Per eseguire i modelli di criteri di Cloud Guardrails, vRealize Automation Cloud Guardrails è integrato con diversi strumenti che consentono di gestire la sicurezza dell'infrastruttura. Con questi strumenti, è possibile utilizzare procedure consigliate, applicare la configurazione, osservare l'attività e applicare protezioni coerenti nei cluster Kubernetes.
Prima di poter utilizzare determinate funzionalità in Cloud Guardrails, è necessario assicurarsi che le integrazioni di questi strumenti funzionino correttamente.
| Integrazione | Caso d'uso | Ulteriori informazioni |
|---|---|---|
| Security Information and Event Management (SIEM) | I registri delle attività di un'organizzazione AWS devono essere abilitati dall'account di gestione e tutte le tracce devono essere aggregate nel bucket S3 centrale nell'account dei registri. Quindi, tale bucket deve essere esposto con Logz.io per attivare gli eventi di sicurezza in base alle regole.
Questa integrazione richiede:
In qualità di sviluppatore, si desidera bloccare tutto l'accesso pubblico al bucket AWS S3 nel proprio account AWS utilizzando il servizio Cloud Guardrails. |
|
| Amazon GuardDuty e AWS Config Service |
Quando si crea una zona di destinazione, è necessario poter:
|
Amazon GuardDuty: https://docs.aws.amazon.com/guardduty/ AWS Config Service: https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/index.html |
| CloudHealth Secure State | In qualità di amministratore di Cloud Ops e di sviluppatore, è possibile utilizzare il plug-in CloudHealth Secure State Idem per applicare le protezioni di configurazione e sicurezza.
Il plug-in CloudHealth Secure State Idem:
|
Regole dell'API di CloudHealth Secure State: https://api.securestate.vmware.com/rules. CloudHealth Secure State: https://docs.vmware.com/it/CloudHealth-Secure-State/index.html |
| AWS CloudWatch e AWS CloudTrail | In qualità di amministratore di Cloud Ops che crea una zona di destinazione, è possibile abilitare strumenti di osservabilità di terze parti come AWS CloudWatch e AWS CloudTrail.
Sarà necessario:
|
AWS CloudTrail è un servizio di AWS che consente di abilitare governance, conformità e controllo del rischio operativo dell'account AWS. AWS CloudWatch è un servizio di monitoraggio e osservabilità che raccoglie dati operativi e di monitoraggio sotto forma di registri, metriche ed eventi.
Questi prodotti forniscono soluzioni di osservabilità di AWS native per:
Vedere anche: Documentazione di AWS CloudWatch: https://docs.aws.amazon.com/cloudwatch/index.html Documentazione di AWS CloudTrail: https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html |
| VMware Tanzu Mission Control | In qualità di ingegnere dell'affidabilità del sito, è possibile abilitare la protezione dei dati in VMware Tanzu Mission Control in modo da poter applicare protezioni coerenti nei cluster Kubernetes di cui è stato eseguito il provisioning ed eseguire il primo backup. Utilizzando VMware Tanzu Mission Control, è possibile collegare qualsiasi cluster Kubernetes di cui è stato eseguito il provisioning e applicare i criteri di Cloud Guardrails a tali cluster. È possibile integrare Cloud Guardrails con VMware Tanzu Mission Control tramite Idem. Per eseguire l'onboarding di un cluster Elastic Kubernetes Service (EKS), il plug-in Idem consente di applicare un manifesto Kubernetes al cluster. Per i cluster AWS Kubernetes, è possibile utilizzare le credenziali AWS per creare il token EKS che interagisce con i cluster EKS.
Sarà necessario:
|
VMware Tanzu Mission Control utilizza questi criteri:
VMware Tanzu Mission Control: http://tanzu.vmware.com/tanzu. Documentazione di VMware Tanzu Mission Control: https://docs.vmware.com/it/VMware-Tanzu-Mission-Control/index.html Documentazione di VMware Tanzu: https://docs.vmware.com/it/VMware-Tanzu/index.html. |
