In qualità di amministratore di Cloud Service Operations, è necessario assicurarsi che vRealize Automation Cloud Guardrails si integri con vari prodotti. Cloud Guardrails aggrega lo stato dell'infrastruttura, le definizioni delle protezioni e i criteri assegnati come codice alle risorse nell'ambiente. Esegue il codice utilizzando i motori dei criteri nei cloud pubblici nativi, SaltStack SecOps, CloudHealth Secure State e molti altri.

Per gestire l'ambiente AWS in modo che sia conforme ai criteri, è necessario eseguire diverse azioni. Per le integrazioni con AWS è ad esempio necessario tenere presenti i requisiti della protezione della base di confronto per i criteri preventivi nelle unità organizzative di AWS.

Importante: prima di poter utilizzare il modello di protezione di sicurezza della base di confronto di Cloud Guardrails con AWS, è necessario assicurarsi che nelle immagini delle macchine di AWS siano incorporati minion. In caso contrario, è necessario aggiungerli manualmente.

Ad esempio, il criterio preventivo di sicurezza del cloud per una protezione del cloud della base di confronto deve fornire i requisiti seguenti per ogni unità organizzativa di AWS.

Tabella 1. Consigli preventivi di protezione della base di confronto del criterio per le unità organizzative di AWS
Consigli sui criteri per le unità organizzative di AWS Che cosa applica il criterio
Tag Un set di tag che indica lo scopo dell'unità organizzativa e che Cloud Guardrails gestisce l'unità organizzativa con eventuali metadati aggiuntivi necessari.
CloudTrail e AWS Config CloudTrail e AWS Config devono essere abilitati nelle unità organizzative di AWS per impostazione predefinita e non devono essere modificabili. I registri devono essere inoltrati a un parser di registri oppure a un bucket S3 non accessibile pubblicamente, ad esempio un bucket S3 di proprietà di un team di sicurezza in un'unità organizzativa di sicurezza.
Criterio di backup È necessario definire e applicare un criterio di backup.
Criterio di controllo dei servizi chiaro L'unità organizzativa di AWS può definire un criterio di controllo dei servizi chiaro, con autorizzazione o negazione, che specifichi esattamente i servizi e le azioni consentiti nell'unità organizzativa. Questo criterio può essere definito manualmente o tramite la mappatura predefinita del tag di scopo a un criterio di controllo dei servizi.
Autenticazione multifattore Deve richiedere l'autenticazione multifattore per gli utenti.
Account IAM amministratore completo Deve creare un account IAM amministratore completo che sia disponibile solo utilizzando un meccanismo Just-in-Time (JIT).
Nessun accesso root L'accesso root deve essere disabilitato.
Avvisi Devono essere configurati avvisi per monitorare l'accesso all'account amministratore completo o all'account root e a tali account deve essere applicata la registrazione completa.
Elenco predefinito di ruoli IAM approvati Deve essere presente un elenco predefinito di ruoli IAM approvati che possono essere assegnati agli utenti con la registrazione applicata.
Criteri di sicurezza applicati È necessario applicare criteri di sicurezza noti, ad esempio tutti i gruppi di sicurezza bloccano l'ingresso da 0.0.0.0/0 alle porte 22 e 3389.
Gruppo di sicurezza predefinito per un VPC Deve essere presente un gruppo di sicurezza predefinito per un VPC che limiti tutto il traffico.

Prerequisiti

Operazioni successive

Gestire l'accesso degli utenti e iniziare a utilizzare Cloud Guardrails.