Delen via

Overwegingen voor governance en naleving voor Red Hat Enterprise Linux in Azure

  • Artikel

In dit artikel worden overwegingen en aanbevelingen beschreven voor installatiekopieën en exemplaren van het Red Hat Enterprise Linux-besturingssysteem (RHEL). Voor een efficiënte en effectieve governance en naleving in een cloudomgeving is een zorgvuldige inspanning vereist.

Naleving voor RHEL-implementaties in Azure verwijst naar de methoden die u gebruikt om te definiëren, te meten en te rapporteren hoe systemen voldoen aan een regel, zoals een specificatie, beleid of standaard. Uw organisatie heeft waarschijnlijk gebruiksvereisten voor uw systeem. Governance verwijst naar de structuren en processen die u gebruikt om de specificaties te definiëren waaraan u moet voldoen. Governance omvat ook hoe u deze specificaties afdwingt en hoe u onjuiste uitlijning herstelt.

Overzicht

Organisaties, met name in gereguleerde branches, hebben vaak een autoriteit nodig om te werken (ATO) om software in hun omgevingen te installeren en te gebruiken. Dit proces omvat het evalueren van de software op basis van een handleiding voor beveiligingsvereisten (SRG), een set technische controles. Een voorbeeld van dergelijke controles is het National Institute of Standards and Technology (NIST) beveiliging en privacycontroles voor informatiesystemen en organisaties.

Deze beveiligingsevaluatie bepaalt of de software voldoet aan elk besturingselement of dat u de software kunt configureren om aan elk besturingselement te voldoen. De evaluatie bepaalt ook of het besturingselement van toepassing is op een bepaalde software. Het governanceframework van uw organisatie bepaalt welke regelgeving van toepassing is binnen de Azure-implementatie en op welke systemen de regelgeving van toepassing is. Naleving van de beveiligingsvereisten bepaalt het nalevingsniveau.

Red Hat werkt met veel standaarden om ervoor te zorgen dat de configuratiepunten, metingen en herstelbewerkingen bekend, geverifieerd en referentiebaar zijn voor Azure-software. De standaardeninstanties kunnen benchmarks of controlelijsten maken van de evaluaties die de SRG voor hun branche beschrijven. Voorbeelden van deze benchmarks zijn:

  • Payment Card Industry Data Security Standard (PCI DSS) voor de betaalkaartindustrie.
  • Hippa (Health Insurance Portability and Accountability Act) voor de gezondheidszorg.
  • Defense Information Systems Agency (DISA) en Security Technical Implementation Guide (STIG) voor overheid en gerelateerde branches.

SCAP (Security Content and Automation Protocol) biedt deze controlelijsten. SCAP is een reeks specificaties, zoals definities van controles en automatiseringsmethoden, voor het uitwisselen van inhoud voor beveiligingsautomatisering. U kunt deze inhoud gebruiken om configuratienaleving te beoordelen en om de aanwezigheid van kwetsbare versies van software te detecteren. Red Hat werkt met NIST en de MITRE corporation om inhoud te schrijven en te publiceren. Scanhulpprogramma's gebruiken de inhoud om een breed scala aan nalevingsstandaarden voor het RHEL-besturingssysteem en andere Red Hat-software te evalueren en te rapporteren.

Red Hat draagt ook bij aan de opensource-projecten die de standaardtalen en hulpprogramma's ontwikkelen om de controlelijsten te implementeren. Het OpenSCAP open project biedt een integratiepunt voor deze inspanningen met Red Hat-software. Het OpenSCAP-project combineert gestandaardiseerde onderdelen om hulpprogramma's te maken die u kunt gebruiken om de resultaten van nalevingsdefinities te maken, onderhouden, scannen, rapporteren en analyseren.

