Consideraciones de gobernanza y cumplimiento de Red Hat Enterprise Linux en Azure
En este artículo se describen las consideraciones y recomendaciones para las imágenes e instancias del sistema operativo Red Hat Enterprise Linux (RHEL). La gobernanza y el cumplimiento eficientes y eficaces en un entorno en la nube requieren un esfuerzo diligente.
El cumplimiento de las implementaciones de RHEL en Azure hace referencia a los métodos que se usan para definir, medir e informar sobre cómo los sistemas se ajustan a una regla, como una especificación, una directiva o un estándar. Es probable que su organización tenga requisitos de uso para el sistema. La gobernanza hace referencia a las estructuras y procesos que se usan para definir las especificaciones que necesita cumplir. La gobernanza también incluye cómo aplicar esas especificaciones y cómo corregir la desalineación.
Información general
Las organizaciones, especialmente en los sectores regulados, a menudo necesitan una autoridad para operar (ATO) para instalar y usar software en sus entornos. Este proceso incluye evaluar el software con una guía de requisitos de seguridad (SRG), que es un conjunto de controles técnicos. Un ejemplo de estos controles es la seguridad y los controles de privacidad para sistemas de información y organizaciones del Instituto Nacional de Estándares y Tecnología (NIST).
Esta evaluación de seguridad determina si el software cumple cada control o si puede configurar el software para cumplir cada control. La evaluación también determina si el control se aplica a un software determinado. El marco de gobernanza de la organización determina qué normativas se aplican dentro de la implementación de Azure y a qué sistemas se aplican los reglamentos. El cumplimiento de los requisitos de seguridad determina el nivel de cumplimiento.
Red Hat funciona con muchos organismos de estandarización para garantizar que los puntos de configuración, las medidas y las correcciones sean conocidos, comprobados y a los que se pueda hacer referencia para el software de Azure. Los organismos de estandarización pueden crear pruebas comparativas o listas de comprobación de las evaluaciones que describen el SRG para su sector. Algunos ejemplos de estos bancos de prueba son los siguientes:
- Estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS) para el sector de tarjetas de pago.
- Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPPA) para el sector de la salud.
- Agencia de sistemas de información de defensa (DISA) y Guía de implementación técnica de seguridad (STIG) para los sectores gubernamentales y relacionados.
El Protocolo de automatización y contenido de seguridad (SCAP) proporciona estas listas de comprobación. SCAP es un conjunto de especificaciones, como definiciones de métodos de automatización y comprobaciones, para intercambiar contenido de automatización de seguridad. Puede usar este contenido para evaluar el cumplimiento de la configuración y detectar la presencia de versiones vulnerables de software. Red Hat trabaja con NIST y la corporación MITRE para escribir y publicar contenido. Las herramientas de análisis usan el contenido para evaluar e informar sobre una amplia variedad de estándares de cumplimiento para el sistema operativo RHEL y otro software de Red Hat.
Red Hat también contribuye a los proyectos de código abierto que desarrollan los lenguajes y herramientas estándar para implementar las listas de comprobación. El proyecto abierto OpenSCAP proporciona un punto de integración para estos esfuerzos con el software de Red Hat. El proyecto OpenSCAP combina componentes estandarizados para crear herramientas que puede usar para crear, mantener, examinar, informar y analizar los resultados de las definiciones de cumplimiento.
Las definiciones de cumplimiento se escriben en Open Vulnerability and Assessment Language (OVAL) y Extensible Configuration Checklist Description Format (XCCDF). Ambos formatos se representan en XML. Piense en OVAL como medio para definir y medir una aserción lógica sobre el estado de un sistema de punto de conexión. Piense en XCCDF como un medio para expresar, organizar y administrar esas aserciones en directivas de seguridad. El analizador OpenSCAP puede consumir ambos tipos de documento.
El proyecto de cumplimiento como código abierto entrega contenido en SCAP, Ansible y otros formatos. Normalmente, se usa SCAP para medir e informar y se usa Ansible para la corrección.
Microsoft Azure tiene varias ofertas de cumplimiento para ayudar a garantizar que las cargas de trabajo cumplan las directrices normativas. En primer lugar, debe implementar estándares de cumplimiento específicos.
