM)

Les journaux d'activité d'une organisation AWS doivent être activés par le compte de gestion et toutes les pistes doivent être agrégées dans le compartiment S3 central du compte de journaux. Ensuite, ce compartiment doit être exposé avec Logz.io pour déclencher des événements de sécurité basés sur des règles.

Cette intégration vous impose les mesures suivantes :
  • Intégrer SIEM à l'aide de Logz.io.
  • Intégrer AWS CloudTrail.

En tant que développeur, vous souhaitez bloquer tout accès public au compartiment AWS S3 dans votre compte AWS à l'aide du service Cloud Guardrails.

Amazon GuardDuty et AWS Config Service
Lors de la création d'une zone de lancement, vous devez pouvoir effectuer les opérations suivantes :
  • Activer des outils de sécurité tiers tels qu'Amazon GuardDuty et AWS Config Service afin de pouvoir mettre en œuvre la sécurité et intégrer les meilleures pratiques sur AWS.
  • Activez les règles de configuration gérées par AWS pour évaluer si les ressources AWS sont conformes aux meilleures pratiques courantes.

Amazon GuardDuty : https://docs.aws.amazon.com/guardduty/

AWS Config Service : https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/index.html

CloudHealth Secure State

En tant qu'administrateur des opérations de Cloud et en tant que développeur, vous pouvez utiliser le plug-in CloudHealth Secure State Idem pour simplifier l'application de la configuration et la mise en œuvre de garde-fous de sécurité.

Plug-in CloudHealth Secure State Idem :
  • Prend en charge les règles, les résultats et les corrections.
  • Décrit l'état de toutes les règles présentes et l'état de chaque ID de règle.
  • Peut activer les règles de CloudHealth Secure State à l'aide d'un fichier SLS défini.
  • Peut désactiver les règles de CloudHealth Secure State à l'aide du fichier SLS défini.

Pour permettre l'intégration de Cloud Guardrails à CloudHealth Secure State, des jetons doivent être disponibles.

Règles de CloudHealth Secure State API : https://api.securestate.vmware.com/rules.

CloudHealth Secure State : https://docs.vmware.com/fr/CloudHealth-Secure-State/index.html

AWS CloudWatch et AWS CloudTrail

En tant qu'administrateur des opérations de Cloud qui crée une zone de lancement, vous pouvez activer des outils d'observabilité tiers, tels qu'AWS CloudWatch et AWS CloudTrail.

Vous :
  • Activer AWS CloudTrail pour votre compte AWS à l'aide du service Cloud Guardrails.
  • Activer AWS CloudWatch pour votre compte AWS à l'aide du service Cloud Guardrails.

AWS CloudTrail est un service AWS qui vous aide à activer la gouvernance, la conformité et l'audit des risques opérationnels de votre compte AWS.

AWS CloudWatch est un service de surveillance et d'observation qui collecte des données opérationnelles et de surveillance sous forme de journaux, de mesures et d'événements.

Ces produits fournissent des solutions d'observabilité AWS natives :
  • Observez les services AWS.
  • Fonctionnez à l'échelle du cloud.
  • Fournissez une sécurité au niveau de l'entreprise.

Voir aussi :

Documentation d'AWS CloudWatch : https://docs.aws.amazon.com/cloudwatch/index.html

Documentation d'AWS CloudTrail : https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html

VMware Tanzu Mission Control

En tant qu'ingénieur de fiabilité de site, vous pouvez activer la protection des données dans VMware Tanzu Mission Control afin de pouvoir appliquer des garde-fous cohérents sur vos clusters Kubernetes provisionnés et effectuer la première sauvegarde.

À l'aide de VMware Tanzu Mission Control, vous pouvez attacher n'importe quel cluster Kubernetes provisionné et lui appliquer des stratégies Cloud Guardrails.

Vous pouvez obtenir l'intégration de Cloud Guardrails à VMware Tanzu Mission Control à l'aide d'Idem. Pour intégrer un cluster EKS (Elastic Kubernetes Service), le plug-in Idem vous permet d'appliquer un manifeste Kubernetes sur le cluster. Pour les clusters AWS Kubernetes, vous pouvez utiliser les informations d'identification AWS pour créer le jeton EKS qui interagit avec les clusters EKS.

Vous :
  • Implémenter le plug-in VMware Tanzu Mission Control.
  • Appliquer la stratégie qui active la protection des données sur les clusters et les espaces de noms dans VMware Tanzu Mission Control.
VMware Tanzu Mission Control utilise les stratégies suivantes :
  • Accès
  • Registre d'image
  • Réseau
  • Quota
  • Sécurité
  • Personnalisé

VMware Tanzu Mission Control : http://tanzu.vmware.com/tanzu.

Documentation de VMware Tanzu Mission Control : https://docs.vmware.com/fr/VMware-Tanzu-Mission-Control/index.html

Documentation de VMware Tanzu : https://docs.vmware.com/fr/VMware-Tanzu/index.html.

Explorateur de coûts AWS

En tant qu'économiste Cloud, vous devez détecter les anomalies de vos dépenses cloud et fournir des recommandations pour vos comptes AWS. Pour suivre les dépenses et recommander des actions, activez l'explorateur de coûts AWS.

À l'aide de l'explorateur de coûts AWS, vous pouvez afficher des modèles de dépenses AWS dans le temps. Vous pouvez également projeter les coûts futurs, identifier les zones qui nécessitent une interrogation plus poussée, observer l'utilisation des instances réservées, observer la couverture de l'instance réservée et recevoir des recommandations d'instance réservée.

L'intégration de Cloud Guardrails à l'explorateur de coûts AWS vous permet de surveiller les dépenses en fonction des comptes liés.

Documentation de l'explorateur de coûts AWS : https://docs.aws.amazon.com/cost-management/latest/userguide/ce-what-is.html