クラウド保護のポリシー テンプレートを実行するために、vRealize Automation Cloud Guardrails はインフラストラクチャのセキュリティ管理を支援するいくつかのツールと統合されています。これらのツールを使用することで、ベスト プラクティスの活用、構成の適用、アクティビティの確認、Kubernetes クラスタへの一貫した保護の適用を行うことができます。

Cloud Guardrails で特定の機能を使用する前に、これらのツールとの統合が正しく動作することを確認する必要があります。

表 1. 統合と構成
統合 使用事例 詳細情報
セキュリティ情報およびイベント管理 (SIEM)

管理アカウントを使用して AWS 組織のアクティビティ ログを有効にし、ログ アカウントの一元化された S3 バケットにすべての証跡を集約する必要があります。ルールに基づいてセキュリティ イベントをトリガするには、Logz.io を使用してこのバケットを公開する必要があります。

この統合を行うには、次の操作が必要になります。
  • Logz.io を使用して SIEM を統合します。
  • AWS CloudTrail を統合します。

開発者は Cloud Guardrails サービスを使用して、AWS アカウントの AWS S3 バケットに対するすべてのパブリック アクセスをブロックする必要があります。

Amazon GuardDuty および AWS Config サービス
ランディング ゾーンを作成する場合は、次の機能が必要です。
  • Amazon GuardDuty や AWS Config サービスなどのサードパーティ製セキュリティ ツールを有効にして、セキュリティの活用および AWS へのベスト プラクティスの組み込みを可能にします。
  • AWS で管理される構成ルールを有効にして、AWS リソースが一般的なベスト プラクティスに準拠しているかどうかを評価します。

Amazon GuardDuty:https://docs.aws.amazon.com/guardduty/

AWS Config サービス:https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/index.html

CloudHealth Secure State

クラウド運用管理者および開発者は、CloudHealth Secure State Idem プラグインを使用して、構成とセキュリティ保護の適用をサポートすることができます。

CloudHealth Secure State Idem プラグイン:
  • ルール、結果、および修正をサポートします。
  • 存在するすべてのルールのステータスと各ルール ID のステータスを示します。
  • 定義された SLS ファイルを使用して、CloudHealth Secure State のルールを有効にできます。
  • 定義された SLS ファイルを使用して、CloudHealth Secure State のルールを無効にできます。

CloudHealth Secure State API ルール:https://api.securestate.vmware.com/rules

CloudHealth Secure State:https://docs.vmware.com/jp/CloudHealth-Secure-State/index.html

AWS CloudWatch と AWS CloudTrail

ランディング ゾーンを作成するクラウド運用管理者は、AWS CloudWatch や AWS CloudTrail などのサードパーティ製オブザーバビリティ ツールを有効にできます。

お客様は、以下のすべてを行うものとします:
  • Cloud Guardrails サービスを使用して、AWS アカウントに対して AWS CloudTrail を有効にします。
  • Cloud Guardrails サービスを使用して、AWS アカウントに対して AWS CloudWatch を有効にします。

AWS CloudTrail は、AWS アカウントのガバナンス、コンプライアンス、および運用リスク監査を有効にするのに役立つ AWS サービスです。

AWS CloudWatch は、ログ、メトリック、およびイベントの形式で監視および運用データを収集する監視およびオブザーバビリティ サービスです。

これらの製品は、次に示すネイティブの AWS オブザーバビリティ ソリューションを提供します。
  • AWS サービスの確認。
  • クラウド規模の運用。
  • エンタープライズ レベルのセキュリティの提供。

以下も参照してください。

AWS CloudWatch のドキュメント:https://docs.aws.amazon.com/cloudwatch/index.html

AWS CloudTrail のドキュメント:https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html

VMware Tanzu Mission Control

Site Reliability Engineer は、プロビジョニングされた Kubernetes クラスタに一貫性のある保護を適用して最初のバックアップを実行するために、VMware Tanzu Mission Control でデータ保護を有効にできます。

VMware Tanzu Mission Controlを使用すると、プロビジョニングされた Kubernetes クラスタを接続し、それらに Cloud Guardrails ポリシーを適用できます。

Idem を使用して、Cloud Guardrails と VMware Tanzu Mission Control の統合を実現します。Elastic Kubernetes Service (EKS) クラスタをオンボーディングするために、Idem プラグインはユーザーがクラスタに Kubernetes マニフェストを適用することを許可します。AWS Kubernetes クラスタの場合、ユーザーは AWS 認証情報を使用して、EKS クラスタと通信する EKS トークンを作成できます。

お客様は、以下のすべてを行うものとします:
  • VMware Tanzu Mission Control プラグインを実装します。
  • VMware Tanzu Mission Control 内のクラスタおよび名前空間でデータ保護を有効にするポリシーを適用します。
VMware Tanzu Mission Control は次のポリシーを使用します。
  • アクセス
  • イメージ レジストリ
  • ネットワーク
  • 割り当て
  • セキュリティ
  • カスタム

VMware Tanzu Mission Control:http://tanzu.vmware.com/tanzu

VMware Tanzu Mission Control のドキュメント:https://docs.vmware.com/jp/VMware-Tanzu-Mission-Control/index.html

VMware Tanzu のドキュメント:https://docs.vmware.com/jp/VMware-Tanzu/index.html