Partager via

Considérations relatives à la gouvernance et à la conformité pour Red Hat Enterprise Linux sur Azure

  • Article

Cet article contient les considérations et recommandations relatives aux images et instances du système d’exploitation Red Hat Enterprise Linux (RHEL). Une gouvernance et une conformité efficaces et efficientes dans un environnement cloud nécessitent un effort rigoureux.

La conformité pour les déploiements RHEL dans Azure fait référence aux méthodes que vous utilisez pour définir, mesurer et signaler la conformité des systèmes à une règle, telle qu’une spécification, une stratégie ou une norme. Votre organisation dispose probablement de spécifications d’utilisation pour votre système. La gouvernance fait référence aux structures et processus que vous utilisez pour définir les spécifications que vous devez respecter. La gouvernance comprend également la façon dont vous appliquez ces spécifications et traitez les cas où elles sont mal appliquées.

Vue d’ensemble

Les organisations, en particulier dans les secteurs réglementés, ont souvent besoin d’une autorisation d’opérer (ATO) pour installer et utiliser des logiciels dans leurs environnements. Ce processus comprend l’évaluation du logiciel par rapport à un guide des exigences de sécurité (SRG), qui est un ensemble de contrôles techniques. Par exemple, le National Institute of Standards and Technology (NIST) réalise des contrôles de sécurité et de confidentialité pour les systèmes d’information et les organisations.

Cette évaluation de sécurité détermine si le logiciel est conforme aux exigences de chaque contrôle ou si vous pouvez configurer le logiciel pour être conforme aux exigences de chaque contrôle. L’évaluation détermine également si le contrôle s’applique à un logiciel particulier. L’infrastructure de gouvernance de votre organisation détermine quelles sont les réglementations qui s’appliquent au sein du déploiement Azure et les systèmes auxquels ces réglementations s’appliquent. L’adhésion aux exigences de sécurité détermine le niveau de conformité.

Red Hat fonctionne avec de nombreux organismes de normalisation pour s’assurer que les points de configuration, les mesures et les corrections sont connus, vérifiés et référencés pour les logiciels Azure. Les organismes de normalisation peuvent créer des benchmarks ou des listes de contrôle des évaluations qui décrivent le SRG pour leur secteur. Voici quelques exemples de benchmarks :

  • Norme Payment Card Industry Data Security Standard (PCI DSS) pour le secteur des cartes de paiement.
  • Loi Health Insurance Portability and Accountability Act (HIPPA) pour le secteur de la santé.
  • Defense Information Systems Agency (DISA) et Security Technical Implementation Guide (STIG) pour les secteurs publics et connexes.

Le protocole SCAP (Security Content and Automation Protocol) fournit ces listes de contrôle. Le SCAP est une suite de spécifications, telles que des définitions de contrôles et des méthodes d’automatisation, pour échanger du contenu d’automatisation de la sécurité. Vous pouvez utiliser ce contenu pour évaluer la conformité de la configuration et détecter la présence de versions vulnérables de logiciels. Red Hat travaille avec le NIST et la société MITRE pour écrire et publier du contenu. Les outils d’analyse utilisent le contenu pour évaluer et signaler un large éventail de normes de conformité pour le système d’exploitation RHEL et d’autres logiciels Red Hat.

Red Hat contribue également aux projets open source qui développent les langages et outils standard pour implémenter les listes de contrôle. Le projet OpenSCAP open source fournit un point d’intégration pour ces efforts avec le logiciel Red Hat. Le projet OpenSCAP combine des composants standardisés pour créer des outils que vous pouvez utiliser pour créer, gérer, analyser et signaler les résultats des définitions de conformité.

Les définitions de conformité sont écrites dans OVAL (Open Vulnerability and Assessment Language) au format XCCDF (Extensible Configuration Checklist Description Format). Les deux formats sont représentés en XML. Considérez OVAL comme un moyen de définir et de mesurer une assertion logique sur l’état d’un système de point de terminaison. Considérez XCCDF comme un moyen d’exprimer, d’organiser et de gérer ces assertions dans des stratégies de sécurité. Le scanner OpenSCAP peut consommer ces deux types de documents.

Le projet open source Compliance as Code fournit du contenu en SCAP, Ansible et d’autres formats. Vous utilisez généralement SCAP pour mesurer, signaler et utiliser Ansible pour la correction.

Microsoft Azure propose plusieurs offres de conformité pour garantir que vos charges de travail respectent les directives réglementaires. Tout d’abord, vous devez implémenter des normes de conformité spécifiques.

