En tant qu'administrateur des opérations de sécurité cloud, vous devez continuellement vous assurer que les unités d'organisation de votre zone de lancement AWS sont conformes aux stratégies que vous avez appliquées. Cloud Guardrails vous permet de détecter la dérive de vos stratégies et d'appliquer la conformité.

Pour vous assurer que les unités d'organisation de votre zone de lancement AWS sont conformes à vos stratégies de sécurité, vous pouvez faire en sorte que Cloud Guardrails attache des garde-fous de ligne de base de sécurité à votre zone de lancement AWS. Cloud Guardrails inclut des modèles de sécurité qui incluent des stratégies et des règles de configuration. Les modèles de sécurité appliquent les règles de configuration sur les unités d'organisation dans votre zone de lancement AWS.

Cloud Guardrails peut appliquer des stratégies de sécurité de ligne de base obligatoires, fortement recommandées et facultatives à votre zone de lancement AWS. En tant qu'administrateur des opérations de Cloud, la configuration de votre zone de lancement AWS active les garde-fous obligatoires par défaut. Lors de la configuration, vous pouvez sélectionner les garde-fous fortement recommandés et les garde-fous facultatifs que vous devez appliquer à votre zone de lancement, et les désélectionner ultérieurement si nécessaire.

Tableau 1. Modèles de lignes de base de sécurité Cloud Guardrails pour les unités d'organisation de votre zone de lancement AWS
Type de surveillance de sécurité Modèles de sécurité pris en charge Règles du modèle appliquées par Cloud Guardrails
Garde-fous obligatoires Mandatory and Strongly Recommended Guardrails SCP Policy
  • Disallow Deletion of Log Archive
  • Detect Public Read Access Setting for Log Archive
  • Detect Public Write Access Setting for Log Archive
  • Disallow Configuration Changes to AWS Config
  • Enable AWS Config in All Available Regions
Sous-barrières fortement recommandées Strongly Recommended Guardrails Config Rules
  • Disallow Creation of Access Keys for the Root User
  • Disallow Actions as a Root User
  • Detect Whether Encryption is Enabled for Amazon EBS Volumes Attached to Amazon EC2 Instances
  • Detect Whether Unrestricted Incoming TCP Traffic is Allowed
  • Detect Whether Unrestricted Internet Connection Through SSH is Allowed
  • Detect Whether MFA for the Root User is Enabled
  • Detect Whether Public Read Access to Amazon S3 Buckets is Allowed
  • Detect Whether Public Write Access to Amazon S3 Buckets is Allowed
  • Detect Whether Amazon EBS Volumes are Attached to Amazon EC2 Instances
  • Detect Whether Amazon EBS Optimization is Enabled for Amazon EC2 Instances
  • Detect Whether Public Access to Amazon RDS Database Instances is Enabled
  • Detect Whether Public Access to Amazon RDS Database Snapshots is Enabled
  • Detect Whether Storage Encryption is Enabled for Amazon RDS Database Instances

Garde-fous facultatifs

Cloud Guardrails fournit des modèles qui prennent en charge les garde-fous facultatifs pour les stratégies et les règles de configuration SCP.

Elective Guardrails SCP Policy

Elective Guardrails Config Rules

  • Disallow Changes to Encryption Configuration for Amazon S3 Buckets [Previously: Enable Encryption at Rest for Log Archive]
  • Disallow Changes to Logging Configuration for Amazon S3 Buckets [Previously: Enable Access Logging for Log Archive]
  • Disallow Changes to Bucket Policy for Amazon S3 Buckets [Previously: Disallow Policy Changes to Log Archive]
  • Disallow Changes to Lifecycle Configuration for Amazon S3 Buckets [Previously: Set a Retention Policy for Log Archive]
  • Disallow Changes to Replication Configuration for Amazon S3 Buckets
  • Disallow Delete Actions on Amazon S3 Buckets Without MFA
  • Detect Whether MFA is Enabled for AWS IAM Users
  • Detect Whether MFA is Enabled for AWS IAM Users of the AWS Console
  • Detect Whether Versioning for Amazon S3 Buckets is Enabled
  • Guardrails that enhance data residency protection

Conditions préalables

Procédure

  1. Pour appliquer les stratégies de sécurité aux unités d'organisation de votre zone de lancement AWS, accédez aux modèles de stratégie Cloud Guardrails à partir de votre instance de vRealize Automation Cloud.
    1. Dans l'onglet Guardrails, cliquez sur +Nouveau.
    2. Cliquez sur À partir de la bibliothèque.
    3. Cliquez sur la fiche Sécurité.
  2. Importez le modèle de stratégie SCP et les modèles de configuration.
    1. Sélectionnez le modèle nommé Stratégie SCP de garde-fous obligatoires et fortement recommandés.
    2. Sélectionnez le modèle nommé Règles de configuration de garde-fous fortement recommandés.
    3. Sélectionnez le modèle nommé Stratégie SCP de garde-fous facultatifs.
    4. Sélectionnez le modèle nommé Règles de configuration de garde-fous facultatifs.
    Vous sélectionnez les modèles de ligne de base de sécurité pour les unités d'organisation de votre zone de lancement AWS, puis sélectionnez un projet.
  3. Cliquez sur Ajouter un modèle sélectionné, sélectionnez un projet, puis cliquez sur Importer.
    Les modèles s'affichent dans la liste dans l'onglet Modèles.
  4. Pour créer les états souhaités, cliquez sur chaque modèle, puis sur Créer l'état souhaité.
    Par exemple, cliquez sur Règles de configuration de garde-fous fortement recommandés, puis cliquez sur Créer l'état souhaité.
    Le modèle que vous sélectionnez affiche les états dans le modèle et le code dans le modèle.
  5. Dans la boîte de dialogue Créer un état souhaité, entrez un nom et une description, puis sélectionnez un compte de cloud et une région. Cliquez ensuite sur Créer.
  6. Créez les états souhaités pour les autres modèles de sécurité de votre zone de lancement.

Résultats

Félicitations ! Pour vous assurer que les unités d'organisation de votre zone de lancement AWS sont conformes à vos stratégies de sécurité, vous avez importé les modèles de sécurité pour votre zone de lancement et créé les états souhaités.

Que faire ensuite

Après avoir créé l'état souhaité, vous pouvez l'exécuter et afficher les applications résultantes. Pour en savoir plus sur la création des états et des applications souhaités, reportez-vous à la section Création d'un état souhaité Cloud Guardrails à partir d'un modèle et application de cet état.