De nalevingsdefinities worden geschreven in Open Vulnerability and Assessment Language (OVAL) en Extensible Configuration Checklist Description Format (XCCDF). Beide indelingen worden weergegeven in XML. U kunt OVAL beschouwen als een middel om een logische bewering over de status van een eindpuntsysteem te definiëren en te meten. U kunt XCCDF beschouwen als een middel om deze asserties uit te drukken, te organiseren en te beheren in beveiligingsbeleid. De OpenSCAP-scanner kan beide documenttypen gebruiken.

Het opensource-project Compliance as Code levert inhoud in SCAP, Ansible en andere indelingen. Doorgaans gebruikt u SCAP voor het meten en rapporteren en gebruiken van Ansible voor herstel.

Microsoft Azure heeft verschillende nalevingsaanbiedingen om ervoor te zorgen dat uw workloads voldoen aan wettelijke richtlijnen. Eerst moet u specifieke nalevingsstandaarden implementeren.

Ontwerpoverwegingen

Wanneer u governance voor RHEL-exemplaren in een Azure-landingszone beheert, moet u rekening houden met de nalevingsstandaarden waaraan uw organisatie moet voldoen. Configureer uw governance op basis van intern verplichte en door het regelgevingsframework gedefinieerde besturingselementen wanneer deze van toepassing zijn op uw RHEL-systemen. Kies uw hulpprogramma's en services op basis van de wijze waarop u standaarden afdwingt en afwijkingen herstelt. Overweeg hoe u naleving meet en houd rekening met uw rapportage- en herstelmogelijkheden. Vanuit een implementatieperspectief zijn deze keuzes van invloed op veel van de nalevingsgebieden die in de vorige sectie worden beschreven.

Nalevingsstandaarden bevatten factorable lijsten met beveiligingsvereisten die u kunt gebruiken om inhoud en afbeeldingsbeheer te integreren met automatiseringsprogramma's, zodat u het volgende kunt doen:

  • Definieer besturingssysteem-, toepassings- en beveiligingsconfiguratie-inhoud samen in een samenstelbare pijplijn.
  • Voortdurend installatiekopieën meten, onderhouden en leveren die voldoen aan de vereisten van de implementatietijd.
  • Voortdurend permanente instanties meten, onderhouden en herstellen.

Levenscyclus van inhoud en buildpijplijnen voor installatiekopieën zijn ideale afdwingingspunten. Houd rekening met de volgende pijplijnen:

  • Analyse en rapportage: cloudplatformen bieden uitgebreide services die u kunt gebruiken om metagegevens en logboekgegevens van geïmplementeerde systemen samen te voegen. U kunt ook de vastgelegde gegevens leveren en opslaan voor wettelijke rapportagevereisten en audits.
  • Automatisering eerst: Moderne automatiseringssystemen kunnen naleving en rapportage van regelgeving vereenvoudigen en de nauwkeurigheid en zichtbaarheid verhogen. Implementeer nalevingsbeheer via automatisering van infrastructuur als code (IaC) als onderdeel van uw implementatieproces. Overweeg om werkstromen voor scan- en onderhoudsactiviteiten te combineren om tijdige rapportage en een fail-fast methodologie te garanderen, waardoor uw nalevingsachterstand tot een minimum wordt beperkt. Om consistentie te garanderen, moet u de automatiseringscode en herstelcode voor de implementatie samenvoegen.
  • Nalevingsonderhoud: nalevingsstandaarden worden regelmatig bijgewerkt en hebben bekende leveringsmechanismen en inhoudstypen. Zorg ervoor dat u open standaarden gebruikt wanneer u nalevingsbeheer implementeert. Ontwerp het streamen van nalevingsinhoud en bekijk uw levenscyclus voor het ontwikkelen van toepassingen en afbeeldingen.

Ontwerpaanaanvelingen

Governance in Azure omvat naleving van regelgeving en ook kosten, resourcebeheer en schalen van resources. Houd rekening met deze Aanbevelingen van Red Hat en Microsoft om governance uitgebreid te implementeren.