Consideraciones de diseño
Al administrar la gobernanza para las instancias de RHEL en una zona de aterrizaje de Azure, tenga en cuenta los estándares de cumplimiento que su organización debe cumplir. Configure su gobernanza en función de los controles obligatorios internos y los definidos por el marco normativo que se aplican a sus sistemas RHEL. Elija sus herramientas y servicios en función de cómo aplique los estándares y corrija las desviaciones. Tenga en cuenta cómo mide el cumplimiento y tenga en cuenta las funcionalidades de informes y corrección. Desde una perspectiva de implementación, estas opciones afectan a muchas de las áreas de cumplimiento que se describen en la sección anterior.
Los estándares de cumplimiento contienen listas factorizables de los requisitos de seguridad que puede usar para integrar el contenido y la administración de imágenes con herramientas de automatización para que pueda:
- Definir el contenido de configuración del sistema operativo, la aplicación y la seguridad juntos en una canalización redactable.
- Medir, mantener y entrega imágenes continuamente que cumplan los requisitos desde el tiempo de implementación.
- Medir, mantener y corregir continuamente instancias persistentes.
El ciclo de vida del contenido y las canalizaciones de compilación de imágenes son puntos ideales de cumplimiento. Tenga en cuenta las canalizaciones siguientes:
- Análisis e informes: las plataformas en la nube proporcionan servicios completos que puede usar para agregar metadatos y datos de registro de sistemas implementados. También puede entregar y almacenar los datos capturados para los requisitos y auditorías de informes normativos.
- Automatización en primer lugar: los sistemas de automatización modernos pueden simplificar el cumplimiento normativo y los informes y aumentar la precisión y la visibilidad. Implemente la administración de cumplimiento a través de la automatización de la infraestructura como código (IaC) como parte del proceso de implementación. Considere la posibilidad de combinar flujos de trabajo de análisis y actividad de mantenimiento para garantizar informes oportunos y una metodología con respuesta rápida a errores, lo que mantiene el trabajo pendiente de cumplimiento en un mínimo. Para garantizar la coherencia, unifique el código de automatización de implementación y el código de corrección.
- Mantenimiento de cumplimiento: los estándares de cumplimiento se actualizan periódicamente y tienen mecanismos de entrega conocidos y tipos de contenido. Asegúrese de usar estándares abiertos al implementar la administración de cumplimiento. Diseñe el streaming de contenido de cumplimiento y revise su ciclo de vida para el desarrollo de aplicaciones e imágenes.
Recomendaciones de diseño
La gobernanza en Azure incluye el cumplimiento normativo y también el coste, la administración de recursos y el escalado de recursos. Tenga en cuenta estas recomendaciones de Red Hat y Microsoft para implementar de forma completa la gobernanza.
Cumplimiento normativo
Red Hat proporciona contenido validado para satisfacer las necesidades de gobernanza. Al determinar los requisitos de cumplimiento de línea base y obligatorios, revise exhaustivamente los orígenes existentes de contenido de cumplimiento y código de automatización. Para mantener bases de código base completas, los asociados de Red Hat, Microsoft y seguridad de Microsoft trabajan estrechamente con los organismos de estándares de cumplimiento. Los códigos base completos simplifican la evaluación del cumplimiento. Puede usar utilidades, como el área de trabajo de SCAP que se incluye con cada suscripción de RHEL, para aprovechar el contenido existente y adaptarlo para satisfacer sus necesidades específicas. Para cada versión principal de RHEL, Red Hat proporciona una guía de seguridad de SCAP (SSG) que contiene las líneas base de XCCDF publicadas para los estándares de cumplimiento conocidos.
