為執行 Cloud Guardrails 原則範本,vRealize Automation Cloud Guardrails 已與多種工具整合,這些工具可協助您管理基礎結構的安全性。透過這些工具,您可以利用最佳做法、強制執行組態、觀察活動以及對 Kubernetes 叢集強制執行一致的護欄。

您必須確保與這些工具的整合正常運作,然後才能在 Cloud Guardrails 中使用某些功能。

表 1. 整合和設定
整合 使用案例 更多資訊
安全性資訊和事件管理 (SIEM)

AWS 組織的活動記錄必須由管理帳戶啟用,並且所有軌跡都必須彙總到記錄帳戶的中央 S3 值區中。然後,必須使用 Logz.io 公開該值區,以根據規則觸發安全事件。

此整合具有如下要求:
  • 使用 Logz.io 整合 SIEM。
  • 整合 AWS CloudTrail。

身為開發人員,您希望使用 Cloud Guardrails 服務阻止對 AWS 帳戶中 AWS S3 值區的所有公用存取權。

Amazon GuardDuty 和 AWS Config 服務
建立登陸區域時,您必須能夠:
  • 啟用第三方安全性工具,如 Amazon GuardDuty 和 AWS Config 服務,以便可以利用安全性並在 AWS 上內嵌最佳做法。
  • 啟用 AWS 管理的組態規則以評估 AWS 資源是否符合一般最佳做法。

Amazon GuardDuty:https://docs.aws.amazon.com/guardduty/

AWS Config 服務:https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/index.html

CloudHealth Secure State

身為 Cloud Ops 管理員和開發人員,您可以使用 CloudHealth Secure State Idem 外掛程式協助強制執行組態和安全護欄。

CloudHealth Secure State Idem 外掛程式:
  • 支援規則、發現和修復。
  • 說明目前所有規則的狀態以及每個規則識別碼的狀態。
  • 可以使用定義的 SLS 檔案在 CloudHealth Secure State 中啟用規則。
  • 可以使用定義的 SLS 檔案在 CloudHealth Secure State 中停用規則。

CloudHealth Secure State API 規則:https://api.securestate.vmware.com/rules

CloudHealth Secure State:https://docs.vmware.com/tw/CloudHealth-Secure-State/index.html

AWS CloudWatch 和 AWS CloudTrail

身為建立登陸區域的 Cloud Ops 管理員,您可以啟用第三方可觀察性工具,如 AWS CloudWatch 和 AWS CloudTrail。

貴用戶將:
  • 使用 Cloud Guardrails 服務為 AWS 帳戶啟用 AWS CloudTrail。
  • 使用 Cloud Guardrails 服務為 AWS 帳戶啟用 AWS CloudWatch。

AWS CloudTrail 是一種 AWS 服務,可協助您對 AWS 帳戶進行監管、確保合規性以及稽核操作風險。

AWS CloudWatch 是一種監控和可觀察性服務,以記錄、度量和事件的形式收集監控和操作資料。

這些產品提供原生 AWS 可觀察性解決方案:
  • 觀察 AWS 服務。
  • 以雲端規模執行。
  • 提供企業級安全性。

另請參閱:

AWS CloudWatch 說明文件:https://docs.aws.amazon.com/cloudwatch/index.html

AWS CloudTrail 說明文件:https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html

VMware Tanzu Mission Control

身為網站可靠性工程師,您可以在 VMware Tanzu Mission Control 中啟用資料保護,以便對佈建的 Kubernetes 叢集強制執行一致的護欄並執行第一次備份。

透過使用 VMware Tanzu Mission Control,可以連結佈建的任何 Kubernetes 叢集,並對其套用 Cloud Guardrails 原則。

可以使用 Idem 實現 Cloud Guardrails 與 VMware Tanzu Mission Control 的整合。為使 Elastic Kubernetes Service (EKS) 叢集上線,Idem 外掛程式支援對叢集套用 Kubernetes 資訊清單。對於 AWS Kubernetes 叢集,可以使用 AWS 認證建立與 EKS 叢集互動的 EKS Token。

貴用戶將:
  • 實作 VMware Tanzu Mission Control 外掛程式。
  • 強制執行在 VMware Tanzu Mission Control 中的叢集和命名空間上啟用資料保護的原則。
VMware Tanzu Mission Control 使用以下原則:
  • 存取
  • 映像登錄
  • 網路
  • 配額
  • 安全性
  • 自訂

VMware Tanzu Mission Control:http://tanzu.vmware.com/tanzu.

VMware Tanzu Mission Control 說明文件:https://docs.vmware.com/tw/VMware-Tanzu-Mission-Control/index.html

VMware Tanzu 說明文件:https://docs.vmware.com/tw/VMware-Tanzu/index.html