VMware vRealize® Automation Cloud Guardrails™ は、ポリシーとインフラストラクチャのプロビジョニング サービスです。 これは、環境の構成、セキュリティ、ネットワーク、パフォーマンス、およびコストのルールを作成して、環境をこれらのルールに準拠した状態に維持するのに役立つ Infrastructure-as-code ソリューションです。
環境がポリシーに継続的に準拠させるために、Cloud Guardrails はポリシーとも呼ばれる高度なルールを実行します。これらのポリシーは Idem コード テンプレートの形式を取り、プライベートまたはパブリック クラウド環境に対する継続的なガバナンスを提供します。Cloud Guardrails はこれらのルールを適用することで、環境の目的の状態をポリシーの意図に合わせて調整します。
Cloud Guardrails はユーザーが定義したルールに従って、環境を管理するインフラストラクチャおよびポリシー構成を含むテンプレートを展開します。ユーザーは Cloud Guardrails テンプレートを使用して、ポリシーの一元化、独自のクラウド保護の展開、結果の確認を行います。
Cloud Guardrails ポリシー ライブラリには、ブートストラップ、ネットワーク、セキュリティ、コスト、構成、およびパフォーマンスのテンプレートが含まれています。
パブリック クラウドまたはプライベート クラウドの複数の階層レベルで保護を実行できます。例:
- S3 バケットをパブリックにすることはできません。
- *.xlarge 以降のタイプの EC2 インスタンスは使用できません。
- 使用できるのは米国東部リージョンのみです。
- リソースには特定のタグが必要です。
- 仮想マシンは CIS OS 構成ベンチマークに準拠している必要があります。
Cloud Guardrails は、ネイティブのクラウド ポリシー エンジンとサードパーティ製のポリシー エンジンを使用し、サービス ロールとユーザー ロールを使用して権限を提供します。
Cloud Guardrails はグリーンフィールドのクラウド環境を管理します。
- グリーンフィールド:Cloud Guardrails では、事前定義された組織設定、ネットワーク、IAM とセキュリティ、コスト、およびパフォーマンスのポリシーを使用してクラウド環境を作成できます。
Cloud Guardrails テンプレートのインスタンス化と検出を両方実行することができます。これにより、グリーンフィールド アプリケーションと既存環境のアプリケーションがすべてのポリシーに継続的に準拠するようになります。
クラウド運用管理者は、Cloud Guardrails を使用して一連のベースライン保護を確立できます。これらの保護により、使用環境のクラウド セキュリティの防止と検出、OS セキュリティの検出、コスト、およびパフォーマンスのポリシーがプログラムで有効になります。
次のタイプのポリシーは、Cloud Guardrails ライブラリ内のテンプレートのカテゴリにマッピングされます。
| ポリシーのタイプ | 機能 |
|---|---|
| ブートストラップ | ブートストラップ ポリシーは、AWS 組織、組織単位、メンバー アカウントなどのクラウド環境を作成します。 |
| セキュリティ | セキュリティ ポリシーは、ネイティブ パブリック クラウドおよび外部のセキュリティ エンジンでセキュリティ コントロールを作成します。セキュリティ ポリシーには現在、防止、検出、および OS 検出のテンプレートが含まれています。 パブリック クラウドに直接適用されるクラウド セキュリティ防止ポリシーは、ポートを閉じる、ログを有効にする、ログをパーサに転送するなど、リソース グループ内のアクションを制限または要求します。 クラウド セキュリティ検出ポリシーは、VMware CloudHealth Secure State によって特定のコンプライアンス フレームワークを有効にし、このフレームワーク内のリソース グループを違反について監視します。 OS セキュリティ検出ポリシーは、VMware SaltStack SecOps に対して、システム、OS、ベンチマーク、およびセキュリティ レベルのタイプに基づいて OS の脆弱性を監視します。 |
| コスト | コスト ポリシーは、VMware CloudHealth に対して、コストのアノマリ、予算違反、ゾンビ リソースなどのコスト関連の違反についてリソース グループを監視するように要求します。 |
| パフォーマンス | パフォーマンス ポリシーは、VMware vRealize Operations に対して、API 応答時間を含むパフォーマンス違反についてリソース グループを監視するように要求します。 |
| ネットワーク | ネットワーク ポリシーは、VPC、サブネット、ルート、ネットワーク アクセス コントロール リスト (NACL) などのクラウド ネイティブ ネットワーク オブジェクトおよびコントロールの作成を処理します。 |
| 構成 | 構成保護を行うと、IAM ロールの作成、Cloudtrail のログ用の S3 バケットの作成、クラウド管理に必要なサードパーティ製ツールの有効化など、クラウド環境で追加の構成を実行できるようになります。 |
ベースライン セキュリティ保護テンプレートは、ベスト プラクティスを提供します。例:
- サービス コントロール ポリシー (SCP) を使用した AWS 組織単位 (OU) に対するクラウド セキュリティ防止ポリシー
- AWS 組織に対するクラウド検出ポリシー
- AWS 組織単位に展開されているすべての仮想マシンに対する OS セキュリティ ポリシー
Cloud Guardrails ポリシー テンプレートの詳細については、Cloud Guardrails テンプレートの構造についてを参照してください。
Cloud Guardrails を設定するには、Cloud Guardrails の設定を参照してください。