Considérations sur la conception

Lorsque vous gérez la gouvernance pour les instances RHEL dans une zone d’atterrissage Azure, tenez compte des normes de conformité auxquelles votre organisation doit adhérer. Configurez votre gouvernance en fonction des contrôles définis par le cadre réglementaire et mandatés en interne, tels qu’ils s’appliquent à vos systèmes RHEL. Choisissez vos outils et services en fonction de la façon dont vous appliquez des normes et corrigez les écarts. Tenez compte de la façon dont vous mesurez la conformité ainsi que de vos fonctionnalités de création de rapports et de correction. Du point de vue de l’implémentation, ces choix affectent la plupart des domaines de conformité décrits dans la section précédente.

Les normes de conformité contiennent des listes d’exigences de sécurité dissociables que vous pouvez utiliser afin d’intégrer le contenu et la gestion des images à des outils d’automatisation afin de pouvoir :

  • Définir le contenu de configuration du système d’exploitation, de l’application et de la sécurité dans un pipeline composable
  • Mesurer, gérer et fournir continuellement des images qui répondent aux exigences relatives au temps de déploiement
  • Mesurer, gérer et corriger continuellement des instances persistantes

Le cycle de vie du contenu et les pipelines de build d’images sont des points d’application idéals Tenez compte des pipelines suivants :

  • Analyse et création de rapports : les plateformes cloud fournissent des services complets que vous pouvez utiliser pour agréger des métadonnées et des données de journal à partir de systèmes déployés. Vous pouvez également fournir et stocker les données capturées aux fins de création de rapports réglementaires et d’audits.
  • Priorité à l’automatisation : les systèmes d’automatisation modernes peuvent simplifier la conformité réglementaire et la création de rapports ainsi qu’augmenter la précision et la visibilité. Implémentez la gestion de la conformité via l’automatisation de l’infrastructure en tant que code (IaC) dans le cadre de votre processus de déploiement. Envisagez de combiner les flux de travail d’analyse et de maintenance pour garantir la création de rapports en temps opportun ainsi qu’une méthodologie fail-fast pour maintenir votre backlog de conformité au minimum. Pour garantir la cohérence, unifiez le code d’automatisation de l’implémentation et le code de correction.
  • Maintenance de la conformité : les normes de conformité sont mises à jour régulièrement et disposent de mécanismes de livraison et de types de contenu connus. Assurez-vous d’utiliser des normes ouvertes lorsque vous implémentez la gestion de la conformité. Intégrez la diffusion et l’examen de votre contenu de conformité dans votre cycle de vie pour le développement d’applications et d’images.

Recommandations de conception

La gouvernance dans Azure inclut la conformité réglementaire, ainsi que les coûts, la gestion des ressources et la mise à l’échelle des ressources. Tenez compte de ces recommandations Red Hat et Microsoft pour implémenter une gouvernance de manière complète.

Conformité

Red Hat fournit du contenu validé pour répondre aux besoins de gouvernance. Lorsque vous déterminez les exigences de conformité de référence et obligatoires, examinez soigneusement les sources existantes de contenu de conformité et de code d’automatisation. Pour maintenir des codebases complets, Red Hat, Microsoft et les partenaires de sécurité Microsoft travaillent en étroite collaboration avec les organismes de normalisation. Des codebases complets simplifient l’évaluation de la conformité. Vous pouvez utiliser des utilitaires, tels que SCAP Workbench (inclus avec chaque abonnement RHEL), pour exploiter le contenu existant et l’adapter à vos besoins spécifiques. Pour chaque version majeure de RHEL, Red Hat fournit un guide sur la sécurité SCAP (SSG) qui contient les bases de référence XCCDF publiées pour les normes de conformité connues.

Par exemple, le SSG pour RHEL 9 contient :

  • ANSSI-BP-028 - Renforcé, élevé, intermédiaire, minimal
  • CCN RHEL 9 - Avancé, intermédiaire, de base
  • Benchmark RHEL 9 Center for Internet Security (CIS) pour le niveau 2 - Serveur
  • Benchmark RHEL 9 CIS pour le niveau 1 - Serveur
  • Benchmark RHEL 9 CIS pour le niveau 1 - Station de travail
  • Benchmark RHEL 9 CIS pour le niveau 2 - Station de travail
  • [BROUILLON] Informations non classifiées contrôlées dans les systèmes et les organisations non fédéraux (NIST 800-171)
  • Essential Eight de l’Australian Cyber Security Centre (ACSC)
  • Information Security Manual (ISM) officiel de l’ACSC
  • HIPAA
  • Profil de protection pour les systèmes d’exploitation à usage général
  • Base de contrôle PCI DSS v3.2.1 pour RHEL 9
  • Base de contrôle PCI DSS v4.0 pour RHEL 7, RHEL 8 (RHEL-1808) et RHEL 9
  • [BROUILLON] DISA STIG pour RHEL 9
  • [BROUILLON] DISA STIG avec interface utilisateur graphique (GUI) pour RHEL 9

