L'amministratore delle operazioni di sicurezza cloud deve sapere costantemente che le unità organizzative nella zona di destinazione AWS sono conformi ai criteri applicati. Cloud Guardrails consente di rilevare la deviazione dai criteri e imporre la conformità.

Per garantire che le unità organizzative nella zona di destinazione AWS siano conformi ai criteri di sicurezza, è possibile fare in modo che Cloud Guardrails colleghi i guardrail di base di sicurezza alla zona di destinazione AWS. Cloud Guardrails include modelli di sicurezza che includono criteri e regole di configurazione. I modelli di sicurezza applicano le regole di configurazione alle unità organizzative nella zona di destinazione AWS.

Cloud Guardrails può applicare criteri di protezione di sicurezza di base obbligatori ed elettivi alla zona di destinazione AWS. Le protezioni obbligatorie restano abilitate. Tuttavia, è possibile disattivare le protezioni fortemente consigliate e le protezioni facoltative.

Tabella 1. Modelli di Cloud Guardrails di sicurezza di base per le unità organizzative nella zona di destinazione di AWS
Tipo di guardrail Modelli di sicurezza supportati Regole nel modello imposto da Cloud Guardrails
Protezioni obbligatorie Mandatory and Strongly Recommended Guardrails SCP Policy
  • Disallow Deletion of Log Archive
  • Detect Public Read Access Setting for Log Archive
  • Detect Public Write Access Setting for Log Archive
  • Disallow Configuration Changes to AWS Config
  • Enable AWS Config in All Available Regions
Protezioni fortemente consigliate Strongly Recommended Guardrails Config Rules
  • Disallow Creation of Access Keys for the Root User
  • Disallow Actions as a Root User
  • Detect Whether Encryption is Enabled for Amazon EBS Volumes Attached to Amazon EC2 Instances
  • Detect Whether Unrestricted Incoming TCP Traffic is Allowed
  • Detect Whether Unrestricted Internet Connection Through SSH is Allowed
  • Detect Whether MFA for the Root User is Enabled
  • Detect Whether Public Read Access to Amazon S3 Buckets is Allowed
  • Detect Whether Public Write Access to Amazon S3 Buckets is Allowed
  • Detect Whether Amazon EBS Volumes are Attached to Amazon EC2 Instances
  • Detect Whether Amazon EBS Optimization is Enabled for Amazon EC2 Instances
  • Detect Whether Public Access to Amazon RDS Database Instances is Enabled
  • Detect Whether Public Access to Amazon RDS Database Snapshots is Enabled
  • Detect Whether Storage Encryption is Enabled for Amazon RDS Database Instances

Protezioni facoltative

Cloud Guardrails fornisce modelli che supportano i guardrail facoltativi per i criteri SCP e le regole di configurazione.

Elective Guardrails SCP Policy

Elective Guardrails Config Rules

  • Disallow Changes to Encryption Configuration for Amazon S3 Buckets [Previously: Enable Encryption at Rest for Log Archive]
  • Disallow Changes to Logging Configuration for Amazon S3 Buckets [Previously: Enable Access Logging for Log Archive]
  • Disallow Changes to Bucket Policy for Amazon S3 Buckets [Previously: Disallow Policy Changes to Log Archive]
  • Disallow Changes to Lifecycle Configuration for Amazon S3 Buckets [Previously: Set a Retention Policy for Log Archive]
  • Disallow Changes to Replication Configuration for Amazon S3 Buckets
  • Disallow Delete Actions on Amazon S3 Buckets Without MFA
  • Detect Whether MFA is Enabled for AWS IAM Users
  • Detect Whether MFA is Enabled for AWS IAM Users of the AWS Console
  • Detect Whether Versioning for Amazon S3 Buckets is Enabled
  • Guardrails that enhance data residency protection

Prerequisiti

Procedura

  1. Per applicare i criteri di sicurezza alle unità organizzative della propria zona di destinazione AWS, accedere ai modelli di criteri Cloud Guardrails dall'istanza di vRealize Automation Cloud.
    1. Nella scheda Guardrails, fare clic su +Nuovo.
    2. Fare clic su Dalla libreria.
    3. Fare clic sulla scheda Sicurezza.
  2. Importare il modello di criterio SCP e i modelli di configurazione.
    1. Selezionare il modello denominato Criterio SCP di Guardrails obbligatorio e fortemente consigliato.
    2. Selezionare il modello denominato Regole di configurazione di Guardrails fortemente consigliate.
    3. Selezionare il modello denominato Criterio SCP di Guardrails facoltativo.
    4. Selezionare il modello denominato Regole di configurazione di Guardrails facoltative.
    Selezionare i modelli di sicurezza di base per le unità organizzative nella zona di destinazione di AWS e selezionare un progetto.
  3. Fare clic su Aggiungi modello selezionato, selezionare un progetto e fare clic su Importa.
    I modelli vengono visualizzati nell'elenco nella scheda Modelli.
  4. Per creare gli stati desiderati, fare clic su ciascun modello e fare clic su Crea stato desiderato.
    Ad esempio, fare clic su Regole di configurazione Guardrails fortemente consigliate e fare clic su Crea stato desiderato.
    Il modello selezionato mostra gli stati nel modello e il codice nel modello.
  5. Nella finestra di dialogo Crea stato desiderato, immettere un nome e una descrizione, quindi selezionare un account cloud e una regione. Quindi fare clic su Crea.
  6. Creare gli stati desiderati per gli altri modelli di sicurezza per la zona di destinazione.

risultati

Congratulazioni! Per assicurarsi che le unità organizzative nella zona di destinazione AWS siano conformi ai criteri di sicurezza, sono stati importati i modelli di sicurezza per la zona di destinazione e sono stati creati gli stati desiderati.

Operazioni successive

Dopo aver creato lo stato desiderato, è possibile eseguirlo e visualizzare le imposizioni risultanti. Per ulteriori informazioni sulla creazione degli stati e delle imposizioni desiderati, vedere Come creare uno stato desiderato di Cloud Guardrails da un modello e applicarlo.