クラウド セキュリティの運用管理者は、AWS ランディング ゾーンの組織単位が適用されたポリシーに準拠していることを継続的に確認する必要があります。Cloud Guardrails を使用すると、ポリシーからの逸脱を検出し、コンプライアンスを適用できます。

AWS ランディング ゾーンの組織単位がセキュリティ ポリシーに準拠していることを確認するために、Cloud Guardrails から AWS ランディング ゾーンにセキュリティ ベースラインのガードレールを適用することができます。Cloud Guardrails には、ポリシーと構成ルールを含むセキュリティ テンプレートが含まれています。セキュリティ テンプレートは、AWS ランディング ゾーンの組織単位に構成ルールを適用します。

Cloud Guardrails は、必須、強く推奨、選択的のベースライン セキュリティ ガードレール ポリシーを AWS ランディング ゾーンに適用できます。クラウド運用管理者は、AWS ランディング ゾーンを設定して、デフォルトで必須のガードレールを有効にできます。セットアップ中には、ランディング ゾーンに適用する必要がある、強く推奨されるガードレールと選択的ガードレールを選択できます。これらは、必要に応じて後で選択解除できます。

表 1. AWS ランディング ゾーン内の組織単位の Cloud Guardrails セキュリティ ベースライン テンプレート
セキュリティ ガードレールのタイプ サポートされているセキュリティ テンプレート Cloud Guardrails が適用するテンプレートのルール
必須のガードレール Mandatory and Strongly Recommended Guardrails SCP Policy
  • Disallow Deletion of Log Archive
  • Detect Public Read Access Setting for Log Archive
  • Detect Public Write Access Setting for Log Archive
  • Disallow Configuration Changes to AWS Config
  • Enable AWS Config in All Available Regions
強く推奨されるガードレール Strongly Recommended Guardrails Config Rules
  • Disallow Creation of Access Keys for the Root User
  • Disallow Actions as a Root User
  • Detect Whether Encryption is Enabled for Amazon EBS Volumes Attached to Amazon EC2 Instances
  • Detect Whether Unrestricted Incoming TCP Traffic is Allowed
  • Detect Whether Unrestricted Internet Connection Through SSH is Allowed
  • Detect Whether MFA for the Root User is Enabled
  • Detect Whether Public Read Access to Amazon S3 Buckets is Allowed
  • Detect Whether Public Write Access to Amazon S3 Buckets is Allowed
  • Detect Whether Amazon EBS Volumes are Attached to Amazon EC2 Instances
  • Detect Whether Amazon EBS Optimization is Enabled for Amazon EC2 Instances
  • Detect Whether Public Access to Amazon RDS Database Instances is Enabled
  • Detect Whether Public Access to Amazon RDS Database Snapshots is Enabled
  • Detect Whether Storage Encryption is Enabled for Amazon RDS Database Instances

選択的ガードレール

Cloud Guardrails には、SCP ポリシーおよび構成ルールに対して選択的ガードレールをサポートするテンプレートが用意されています。

Elective Guardrails SCP Policy

Elective Guardrails Config Rules

  • Disallow Changes to Encryption Configuration for Amazon S3 Buckets [Previously: Enable Encryption at Rest for Log Archive]
  • Disallow Changes to Logging Configuration for Amazon S3 Buckets [Previously: Enable Access Logging for Log Archive]
  • Disallow Changes to Bucket Policy for Amazon S3 Buckets [Previously: Disallow Policy Changes to Log Archive]
  • Disallow Changes to Lifecycle Configuration for Amazon S3 Buckets [Previously: Set a Retention Policy for Log Archive]
  • Disallow Changes to Replication Configuration for Amazon S3 Buckets
  • Disallow Delete Actions on Amazon S3 Buckets Without MFA
  • Detect Whether MFA is Enabled for AWS IAM Users
  • Detect Whether MFA is Enabled for AWS IAM Users of the AWS Console
  • Detect Whether Versioning for Amazon S3 Buckets is Enabled
  • Guardrails that enhance data residency protection

前提条件

手順

  1. AWS ランディング ゾーンの組織単位にセキュリティ ポリシーを適用するには、vRealize Automation Cloud インスタンスから Cloud Guardrails ポリシー テンプレートにアクセスします。
    1. [Guardrails] タブで、[+新規] をクリックします。
    2. [ライブラリから] をクリックします。
    3. [セキュリティ] カードをクリックします。
  2. SCP ポリシー テンプレートと構成テンプレートをインポートします。
    1. [必須のガードレールおよび強く推奨されるガードレールの SCP ポリシー] という名前のテンプレートを選択します。
    2. [強く推奨されるガードレールの構成ルール] という名前のテンプレートを選択します。
    3. [選択的ガードレールの SCP ポリシー] という名前のテンプレートを選択します。
    4. [選択的ガードレールの構成ルール] という名前のテンプレートを選択します。
    AWS ランディング ゾーンの組織単位のセキュリティ ベースライン テンプレートを選択し、プロジェクトを選択します。
  3. [選択したテンプレートの追加] をクリックし、プロジェクトを選択して、[インポート] をクリックします。
    テンプレートは、 [テンプレート] タブのリストに表示されます。
  4. 目的の状態を作成するには、各テンプレートをクリックし、[目的の状態の作成] をクリックします。
    たとえば、 [強く推奨されるガードレールの構成ルール] をクリックし、 [目的の状態の作成] をクリックします。
    選択したテンプレートには、テンプレートの状態とテンプレート内のコードが表示されます。
  5. [目的の状態の作成] ダイアログ ボックスで名前と説明を入力し、クラウド アカウントとリージョンを選択します。次に、[作成] をクリックします。
  6. ランディング ゾーンの他のセキュリティ テンプレートの目的の状態を作成します。

結果

完了です。AWS ランディング ゾーンの組織単位がセキュリティ ポリシーに確実に準拠するように、ランディング ゾーンのセキュリティ テンプレートをインポートし、目的の状態を作成しました。

次のタスク

目的の状態が作成されたら、その状態を実行し、適用結果を表示することができます。目的の状態と適用の作成の詳細については、テンプレートから Cloud Guardrails の目的の状態を作成して適用する方法を参照してください。