VMware vRealize® Automation Cloud Guardrails™는 정책 및 인프라를 위한 프로비저닝 서비스입니다. 환경의 구성, 보안, 네트워크, 성능 및 비용에 대한 규칙을 준수하도록 환경을 생성하고 유지하는 데 도움이 되는 IaaS(Infrastructure-as-Code) 솔루션입니다.

Cloud Guardrails는 환경이 정책을 지속적으로 준수하도록 하기 위해 상위 수준 규칙(정책이라고도 함)을 실행합니다. 이러한 정책(Idem 코드 템플릿 형태)은 사설 클라우드 또는 공용 클라우드 환경에 대한 지속적인 거버넌스를 제공합니다. Cloud Guardrails는 이러한 규칙을 적용하여 환경의 원하는 상태가 정책 의도에 맞게 조정되도록 합니다.

Cloud Guardrails는 사용자가 정의한 규칙을 준수하여 환경을 관리하는 인프라 및 정책 구성이 포함된 템플릿을 배포합니다. Cloud Guardrails 템플릿을 사용하면 정책을 중앙 집중화하고 자체 클라우드 가드레일을 배포하고 결과를 관찰할 수 있습니다.

Cloud Guardrails 정책 라이브러리에는 부트스트랩, 네트워크, 보안, 비용, 구성 및 성능 템플릿이 포함됩니다.

Guardrails 정책 라이브러리에는 부트스트랩, 네트워크, 보안, 비용, 구성 및 성능 템플릿이 포함됩니다.

공용 또는 사설 클라우드의 여러 계층 수준에서 가드레일을 적용할 수 있습니다. 예를 들면 다음과 같습니다.

  • S3 버킷은 공용이 아니어야 합니다.
  • *.xlarge 유형 이상의 EC2 인스턴스는 허용되지 않습니다.
  • 미국 동부 지역만 허용됩니다.
  • 리소스에는 특정 태그가 있어야 합니다.
  • VM은 CIS OS 구성 벤치마크를 준수해야 합니다.

Cloud Guardrails:

  • 네이티브 클라우드 정책 엔진 및 타사 정책 엔진을 사용하며 서비스 역할 및 사용자 역할을 사용하여 권한을 제공합니다.
  • Cloud Guardrails는 신규(그린필드) 클라우드 환경을 관리합니다. 신규(그린필드) 환경의 경우, Cloud Guardrails를 사용하면 미리 정의된 조직 설정, 네트워크, IAM 및 보안, 비용, 성능에 대한 정책으로 클라우드 환경을 생성할 수 있습니다.
  • Cloud Guardrails 템플릿을 인스턴스화하고 검색할 수 있으므로 신규(그린필드) 및 기존(브라운필드) 애플리케이션이 모든 정책을 지속적으로 준수할 수 있습니다.

클라우드 운영 관리자는 Cloud Guardrails를 사용하여 기준선 가드레일 집합을 설정할 수 있습니다. 이러한 가드레일은 환경의 클라우드 보안 예방 및 감지, OS 보안 감지, 비용, 성능에 대한 정책을 프로그래밍 방식으로 사용하도록 설정합니다.

다음 유형의 정책은 Cloud Guardrails 라이브러리의 템플릿 범주에 매핑됩니다.

표 1. Cloud Guardrails 정책 유형
정책 유형 수행 작업
부트스트랩 부트스트랩 정책은 AWS 조직, 조직 구성 단위 및 멤버 계정을 포함한 클라우드 환경을 생성합니다.
보안

보안 정책은 네이티브 공용 클라우드와 외부 보안 엔진에 대한 보안 제어를 생성합니다. 현재 보안 정책에는 예방, 감지 및 OS 감지 템플릿이 포함되어 있습니다.

공용 클라우드에 직접 적용되는 클라우드 보안 예방 정책은 리소스 그룹의 작업을 제한하거나 명령합니다. 예를 들어 포트를 강제로 닫거나 로깅이 가능하도록 설정하여 구문 분석기로 전달되도록 강제 적용합니다.

클라우드 보안 감지 정책은 VMware CloudHealth Secure State가 특정 규정 준수 프레임워크를 사용하도록 설정하여 리소스 그룹에서 이 프레임워크의 위반 사항을 모니터링할 것을 요청합니다.

OS 보안 감지 정책은 VMware SaltStack SecOps가 OS에서 시스템 유형, OS, 벤치마크 및 보안 수준을 기반으로 취약성을 모니터링하도록 요청합니다.

비용 비용 정책은 VMware CloudHealth가 리소스 그룹에서 비용 이상 징후, 예산 위반 및 좀비 리소스를 비롯한 비용 관련 위반 사항을 모니터링하도록 요청합니다.
성능 성능 정책은 VMware vRealize Operations가 리소스 그룹에서 API 응답 시간을 포함한 성능 위반 사항을 모니터링하도록 요청합니다.
네트워크 네트워킹 정책은 VPC, 서브넷, 경로, NACL(Network Access Control List)을 포함한 클라우드 네이티브 네트워크 개체 및 제어의 생성을 처리합니다.
구성 구성 가드레일은 클라우드 환경에서 IAM 역할 생성, CloudTrail 로깅을 위한 S3 버킷 생성, 클라우드 관리에 필요한 타사 도구를 사용하도록 설정하는 등의 추가 구성을 가능하게 합니다.

기준선 보안 가드레일 템플릿은 모범 사례를 제공합니다. 예를 들면 다음과 같습니다.

  • SCP(서비스 제어 정책)를 사용한 AWS OU(조직 구성 단위)에 대한 클라우드 보안 예방 정책
  • AWS 조직에 대한 클라우드 감지 정책
  • AWS 조직 구성 단위에 배포된 모든 VM에 대한 OS 보안 정책

Cloud Guardrails 정책 템플릿에 대한 자세한 내용은 Cloud Guardrails 템플릿 구조 소개 항목을 참조하십시오.

Cloud Guardrails를 설정하려면 Cloud Guardrails 설정 항목을 참조하십시오.