Cloud Service の運用管理者は、vRealize Automation Cloud Guardrails がさまざまな製品と統合されていることを確認する必要があります。Cloud Guardrails は、インフラストラクチャの状態、保護の定義、および環境内のリソースにコードとして割り当てられたポリシーを集約します。また、ネイティブ パブリック クラウド、SaltStack SecOps、CloudHealth Secure State などのポリシー エンジンを使用してコードを実行します。

AWS 環境を管理してポリシーに準拠させるには、いくつかのアクションを実行する必要があります。たとえば、AWS との統合では、AWS 組織単位 (OU) の防止ポリシーに対するベースライン保護要件を考慮する必要があります。

重要:AWS で Cloud Guardrails ベースライン セキュリティ保護テンプレートを使用する前に、AWS マシン イメージ (AMI) にミニオンが組み込まれていることを確認する必要があります。ミニオンが組み込まれていない場合は、手動で追加する必要があります。

たとえば、ベースライン Cloud Guardrails のクラウド セキュリティ防止ポリシーでは、AWS OU ごとに次の要件を提供する必要があります。

表 1. AWS OU に対する防止ポリシー ベースライン保護に関する推奨事項
AWS OU のポリシーに関する推奨事項 ポリシーによって適用される内容
タグ OU の目的と、Cloud Guardrails が必須の追加メタデータを使用して OU を管理していることを示す一連のタグ。
CloudTrail と AWS Config AWS OU では CloudTrail と AWS Config をデフォルトで有効にする必要がありますが、編集可能にすることはできません。ログは、ログ パーサ、またはセキュリティ OU のセキュリティ チームが所有する S3 バケットなど、パブリックにアクセスできないまたは S3 バケットに転送する必要があります。
バックアップ ポリシー バックアップ ポリシーを定義して適用する必要があります。
サービス コントロール ポリシー (SCP) のクリア AWS OU は、OU で許可されるサービスとアクションを正確に指定する明確なサービス コントロール ポリシー (SCP) を、許可または拒否することで定義できます。このポリシーを手動で定義または制御するには、目的のタグと SCP の事前定義されたマッピングを使用します。
多要素認証 ユーザーに多要素認証を要求する必要があります。
完全な管理 IAM アカウント ジャストインタイム (JIT) メカニズムを使用した場合にのみ使用可能な完全な管理 IAM アカウントを作成する必要があります。
root アクセスの使用不可 root アクセスが無効になっている必要があります。
アラート 完全な管理者アカウントまたは root アカウントへのアクセスを監視するようにアラートを構成し、それらのアカウントに対する詳細なログを作成する必要があります。
承認済み IAM ロールの事前設定リスト ログ作成を行うユーザーに割り当てることができる、承認済み IAM ロールの事前設定リストが必要です。
セキュリティ ポリシーの適用 すべてのセキュリティ グループが 0.0.0.0/0 からポート 22 および 3389 への入力をブロックするなど、既知のセキュリティ ポリシーを適用する必要があります。
VPC に対するデフォルトのセキュリティ グループ すべてのトラフィックを制限する、VPC に対するデフォルトのセキュリティ グループが必要です。

前提条件

次のタスク

ユーザー アクセスを管理し、Cloud Guardrails の使用を開始します。