L’équipe de réponse aux incidents de sécurité des produits Red Hat fournit un flux publié d’informations connues relatives aux vulnérabilités et expositions courantes (CVE) pour les produits Red Hat au format OVAL. Red Hat vous recommande d’utiliser ces ressources dans le cadre de votre implémentation de conformité dans Azure.

Red Hat Satellite et RHEL Image Builder comprennent des fonctionnalités SCAP intégrées que vous pouvez utiliser pour :

  • Définir une image renforcée à une norme sélectionnée
  • Définir un profil de stratégie SCAP et l’adapter à chaque charge de travail
  • Analyser la planification des systèmes managés
  • Tester les pipelines de contenu et fournir du contenu versionné pour être conforme aux normes

Azure fournit des outils que vous pouvez utiliser pour implémenter plusieurs normes réglementaires. Pour appliquer automatiquement un large éventail d’initiatives, utilisez les initiatives Azure Policy. Pour implémenter des paramètres sécurisés pour les système d’exploitation Linux invités, tenez compte de la base de référence de sécurité Linux.

Cost

Dans le contexte du cloud computing, en particulier Microsoft Azure, la gouvernance des coûts fait référence à la pratique de gestion et d’optimisation des coûts associés aux services Azure. Azure fournit une suite d’outils pour vous aider à surveiller, contrôler et optimiser vos dépenses. Utilisez ces outils pour vous assurer que vous pouvez mettre à l’échelle et adapter vos ressources de manière efficace sans surcharge financière inutile.

Utilisez Microsoft Cost Management pour gérer et suivre les coûts dans Azure. Obtenez une vue d’ensemble de vos dépenses Azure pour optimiser les coûts. Pour contrôler les coûts des ressources de calcul, utilisez les réservations Azure et les plans d’économies Azure. Utilisez ces outils pour implémenter des stratégies de gouvernance des coûts efficaces et aider votre entreprise à optimiser votre investissement cloud tout en gardant les dépenses sous contrôle.

Gouvernance des ressources

Gouvernez votre organisation de ressources Azure pour vous aider à gérer et sécuriser efficacement les ressources cloud, en particulier lorsque l’environnement de votre entreprise devient de plus en plus complexe. Azure dispose de plusieurs outils et services qui prennent en charge une gouvernance efficace et garantissent que les ressources sont gérées de manière cohérente, sont conformes aux stratégies et sont optimales en matière de performances et de coûts.

Utilisez Azure Policy comme garde-fou pour maintenir votre environnement conforme. Utilisez des specs de modèle pour vous assurer que les déploiements correspondent à vos exigences en matière d’identité, de sécurité, de coût et à vos autres exigences par défaut. Vérifiez que vous disposez d’une norme de nommage pour vos ressources Azure. Une norme de nommage facilite la gestion et la configuration de votre environnement au fil du temps. Utilisez des groupes d’administration et des stratégies pour organiser vos ressources dans des zones d’atterrissage avant de déployer des charges de travail dans votre locataire Azure.

Pour obtenir des recommandations complètes sur la conception d’abonnement, consultez les conseils d’abonnement au Cloud Adoption Framework.

Mise en application

Utilisez Azure Policy pour appliquer des normes de gouvernance et implémenter des initiatives réglementaires. Les stratégies Azure sont des garde-fous qui aident à assurer la conformité en matière de sécurité, de coût, de conformité réglementaire, de ressources et de gestion. Vous pouvez utiliser le tableau de bord de conformité pour vérifier la conformité au niveau de chaque ressource ou stratégie. Vous pouvez également utiliser Azure Policy pour résoudre les problèmes.

Vous pouvez utiliser Red Hat Satellite avec Ansible Automation Platform pour développer des pipelines de distribution de contenu et d’images qui intègrent vos exigences de conformité de charge de travail.

Pour obtenir une analyse complète de la conformité, utilisez des collections Ansible certifiées Red Hat Satellite pour automatiser la collecte de données pour l’intégration à la supervision Azure.

Étapes suivantes