Per eseguire i modelli di criteri di Cloud Guardrails, vRealize Automation Cloud Guardrails è integrato con diversi strumenti che consentono di gestire la sicurezza dell'infrastruttura. Con questi strumenti, è possibile utilizzare procedure consigliate, applicare la configurazione, osservare l'attività e applicare protezioni coerenti nei cluster Kubernetes.

Prima di poter utilizzare determinate funzionalità in Cloud Guardrails, è necessario assicurarsi che le integrazioni di questi strumenti funzionino correttamente.

Tabella 1. Integrazioni e configurazioni
Integrazione Caso d'uso Ulteriori informazioni
Security Information and Event Management (SIEM)

I registri delle attività di un'organizzazione AWS devono essere abilitati dall'account di gestione e tutte le tracce devono essere aggregate nel bucket S3 centrale nell'account dei registri. Quindi, tale bucket deve essere esposto con Logz.io per attivare gli eventi di sicurezza in base alle regole.

Questa integrazione richiede:
  • Integrazione di SIEM tramite Logz.io.
  • Integrazione di AWS CloudTrail.

In qualità di sviluppatore, si desidera bloccare tutto l'accesso pubblico al bucket AWS S3 nel proprio account AWS utilizzando il servizio Cloud Guardrails.

Amazon GuardDuty e AWS Config Service
Quando si crea una zona di destinazione, è necessario poter:
  • Abilitare strumenti di sicurezza di terze parti come Amazon GuardDuty e AWS Config Service in modo da poter sfruttare la sicurezza e incorporare le procedure consigliate in AWS.
  • Abilitare regole di configurazione gestite da AWS per valutare se le risorse di AWS sono conformi alle procedure consigliate comuni.

Amazon GuardDuty: https://docs.aws.amazon.com/guardduty/

AWS Config Service: https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/index.html

CloudHealth Secure State

In qualità di amministratore di Cloud Ops e di sviluppatore, è possibile utilizzare il plug-in CloudHealth Secure State Idem per applicare le protezioni di configurazione e sicurezza.

Il plug-in CloudHealth Secure State Idem:
  • Supporta regole, risultati e correzioni.
  • Descrive lo stato di tutte le regole presenti e lo stato di ogni ID regola.
  • Può abilitare le regole in CloudHealth Secure State utilizzando un file SLS definito.
  • Può disabilitare le regole in CloudHealth Secure State utilizzando il file SLS definito.

Regole dell'API di CloudHealth Secure State: https://api.securestate.vmware.com/rules.

CloudHealth Secure State: https://docs.vmware.com/it/CloudHealth-Secure-State/index.html

AWS CloudWatch e AWS CloudTrail

In qualità di amministratore di Cloud Ops che crea una zona di destinazione, è possibile abilitare strumenti di osservabilità di terze parti come AWS CloudWatch e AWS CloudTrail.

Sarà necessario:
  • Abilitare AWS CloudTrail per l'account AWS utilizzando il servizio Cloud Guardrails.
  • Abilitare AWS CloudWatch per l'account AWS utilizzando il servizio Cloud Guardrails.

AWS CloudTrail è un servizio di AWS che consente di abilitare governance, conformità e controllo del rischio operativo dell'account AWS.

AWS CloudWatch è un servizio di monitoraggio e osservabilità che raccoglie dati operativi e di monitoraggio sotto forma di registri, metriche ed eventi.

Questi prodotti forniscono soluzioni di osservabilità di AWS native per:
  • Osservare i servizi di AWS.
  • Operare a livello del cloud.
  • Offrire sicurezza a livello aziendale.

Vedere anche:

Documentazione di AWS CloudWatch: https://docs.aws.amazon.com/cloudwatch/index.html

Documentazione di AWS CloudTrail: https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html

VMware Tanzu Mission Control

In qualità di ingegnere dell'affidabilità del sito, è possibile abilitare la protezione dei dati in VMware Tanzu Mission Control in modo da poter applicare protezioni coerenti nei cluster Kubernetes di cui è stato eseguito il provisioning ed eseguire il primo backup.

Utilizzando VMware Tanzu Mission Control, è possibile collegare qualsiasi cluster Kubernetes di cui è stato eseguito il provisioning e applicare i criteri di Cloud Guardrails a tali cluster.

È possibile integrare Cloud Guardrails con VMware Tanzu Mission Control tramite Idem. Per eseguire l'onboarding di un cluster Elastic Kubernetes Service (EKS), il plug-in Idem consente di applicare un manifesto Kubernetes al cluster. Per i cluster AWS Kubernetes, è possibile utilizzare le credenziali AWS per creare il token EKS che interagisce con i cluster EKS.

Sarà necessario:
  • Implementare il plug-in VMware Tanzu Mission Control.
  • Applicare il criterio che abilita la protezione dei dati nei cluster e negli spazi dei nomi in VMware Tanzu Mission Control.
VMware Tanzu Mission Control utilizza questi criteri:
  • Accesso
  • Registro immagini
  • Rete
  • Quota
  • Sicurezza
  • Personalizzato

VMware Tanzu Mission Control: http://tanzu.vmware.com/tanzu.

Documentazione di VMware Tanzu Mission Control: https://docs.vmware.com/it/VMware-Tanzu-Mission-Control/index.html

Documentazione di VMware Tanzu: https://docs.vmware.com/it/VMware-Tanzu/index.html.