Zagadnienia dotyczące ładu i zgodności w systemie Red Hat Enterprise Linux na platformie Azure
W tym artykule opisano zagadnienia i zalecenia dotyczące obrazów i wystąpień systemu operacyjnego Red Hat Enterprise Linux (RHEL). Efektywne i efektywne zarządzanie i zgodność w środowisku chmury wymaga starannego wysiłku.
Zgodność wdrożeń systemu RHEL na platformie Azure odnosi się do metod używanych do definiowania, mierzenia i raportowania zgodności systemów z regułą, takich jak specyfikacja, zasady lub standard. Twoja organizacja prawdopodobnie ma wymagania dotyczące użycia systemu. Ład odnosi się do struktur i procesów używanych do definiowania specyfikacji, które należy spełnić. Ład obejmuje również sposób wymuszania tych specyfikacji i korygowania niezgodności.
Omówienie
Organizacje, szczególnie w branżach regulowanych, często potrzebują uprawnień do obsługi (ATO) do instalowania i używania oprogramowania w swoich środowiskach. Ten proces obejmuje ocenę oprogramowania pod kątem przewodnika po wymaganiach dotyczących zabezpieczeń (SRG), który jest zestawem mechanizmów kontroli technicznej. Przykładem takich mechanizmów kontroli jest zabezpieczenia i mechanizmy kontroli prywatności w Krajowym Instytucie Standardów i Technologii (NIST) dla systemów informacyjnych i organizacji.
Ta ocena zabezpieczeń określa, czy oprogramowanie spełnia każdą kontrolę, czy można skonfigurować oprogramowanie tak, aby spełniało każdą kontrolę. Ocena określa również, czy kontrolka ma zastosowanie do określonego oprogramowania. Struktura zapewniania ładu w organizacji określa, które przepisy mają zastosowanie we wdrożeniu platformy Azure i do których systemów mają zastosowanie przepisy. Przestrzeganie wymagań dotyczących zabezpieczeń określa poziom zgodności.
System Red Hat współpracuje z wieloma jednostkami standardów, aby zapewnić, że punkty konfiguracji, pomiary i korygowania są znane, weryfikowane i przywoływalne dla oprogramowania platformy Azure. Organy normalizacyjne mogą tworzyć testy porównawcze lub listy kontrolne ocen, które opisują SRG dla swojej branży. Przykładami tych testów porównawczych są:
- Payment Card Industry Data Security Standard (PCI DSS) dla branży kart płatniczych.
- Health Insurance Portability and Accountability Act (HIPPA) dla branży opieki zdrowotnej.
- Defense Information Systems Agency (DISA) i Security Technical Implementation Guide (STIG) dla instytucji rządowych i powiązanych branż.
Te listy kontrolne są dostępne w protokole Security Content and Automation Protocol (SCAP). SCAP to zestaw specyfikacji, takich jak definicje metod kontroli i automatyzacji do wymiany zawartości automatyzacji zabezpieczeń. Za pomocą tej zawartości można ocenić zgodność konfiguracji i wykryć obecność wrażliwych wersji oprogramowania. Firma Red Hat współpracuje z NIST i korporacją MITRE w celu pisania i publikowania zawartości. Narzędzia do skanowania używają zawartości do oceny i raportowania różnych standardów zgodności dla systemu operacyjnego RHEL i innego oprogramowania Red Hat.
Red Hat przyczynia się również do projektów open source, które opracowują standardowe języki i narzędzia do implementowania list kontrolnych. Otwarty projekt OpenSCAP zapewnia punkt integracji dla tych wysiłków z oprogramowaniem Red Hat. Projekt OpenSCAP łączy standardowe składniki w celu tworzenia narzędzi, których można użyć do tworzenia, konserwacji, skanowania, raportowania i analizowania wyników definicji zgodności.
Definicje zgodności są zapisywane w formacie Open Vulnerability and Assessment Language (OVAL) i Extensible Configuration Checklist Description Format (XCCDF). Oba formaty są reprezentowane w formacie XML. OVAL można traktować jako środek do definiowania i mierzenia logicznej asercji dotyczącej stanu systemu punktów końcowych. Pomyśl o XCCDF jako o sposobach wyrażania, organizowania tych asercji i zarządzania nimi w zasadach zabezpieczeń. Skaner OpenSCAP może korzystać z obu tych typów dokumentów.
Projekt Compliance as Code open source dostarcza zawartość w formatach SCAP, Ansible i innych. Zazwyczaj używasz protokołu SCAP do mierzenia i raportowania i używania rozwiązania Ansible do korygowania.
Platforma Microsoft Azure oferuje kilka ofert zgodności, aby zapewnić zgodność obciążeń z wytycznymi prawnymi. Najpierw należy zaimplementować określone standardy zgodności .
