身為雲端服務作業管理員,您必須確保 vRealize Automation Cloud Guardrails 與各種產品整合。Cloud Guardrails 彙總了基礎結構的狀態、護欄定義和以代碼形式指派給環境中資源的原則。它透過在原生公有雲、SaltStack SecOps、CloudHealth Secure State 等中使用原則引擎來執行代碼。

若要管理 AWS 環境以使其符合您的原則,您必須執行多項動作。例如,與 AWS 整合要求在 AWS 組織單位 (OU) 中考慮預防性原則的基準護欄需求。

重要事項:必須確保已在 AWS 機器映像 (AMI) 中內嵌部屬節點,才能將 Cloud Guardrails 基準安全護欄範本與 AWS 結合使用。如果未內嵌,則必須手動新增。

例如,基準雲端護欄的雲端安全預防性原則必須為每個 AWS OU 提供以下需求。

表 1. AWS OU 的預防性原則基準護欄建議
AWS OU 的原則建議 原則強制執行的內容
標籤 一組指示 OU 用途以及 Cloud Guardrails 正在管理 OU 的標籤,以及所需的任何其他中繼資料。
CloudTrail 和 AWS Config CloudTrail 和 AWS Config 必須預設在 AWS OU 中處於啟用狀態,且不可編輯。記錄必須轉送到不能公開存取的記錄剖析器或 S3 值區,例如安全 OU 中安全團隊擁有的 S3 值區。
備份原則 必須定義並強制執行備份原則。
明確的服務控制原則 (SCP) AWS OU 可以定義明確的服務控制原則 (SCP) (允許或拒絕),以指定 OU 中允許的確切服務和動作。此原則可以手動定義,也可以由用途標籤到 SCP 的預先定義對應驅動。
多重要素驗證 必須要求使用者進行多重要素驗證。
完整的管理員 IAM 帳戶 必須建立只有使用即時 (JIT) 機制時才可用的完全管理員 IAM 帳戶。
無根存取權 必須停用根存取權。
警示 必須將警示設定為監控對完全管理員帳戶或根帳戶的存取,並對這些帳戶強制執行全面的記錄。
已核准 IAM 角色的預設清單 必須具有已核准 IAM 角色的預設清單,可以將其指派給強制執行記錄的使用者。
已強制執行的安全性原則 必須強制執行已知安全性原則,例如,所有安全群組封鎖從 0.0.0.0/0 到連接埠 22 和 3389 的入口。
VPC 的預設安全群組 必須具有 VPC 的預設安全群組以限制所有流量。

必要條件

下一步

管理使用者存取權並開始使用 Cloud Guardrails。