En tant qu'administrateur d'opérations de cloud, vous devez vous assurer que Cloud Guardrails s'intègre à différents produits. Cloud Guardrails agrège l'état de votre infrastructure, les définitions de garde-fous et les stratégies attribuées en tant que code aux ressources de votre environnement. Il exécute le code à l'aide des moteurs de stratégie dans les clouds publics natifs, SaltStack SecOps, CloudHealth Secure State, etc.

Pour gérer votre environnement AWS afin qu'il soit conforme à vos stratégies, vous devez prendre plusieurs mesures. Par exemple, les intégrations à AWS imposent que vous teniez compte des exigences de garde-fou de ligne de base pour les stratégies préventives dans les unités d'organisation AWS.

Important : lors de l'utilisation de SaltStack, avant de pouvoir utiliser le modèle de sécurité de ligne de base de Cloud Guardrails avec AWS, vous devez vous assurer que des serviteurs sont intégrés aux images de machine AWS (AMI). Si ce n'est pas le cas, vous devez les ajouter manuellement.

Par exemple, la stratégie de sécurité cloud d'un garde-fou cloud de ligne de base doit fournir les exigences suivantes pour chaque unité d'organisation AWS.

Tableau 1. Recommandations de garde-fou de ligne de base de stratégie préventive pour les unités d'organisation AWS
Recommandations de stratégie pour les unités d'organisation AWS Ce que la stratégie applique
Balises Un ensemble de balises qui indiquent l'objectif de l'unité d'organisation et que Cloud Guardrails gère l'unité d'organisation, avec toutes les métadonnées supplémentaires requises.
Configuration de CloudTrail et AWS CloudTrail et la configuration AWS doivent être activés dans les unités d'organisation AWS par défaut et ne pas être modifiables. Les journaux doivent être transférés à un analyseur de journaux ou à un compartiment S3 qui n'est pas publiquement accessible, tel qu'un compartiment S3 détenu par une équipe de sécurité dans une unité d'organisation de sécurité.
Stratégie de sauvegarde Une stratégie de sauvegarde doit être définie et appliquée.
Effacer la stratégie de contrôle de service (SCP) L'unité d'organisation AWS peut définir une stratégie de contrôle de service (SCP) claire, qui autorise ou refuse, et spécifie les services et actions exacts autorisés dans l'unité d'organisation. Cette stratégie peut être définie manuellement ou contrôlée par un mappage prédéfini de la balise d'objectif à une stratégie SCP.
Authentification à facteurs multiples Doit exiger une authentification multifacteur pour les utilisateurs.
Compte IAM d'administration complet Vous devez créer un compte IAM d'administration complet disponible uniquement à l'aide d'un mécanisme JIT (Just-In-Time).
Aucun accès racine L'accès racine doit être désactivé.
Alertes Doit disposer d'alertes configurées pour surveiller l'accès au compte d'administrateur complet ou au compte racine, et appliquer une journalisation complète sur ces comptes.
Liste prédéfinie des rôles IAM approuvés Doit disposer d'une liste prédéfinie de rôles IAM approuvés pouvant être attribués aux utilisateurs avec la journalisation appliquée.
Stratégies de sécurité appliquées Doit appliquer des stratégies de sécurité connues, telles que tous les groupes de sécurité bloquent l'entrée de 0.0.0.0/0 vers les ports 22 et 3389.
Groupe de sécurité par défaut sur un VPC Doit disposer d'un groupe de sécurité par défaut pour un VPC qui limite tout le trafic.

En tant qu'administrateur des opérations de cloud, la première fois que vous vous connectez à vRealize Automation Cloud, vous devez vérifier les conditions préalables et effectuer plusieurs étapes.

Conditions préalables

Procédure

  1. En tant qu'administrateur des opérations de cloud ayant accès à des comptes de cloud dans différents projets, créez un projet dans Cloud Assembly.
    1. Pour créer un projet pour votre ingénieur de fiabilité du site ou administrateur des opérations financières, reportez-vous à la section Ajout d'un projet pour mon équipe de développement Cloud Assembly.
    2. Ajoutez l'administrateur de fiabilité du site ou l'administrateur des opérations financières en tant qu'administrateurs du projet.
    3. Ajoutez le nouveau rôle d'utilisateur que vRealize Automation Cloud fournit pour Cloud Guardrails à votre rôle VMware Cloud Services.
    4. Ajoutez le rôle d'utilisateur de Cloud Guardrails au persona Ingénieur de fiabilité du site ou administrateur des opérations financières.
  2. Importez les modèles de démarrage et de ligne de base que Cloud Guardrails fournit.
    1. Dans l'onglet Guardrails, cliquez sur +Nouveau.
    2. Cliquez sur À partir de la bibliothèque.
    3. Cliquez sur la fiche Démarrage.
    4. Sélectionnez un ou plusieurs modèles de démarrage et de ligne de base, puis cliquez sur Importer.
      Par exemple, sélectionnez ces modèles :
      • aws-bootstrap-with-nested-ou-and-member-accounts.sls
      • aws-member-account.sls
      • aws-organizational-unit.sls
      • landing-zone.sls
  3. Dans Cloud Assembly, exécutez le modèle pour l'état souhaité de votre zone de lancement.
    1. Dans Cloud Assembly, dans l'onglet Guardrails, cliquez sur Modèles.
    2. Cliquez sur le modèle nommé Créer une zone de lancement AWS.
      Pour les nouveaux environnements vierges et les environnements existants, les objets créés par le modèle d'état souhaité de la zone de lancement s'affichent dans la liste des objets découverts sous l'onglet Ressources.
    3. Dans le volet de navigation, cliquez sur États souhaités.
      Les états souhaités pour la zone de lancement s'affichent avec les paramètres d'entrée, le code et un lien vers le modèle source.
  4. Pour les environnements vierges et existants, attribuez les objets découverts au projet que vous avez créé pour l'administrateur de fiabilité du site ou l'administrateur des opérations financières. Les objets découverts peuvent inclure des unités d'organisation, des comptes de membres et des organisations.
    1. Dans l'onglet Guardrails, cliquez sur Environnements > Environnements de cloud et localisez l'unité d'organisation, le compte de membre ou l'organisation détecté.
    2. Cliquez sur les trois points verticaux à gauche du nom de l'objet.
    3. Cliquez sur Attribuer un projet.
    4. Sélectionnez un projet et cliquez sur Enregistrer.

Résultats

Félicitations ! Vous avez créé un projet pour votre équipe, importé les modèles de démarrage et de ligne de base, et créé un état souhaité pour votre zone de lancement.

Que faire ensuite

Gérez l'accès des utilisateurs et commencez à utiliser Cloud Guardrails pour appliquer des stratégies dans votre environnement.