Uwagi dotyczące projektowania
W przypadku zarządzania ładem dla wystąpień RHEL w strefie docelowej platformy Azure należy wziąć pod uwagę standardy zgodności, które organizacja musi przestrzegać. Skonfiguruj ład na podstawie mechanizmów kontroli zdefiniowanych wewnętrznie i regulacyjnych, które mają zastosowanie do systemów RHEL. Wybierz narzędzia i usługi na podstawie sposobu wymuszania standardów i korygowania odchyleń. Zastanów się, jak mierzyć zgodność, i wziąć pod uwagę możliwości raportowania i korygowania. Z perspektywy implementacji te opcje mają wpływ na wiele obszarów zgodności opisanych w poprzedniej sekcji.
Standardy zgodności zawierają listy wymagań dotyczących zabezpieczeń, których można użyć do integracji zarządzania zawartością i obrazami za pomocą narzędzi automatyzacji, dzięki czemu można:
- Zdefiniuj zawartość konfiguracji systemu operacyjnego, aplikacji i zabezpieczeń w potoku, który można utworzyć.
- Stale mierz, konserwuj i dostarczaj obrazy spełniające wymagania od czasu wdrożenia.
- Stale mierz, konserwuj i koryguj trwałe wystąpienia.
Cykl życia zawartości i potoki kompilacji obrazów są idealnymi punktami wymuszania. Rozważ następujące potoki:
- Analiza i raportowanie: Platformy w chmurze oferują kompleksowe usługi, których można użyć do agregowania metadanych i danych dziennika z wdrożonych systemów. Możesz również dostarczać i przechowywać przechwycone dane na potrzeby wymagań i inspekcji raportowania regulacyjnego.
- Najpierw automatyzacja: Nowoczesne systemy automatyzacji mogą uprościć zgodność z przepisami i raportowanie oraz zwiększyć dokładność i widoczność. Implementowanie zarządzania zgodnością za pośrednictwem automatyzacji infrastruktury jako kodu (IaC) w ramach procesu wdrażania. Rozważ połączenie przepływów pracy skanowania i konserwacji, aby zapewnić terminowe raportowanie i szybką metodologię, która utrzymuje listę prac zgodności do minimum. Aby zapewnić spójność, ujednolicić kod automatyzacji implementacji i kod korygowania.
- Konserwacja zgodności: standardy zgodności są regularnie aktualizowane i mają dobrze znane mechanizmy dostarczania i typy zawartości. Upewnij się, że używasz otwartych standardów podczas implementowania zarządzania zgodnością. Projektowanie przesyłania strumieniowego zawartości zgodności i przegląd cyklu życia na potrzeby tworzenia aplikacji i obrazów.
Zalecenia dotyczące projektowania
Ład na platformie Azure obejmuje zgodność z przepisami, a także koszty, zarządzanie zasobami i skalowanie zasobów. Weź pod uwagę te zalecenia dotyczące oprogramowania Red Hat i firmy Microsoft, aby kompleksowo wdrożyć ład.
Zgodność
Firma Red Hat udostępnia zweryfikowaną zawartość w celu spełnienia wymagań dotyczących ładu. Podczas określania podstawowych i obowiązkowych wymagań dotyczących zgodności dokładnie przejrzyj istniejące źródła zawartości zgodności i kodu automatyzacji. Aby zachować kompleksowe bazy kodu, partnerzy ds. zabezpieczeń Red Hat, Microsoft i Microsoft ściśle współpracują ze standardami zgodności. Kompleksowe bazy kodu upraszczają ocenę zgodności. Możesz użyć narzędzi, takich jak aplikacja SCAP workbench dołączona do każdej subskrypcji RHEL, aby skorzystać z istniejącej zawartości i dostosować ją do konkretnych potrzeb. W przypadku każdej głównej wersji RHEL firma Red Hat udostępnia przewodnik po zabezpieczeniach SCAP (SSG), który zawiera opublikowane punkty odniesienia XCCDF dla dobrze znanych standardów zgodności.
Na przykład grupa SSG dla systemu RHEL 9 zawiera:
- ANSSI-BP-028 — ulepszone, wysokie, pośrednie, minimalne
- CCN RHEL 9 — zaawansowane, pośrednie, podstawowe
- Centrum zabezpieczeń internetowych (CIS) RHEL 9 Benchmark dla poziomu 2 — serwer
- CIS RHEL 9 Benchmark dla poziomu 1 — serwer
- CIS RHEL 9 Benchmark dla poziomu 1 — stacja robocza
- CIS RHEL 9 Benchmark dla poziomu 2 — stacja robocza
- [WERSJA ROBOCZA] Kontrolowane nieklasyfikowane informacje w systemach informacyjnych i organizacjach innych niż federalne (NIST 800-171)
- Australian Cyber Security Centre (ACSC) Essential Eight
- Podręcznik zabezpieczeń informacji ACSC (ISM) — oficjalny
- HIPAA
- Profil ochrony dla systemów operacyjnych ogólnego przeznaczenia
- Punkt odniesienia sterowania PCI DSS w wersji 3.2.1 dla systemu RHEL 9
- Punkt odniesienia kontroli PCI DSS w wersji 4.0 dla RHEL 7, RHEL 8 (RHEL-1808) i RHEL 9
- [WERSJA ROBOCZA] DISA STIG dla RHEL 9
- [WERSJA ROBOCZA] DISA STIG z graficznym interfejsem użytkownika (GUI) dla systemu RHEL 9
Zespół reagowania na zdarzenia zabezpieczeń produktu Red Hat udostępnia opublikowany strumień znanych informacji o typowych lukach w zabezpieczeniach i ekspozycjach (CVE) dla produktów Red Hat w formacie OVAL. Firma Red Hat zaleca używanie tych zasobów w ramach implementacji zgodności na platformie Azure.
