VMware vRealize® Automation Cloud Guardrails™ est un service de provisionnement pour la stratégie et l'infrastructure. Il s'agit d'une solution Infrastructure-as-Code (IaC) qui vous permet de créer et de maintenir votre environnement conforme aux règles de configuration, de sécurité, de réseau, de performances et de coût de votre environnement.

Pour s'assurer que votre environnement est en permanence conforme aux stratégies, Cloud Guardrails exécute des règles de haut niveau, également appelées stratégies. Ces stratégies, sous la forme de modèles de code Idem, assurent une gouvernance continue pour vos environnements de cloud privé ou public. Cloud Guardrails applique ces règles afin que l'état souhaité de votre environnement s'aligne sur vos stratégies.

Cloud Guardrails déploie des modèles qui contiennent du code de configuration de stratégie et d'infrastructure qui gère votre environnement en respectant les règles que vous définissez. Avec les modèles Cloud Guardrails, vous centralisez vos stratégies, déployez vos propres garde-fous cloud et observez les résultats.

La bibliothèque de stratégies Cloud Guardrails inclut des modèles de démarrage, de réseau, de sécurité, de coût, de configuration et de performances.

La bibliothèque de stratégies Cloud Guardrails inclut des modèles de démarrage, de réseau, de sécurité, de coût, de configuration et de performances.

Avec Cloud Guardrails, vous pouvez contribuer à éviter la perte de données dans votre infrastructure, même si un incident de perte de données a lieu. En appliquant des garde-fous de sécurité, de coût et d'observabilité, vous pouvez protéger votre environnement contre les pertes de données liées aux fuites de Getty, aux fuites de Git, à la rotation des clés, à l'expiration des jetons, à l'anomalie d'alarme de coût, à la détection de dépassement de budget, au CPU/GPU élevé et aux ressources zombie. La protection contre la perte de données (DLP) avec Cloud Guardrails implique ce qui suit :

  • Les garde-fous de sécurité activent l'analyse DLP sur les référentiels disponibles publiquement, fournissent l'activation de la configuration AWS dans votre infrastructure et identifient les ressources zombie.
  • Les garde-fous des coûts fournissent une détection d'anomalie et des alertes sur les anomalies de coût, les anomalies de modèle, l'interruption temporaire des comptes hors production, l'allocation du budget et les mesures clés, ainsi que les seuils de coût.
  • Les garde-fous de l'observabilité vérifient les mesures de ressources telles que les crédits de CPU et la prolifération d'utilisation des ressources.

Vous pouvez appliquer des garde-garde à plusieurs niveaux hiérarchiques dans votre cloud public ou privé. Par exemple :

  • Les compartiments S3 ne doivent pas être publics.
  • L'instance d'EC2 de type *.xlarge et au-delà n'est pas autorisée.
  • Seule la région Est des États-Unis est autorisée.
  • Les ressources doivent avoir des balises spécifiques.
  • Les machines virtuelles doivent être conformes aux évaluations de configuration du système d'exploitation CIS.

Cloud Guardrails :

  • utilise des moteurs de stratégie de cloud natifs et des moteurs de stratégie tiers, et fournit des autorisations à l'aide de rôles de service et de rôles d'utilisateur.
  • Cloud Guardrails gère les nouveaux environnements de cloud, ainsi que les environnements de cloud vierges et existants. Pour les environnements vierges, Cloud Guardrails vous permet de créer un environnement de cloud avec des stratégies pour une configuration d'organisation, un réseau, une gestion IAM, une sécurité, un coût et des performances prédéfinis.
  • Pour les environnements existants et vierges, Cloud Guardrails intègre les environnements et les valide par rapport à vos modèles, ou décrit l'environnement en tant que code pour une gestion continue.
  • Les modèles Cloud Guardrails sont instanciés et détectés, garantissant ainsi que les applications des nouveaux environnements vierges et existants sont en permanence conformes à toutes les stratégies.

En tant qu'administrateur des opérations de cloud, vous pouvez utiliser Cloud Guardrails pour établir un ensemble de garde-fous de ligne de base. Ces garde-fous activent par programmation des stratégies pour la prévention et la détection de la sécurité cloud, la détection de la sécurité du système d'exploitation, le coût et les performances de votre environnement.

Les types de stratégies suivants sont mappés aux catégories de modèles de la bibliothèque Cloud Guardrails.

Tableau 1. Types de stratégies Cloud Guardrails
Type de stratégie Fonctionnement
Démarrage Les stratégies de démarrage créent l'environnement cloud, notamment les organisations AWS, les unités d'organisation et les comptes de membres.
Sécurité

Les stratégies de sécurité créent des contrôles de sécurité sur le cloud public natif et sur les moteurs de sécurité externes. Les stratégies de sécurité contiennent actuellement des modèles préventifs, de détection et de détection du système d'exploitation. Les modèles de sécurité permettent d'appliquer des normes de sécurité spécifiques.

Les stratégies préventives de sécurité cloud appliquées directement sur le cloud public restreignent ou imposent des actions dans un groupe de ressources, telles que l'application de la fermeture d'un port ou l'application de l'activation de la journalisation et du transfert de la journalisation à un analyseur.

Les stratégies de détection de sécurité cloud imposent que VMware CloudHealth Secure State active une infrastructure de conformité spécifique qui surveille un groupe de ressources pour détecter des violations dans cette infrastructure.

Les stratégies de détection de sécurité du système d'exploitation imposent que VMware SaltStack SecOps surveille un système d'exploitation pour détecter les vulnérabilités en fonction du type de système, du système d'exploitation, de l'évaluation et du niveau de sécurité.

Coût Les stratégies d'évaluation des coûts imposent que VMware CloudHealth surveille un groupe de ressources pour les violations liées aux coûts, notamment les anomalies de coût, les violations de budget et les ressources zombie.
Performance Les stratégies de performance imposent que VMware vRealize Operations surveille un groupe de ressources pour détecter des violations de performances, notamment concernant le temps de réponse de l'API.
Réseau Les stratégies de mise en réseau gèrent la création d'objets et de contrôles réseau natifs de cloud, notamment les VPC, les sous-réseaux, les routes et les listes de contrôle d'accès réseau (NACL).
Configuration Les garde-fous de configuration permettent des configurations supplémentaires sur les environnements de cloud, notamment la création de rôles IAM, la création d'un compartiment S3 pour la journalisation des instances de CloudTrail et l'activation d'outils tiers nécessaires à la gestion du cloud.

Les modèles de surveillance de sécurité de ligne de base fournissent des recommandations. Par exemple :

  • Une stratégie préventive de sécurité cloud pour une unité d'organisation AWS en utilisant la stratégie de contrôle de service (SCP)
  • Une stratégie de détection de cloud pour une organisation AWS
  • Une stratégie de sécurité du système d'exploitation pour toutes les machines virtuelles déployées dans une unité d'organisation AWS

Pour plus d'informations sur les modèles de stratégie de Cloud Guardrails, reportez-vous à la section Quelle est la structure du modèle Cloud Guardrails.

Pour configurer Cloud Guardrails, reportez-vous à la section Configuration de Cloud Guardrails.