Por ejemplo, el SSG para RHEL 9 contiene:
- ANSSI-BP-028 - Mejorado, Alto, Intermedio, Mínimo
- CCN RHEL 9- Avanzado, Intermedio, Básico
- Centro de seguridad de Internet (CIS) RHEL 9 Banco de pruebas para el nivel 2 - Servidor
- CIS RHEL 9 Banco de pruebas para el nivel 1 - Servidor
- CIS RHEL 9 Banco de pruebas para el nivel 1 - Estación de trabajo
- CIS RHEL 9 Banco de pruebas para el nivel 2 - Estación de trabajo
- [BORRADOR] Información no clasificada controlada en organizaciones y sistemas de información no federales (NIST 800-171)
- Australian Cyber Security Centre (ACSC) Essential Eight
- Manual de seguridad de la información (ISM) de ACSC oficial
- HIPAA
- Perfil de protección para sistemas operativos de uso general
- Línea base de control de PCI DSS v3.2.1 para RHEL 9
- Línea base de control de PCI DSS v4.0 para RHEL 7, RHEL 8 (RHEL-1808) y RHEL 9
- [BORRADOR] DISA STIG para RHEL 9
- [BORRADOR] DISA STIG con interfaz gráfica de usuario (GUI) para RHEL 9
El equipo de respuesta a incidentes de seguridad de productos de Red Hat proporciona una secuencia publicada de información conocida sobre vulnerabilidades y exposiciones comunes (CVE) para productos de Red Hat en formato OVAL. Red Hat recomienda usar estos recursos como parte de la implementación de cumplimiento en Azure.
Red Hat Satellite y RHEL Image Builder incluyen características integradas de SCAP que puede usar para:
- Definir una imagen protegida según un estándar seleccionado.
- Definir un perfil de directiva de SCAP y personalizarlo a cada carga de trabajo.
- Analizar la programación de sistemas administrados.
- Probar las canalizaciones de contenido y entregar contenido con versiones para cumplir los estándares.
Azure proporciona herramientas que puede usar para implementar varios estándares normativos. Para aplicar una amplia variedad de iniciativas automáticamente, use iniciativas de Azure Policy. Para implementar la configuración segura para los invitados del sistema operativo Linux, considere la línea base de seguridad de Linux.
Costos
En el contexto de la informática en la nube, especialmente Microsoft Azure, la gobernanza de costes hace referencia a la práctica de administrar y optimizar los costes asociados a los servicios de Azure. Azure proporciona un conjunto de herramientas para ayudarle a supervisar, controlar y optimizar los gastos. Use estas herramientas para asegurarse de que puede escalar y adaptar los recursos de forma eficaz sin sobrecarga financiera innecesaria.
Use Microsoft Cost Management para administrar y realizar un seguimiento de los costes en Azure. Obtenga visibilidad del gasto de Azure para optimizar los costes. Para ayudar a controlar los costes de los recursos de proceso, use reservas de Azure y planes de ahorro de Azure. Use estas herramientas para implementar estrategias de gobernanza de costes eficaces y ayudar a su negocio a maximizar la inversión en la nube mientras mantiene bajo control los gastos.
Gobernanza de recursos
Controle la organización de recursos de Azure para ayudar a administrar y proteger los recursos en la nube de forma eficaz, especialmente a medida que crece la complejidad del entorno empresarial. Azure tiene varias herramientas y servicios que admiten una gobernanza eficaz y garantizan que los recursos se administran de forma coherente, cumplen con las directivas y están optimizados para el rendimiento y el coste.
Use Azure Policy como barrera de protección para mantener el entorno conforme. Use especificaciones de plantilla para asegurarse de que las implementaciones cumplan su identidad, seguridad, coste y otros requisitos de forma predeterminada. Asegúrese de que tiene un estándar de nomenclatura para los recursos de Azure. Un estándar de nomenclatura facilita la administración y configuración del entorno a lo largo del tiempo. Use directivas y grupos de administración para organizar los recursos dentro de las zonas de aterrizaje antes de implementar cargas de trabajo en el inquilino de Azure.
Para obtener recomendaciones completas sobre el diseño de suscripciones, consulte Guía de suscripción de Cloud Adoption Framework.
Aplicación
Use Azure Policy para aplicar los estándares de gobernanza e implementar iniciativas normativas. Las directivas de Azure son barreras de protección que ayudan a aplicar el cumplimiento en la seguridad, el coste, el cumplimiento normativo, los recursos y la administración. Puede usar el panel de cumplimiento para ver el cumplimiento de cada recurso o directiva. También puede usar Azure Policy para realizar la corrección.
Puede usar Red Hat Satellite con Ansible Automation Platform para desarrollar canalizaciones para la entrega de contenido e imágenes que integren los requisitos de cumplimiento de la carga de trabajo.
Para obtener un análisis de cumplimiento completo, use colecciones de Ansible certificadas por Satellite de Red Hat para automatizar la recopilación de datos para la integración en la supervisión de Azure.