Konstruktor obrazów Red Hat Satellite i RHEL zawiera zintegrowane funkcje SCAP, których można użyć do:
- Zdefiniuj obraz, który jest wzmocniony do wybranego standardu.
- Zdefiniuj profil zasad SCAP i dostosuj go do każdego obciążenia.
- Skanowanie harmonogramu dla systemów zarządzanych.
- Testowanie potoków zawartości i dostarczanie zawartości w wersji w celu spełnienia standardów.
Platforma Azure udostępnia narzędzia, których można użyć do zaimplementowania kilku standardów regulacyjnych. Aby automatycznie wymusić szeroką gamę inicjatyw, użyj inicjatyw usługi Azure Policy. Aby zaimplementować bezpieczne ustawienia dla gości systemu operacyjnego Linux, rozważ punkt odniesienia zabezpieczeń systemu Linux.
Koszt
W kontekście przetwarzania w chmurze, zwłaszcza platformy Microsoft Azure, zarządzanie kosztami odnosi się do praktyki zarządzania i optymalizowania kosztów związanych z usługami platformy Azure. Platforma Azure udostępnia zestaw narzędzi, które ułatwiają monitorowanie, kontrolowanie i optymalizowanie wydatków. Użyj tych narzędzi, aby zapewnić efektywne skalowanie i dostosowanie zasobów bez niepotrzebnych kosztów finansowych.
Zarządzanie kosztami i śledzenie kosztów na platformie Azure za pomocą usługi Microsoft Cost Management. Uzyskaj wgląd w wydatki na platformę Azure, aby zoptymalizować koszty. Aby ułatwić kontrolowanie kosztów zasobów obliczeniowych, użyj rezerwacji platformy Azure i planów oszczędności platformy Azure. Użyj tych narzędzi, aby zaimplementować efektywne strategie zapewniania ładu kosztów i pomóc firmie zmaksymalizować inwestycję w chmurę przy jednoczesnym zachowaniu kontroli nad kosztami.
Nadzór nad zasobami
Zarządzaj organizacją zasobów platformy Azure, aby efektywnie zarządzać zasobami w chmurze i zabezpieczać je, szczególnie w miarę wzrostu złożoności środowiska przedsiębiorstwa. Platforma Azure oferuje kilka narzędzi i usług, które obsługują skuteczny ład i zapewniają spójne zarządzanie zasobami, zgodność z zasadami oraz zoptymalizowane pod kątem wydajności i kosztów.
Użyj usługi Azure Policy jako bariery ochronnej, aby zachować zgodność środowiska. Użyj specyfikacji szablonu, aby upewnić się, że wdrożenia spełniają twoje wymagania dotyczące tożsamości, zabezpieczeń, kosztów i innych wymagań. Upewnij się, że masz standard nazewnictwa dla zasobów platformy Azure. Standard nazewnictwa ułatwia zarządzanie i konfigurowanie środowiska w czasie. Grupy zarządzania i zasady umożliwiają organizowanie zasobów w strefach docelowych przed wdrożeniem obciążeń w dzierżawie platformy Azure.
Aby uzyskać kompleksowe zalecenia dotyczące projektowania subskrypcji, zobacz Wskazówki dotyczące subskrypcji przewodnika Cloud Adoption Framework.
Egzekwowanie
Użyj usługi Azure Policy , aby wymusić standardy ładu i wdrożyć inicjatywy regulacyjne. Zasady platformy Azure to zabezpieczenia, które ułatwiają wymuszanie zgodności między zabezpieczeniami, kosztami, zgodnością z przepisami, zasobami i zarządzaniem. Pulpit nawigacyjny zgodności umożliwia wyświetlanie zgodności dla każdego zasobu lub zasad. Za pomocą usługi Azure Policy można również przeprowadzić korygowanie.
Za pomocą narzędzia Red Hat Satellite z platformą Ansible Automation Platform można opracowywać potoki na potrzeby dostarczania zawartości i obrazów, które integrują wymagania dotyczące zgodności obciążeń.
Aby uzyskać kompleksową analizę zgodności, użyj kolekcji Ansible certyfikowanych przez satelitę Red Hat, aby zautomatyzować zbieranie danych w celu integracji z monitorowaniem platformy Azure.