身為雲端服務作業管理員,您必須確保 vRealize Automation Cloud Guardrails 與各種產品整合。Cloud Guardrails 彙總了基礎結構的狀態、護欄定義和以代碼形式指派給環境中資源的原則。它透過在原生公有雲、SaltStack SecOps、CloudHealth Secure State 等中使用原則引擎來執行代碼。
若要管理 AWS 環境以使其符合您的原則,您必須執行多項動作。例如,與 AWS 整合要求在 AWS 組織單位 (OU) 中考慮預防性原則的基準護欄需求。
重要事項:必須確保已在 AWS 機器映像 (AMI) 中內嵌部屬節點,才能將 Cloud Guardrails 基準安全護欄範本與 AWS 結合使用。如果未內嵌,則必須手動新增。
例如,基準雲端護欄的雲端安全預防性原則必須為每個 AWS OU 提供以下需求。
| AWS OU 的原則建議 | 原則強制執行的內容 |
|---|---|
| 標籤 | 一組指示 OU 用途以及 Cloud Guardrails 正在管理 OU 的標籤,以及所需的任何其他中繼資料。 |
| CloudTrail 和 AWS Config | CloudTrail 和 AWS Config 必須預設在 AWS OU 中處於啟用狀態,且不可編輯。記錄必須轉送到不能公開存取的記錄剖析器或 S3 值區,例如安全 OU 中安全團隊擁有的 S3 值區。 |
| 備份原則 | 必須定義並強制執行備份原則。 |
| 明確的服務控制原則 (SCP) | AWS OU 可以定義明確的服務控制原則 (SCP) (允許或拒絕),以指定 OU 中允許的確切服務和動作。此原則可以手動定義,也可以由用途標籤到 SCP 的預先定義對應驅動。 |
| 多重要素驗證 | 必須要求使用者進行多重要素驗證。 |
| 完整的管理員 IAM 帳戶 | 必須建立只有使用即時 (JIT) 機制時才可用的完全管理員 IAM 帳戶。 |
| 無根存取權 | 必須停用根存取權。 |
| 警示 | 必須將警示設定為監控對完全管理員帳戶或根帳戶的存取,並對這些帳戶強制執行全面的記錄。 |
| 已核准 IAM 角色的預設清單 | 必須具有已核准 IAM 角色的預設清單,可以將其指派給強制執行記錄的使用者。 |
| 已強制執行的安全性原則 | 必須強制執行已知安全性原則,例如,所有安全群組封鎖從 0.0.0.0/0 到連接埠 22 和 3389 的入口。 |
| VPC 的預設安全群組 | 必須具有 VPC 的預設安全群組以限制所有流量。 |
必要條件
- 確認產品整合和組態的實作正常運作。請參閱如何將 Cloud Guardrails 與雲端管理工具整合。
- 確保在環境中設定使用者權限。請參閱如何在 Cloud Guardrails 中管理使用者存取權。
下一步
管理使用者存取權並開始使用 Cloud Guardrails。
