VMware vRealize® Automation Cloud Guardrails™ は、ポリシーとインフラストラクチャのプロビジョニング サービスです。 これは、環境の構成、セキュリティ、ネットワーク、パフォーマンス、およびコストのルールを作成して、環境をこれらのルールに準拠した状態に維持するのに役立つ Infrastructure-as-code ソリューションです。

環境がポリシーに継続的に準拠させるために、Cloud Guardrails はポリシーとも呼ばれる高度なルールを実行します。これらのポリシーは Idem コード テンプレートの形式を取り、プライベートまたはパブリック クラウド環境に対する継続的なガバナンスを提供します。Cloud Guardrails はこれらのルールを適用することで、環境の目的の状態をポリシーの意図に合わせて調整します。

Cloud Guardrails はユーザーが定義したルールに従って、環境を管理するインフラストラクチャおよびポリシー構成を含むテンプレートを展開します。ユーザーは Cloud Guardrails テンプレートを使用して、ポリシーの一元化、独自のクラウド保護の展開、結果の確認を行います。

Cloud Guardrails ポリシー ライブラリには、ブートストラップ、ネットワーク、セキュリティ、コスト、構成、およびパフォーマンスのテンプレートが含まれています。

Guardrails ポリシー ライブラリには、ブートストラップ、ネットワーク、セキュリティ、コスト、構成、およびパフォーマンスのテンプレートが含まれています。

パブリック クラウドまたはプライベート クラウドの複数の階層レベルで保護を実行できます。例:

  • S3 バケットをパブリックにすることはできません。
  • *.xlarge 以降のタイプの EC2 インスタンスは使用できません。
  • 使用できるのは米国東部リージョンのみです。
  • リソースには特定のタグが必要です。
  • 仮想マシンは CIS OS 構成ベンチマークに準拠している必要があります。

Cloud Guardrails は、ネイティブのクラウド ポリシー エンジンとサードパーティ製のポリシー エンジンを使用し、サービス ロールとユーザー ロールを使用して権限を提供します。

Cloud Guardrails はグリーンフィールドのクラウド環境を管理します。

  • グリーンフィールド:Cloud Guardrails では、事前定義された組織設定、ネットワーク、IAM とセキュリティ、コスト、およびパフォーマンスのポリシーを使用してクラウド環境を作成できます。

Cloud Guardrails テンプレートのインスタンス化と検出を両方実行することができます。これにより、グリーンフィールド アプリケーションと既存環境のアプリケーションがすべてのポリシーに継続的に準拠するようになります。

クラウド運用管理者は、Cloud Guardrails を使用して一連のベースライン保護を確立できます。これらの保護により、使用環境のクラウド セキュリティの防止と検出、OS セキュリティの検出、コスト、およびパフォーマンスのポリシーがプログラムで有効になります。

次のタイプのポリシーは、Cloud Guardrails ライブラリ内のテンプレートのカテゴリにマッピングされます。

表 1. Cloud Guardrails ポリシーのタイプ
ポリシーのタイプ 機能
ブートストラップ ブートストラップ ポリシーは、AWS 組織、組織単位、メンバー アカウントなどのクラウド環境を作成します。
セキュリティ

セキュリティ ポリシーは、ネイティブ パブリック クラウドおよび外部のセキュリティ エンジンでセキュリティ コントロールを作成します。セキュリティ ポリシーには現在、防止、検出、および OS 検出のテンプレートが含まれています。

パブリック クラウドに直接適用されるクラウド セキュリティ防止ポリシーは、ポートを閉じる、ログを有効にする、ログをパーサに転送するなど、リソース グループ内のアクションを制限または要求します。

クラウド セキュリティ検出ポリシーは、VMware CloudHealth Secure State によって特定のコンプライアンス フレームワークを有効にし、このフレームワーク内のリソース グループを違反について監視します。

OS セキュリティ検出ポリシーは、VMware SaltStack SecOps に対して、システム、OS、ベンチマーク、およびセキュリティ レベルのタイプに基づいて OS の脆弱性を監視します。

コスト コスト ポリシーは、VMware CloudHealth に対して、コストのアノマリ、予算違反、ゾンビ リソースなどのコスト関連の違反についてリソース グループを監視するように要求します。
パフォーマンス パフォーマンス ポリシーは、VMware vRealize Operations に対して、API 応答時間を含むパフォーマンス違反についてリソース グループを監視するように要求します。
ネットワーク ネットワーク ポリシーは、VPC、サブネット、ルート、ネットワーク アクセス コントロール リスト (NACL) などのクラウド ネイティブ ネットワーク オブジェクトおよびコントロールの作成を処理します。
構成 構成保護を行うと、IAM ロールの作成、Cloudtrail のログ用の S3 バケットの作成、クラウド管理に必要なサードパーティ製ツールの有効化など、クラウド環境で追加の構成を実行できるようになります。

ベースライン セキュリティ保護テンプレートは、ベスト プラクティスを提供します。例:

  • サービス コントロール ポリシー (SCP) を使用した AWS 組織単位 (OU) に対するクラウド セキュリティ防止ポリシー
  • AWS 組織に対するクラウド検出ポリシー
  • AWS 組織単位に展開されているすべての仮想マシンに対する OS セキュリティ ポリシー

Cloud Guardrails ポリシー テンプレートの詳細については、Cloud Guardrails テンプレートの構造についてを参照してください。

Cloud Guardrails を設定するには、Cloud Guardrails の設定を参照してください。