Naleving

Red Hat biedt gevalideerde inhoud om te voldoen aan governancebehoeften. Wanneer u de basislijn- en verplichte nalevingsvereisten bepaalt, controleert u de bestaande bronnen van nalevingsinhoud en automatiseringscode grondig. Om uitgebreide codebases te onderhouden, werken Red Hat, Microsoft en Microsoft-beveiligingspartners nauw samen met instellingen voor nalevingsstandaarden. Uitgebreide codebases vereenvoudigen de nalevingsevaluatie. U kunt hulpprogramma's gebruiken, zoals de SCAP workbench die is opgenomen in elk RHEL-abonnement, om te profiteren van bestaande inhoud en deze aan te passen aan uw specifieke behoeften. Voor elke belangrijke release van RHEL biedt Red Hat een SCAP-beveiligingshandleiding (SSG) die de gepubliceerde XCCDF-basislijnen bevat voor bekende nalevingsstandaarden.

De SSG voor RHEL 9 bevat bijvoorbeeld:

  • ANSSI-BP-028 - Enhanced, High, Intermediate, Minimal
  • CCN RHEL 9 - Geavanceerd, Tussenliggend, Basis
  • Center for Internet Security (CIS) RHEL 9 Benchmark for Level 2 - Server
  • CIS RHEL 9 Benchmark voor Niveau 1 - Server
  • CIS RHEL 9-benchmark voor niveau 1 - Werkstation
  • CIS RHEL 9 Benchmark voor Niveau 2 - Werkstation
  • [CONCEPT] Gecontroleerde niet-geclassificeerde informatie in niet-federale informatiesystemen en organisaties (NIST 800-171)
  • Australian Cyber Security Centre (ACSC) Essential Eight
  • ACSC Information Security Manual (ISM) Officieel
  • HIPAA
  • Beveiligingsprofiel voor besturingssystemen voor algemeen gebruik
  • PCI DSS v3.2.1-besturingsbasislijn voor RHEL 9
  • PCI DSS v4.0-besturingsbasislijn voor RHEL 7, RHEL 8 (RHEL-1808) en RHEL 9
  • [CONCEPT] DISA STIG voor RHEL 9
  • [CONCEPT] DISA STIG met grafische gebruikersinterface (GUI) voor RHEL 9

Het Red Hat Product Security Incident Response Team biedt een gepubliceerde stroom van bekende COMMON Vulnerabilities and Exposures (CVE) informatie voor Red Hat-producten in OVAL-indeling. Red Hat raadt u aan deze resources te gebruiken als onderdeel van uw compliance-implementatie in Azure.

Red Hat Satellite en RHEL Image Builder bevatten geïntegreerde SCAP-functies waarmee u het volgende kunt doen:

  • Definieer een afbeelding die is beperkt tot een geselecteerde standaard.
  • Definieer een SCAP-beleidsprofiel en pas dit aan elke workload aan.
  • Scan planning voor beheerde systemen.
  • Test inhoudspijplijnen en lever versie-inhoud om te voldoen aan standaarden.

Azure biedt hulpprogramma's die u kunt gebruiken om verschillende regelgevingsstandaarden te implementeren. Als u automatisch een groot aantal initiatieven wilt afdwingen, gebruikt u Azure Policy-initiatieven. Als u beveiligde instellingen voor gasten van linux-besturingssystemen wilt implementeren, moet u de basislijn voor Linux-beveiliging overwegen.

Kosten

In de context van cloud-computing, met name Microsoft Azure, verwijst kostenbeheer naar de praktijk van het beheren en optimaliseren van de kosten die zijn gekoppeld aan Azure-services. Azure biedt een reeks hulpprogramma's waarmee u uw uitgaven kunt bewaken, beheren en optimaliseren. Gebruik deze hulpprogramma's om ervoor te zorgen dat u uw resources efficiënt kunt schalen en aanpassen zonder onnodige financiële overhead.

Gebruik Microsoft Cost Management om kosten in Azure te beheren en bij te houden. Krijg inzicht in uw Azure-uitgaven om de kosten te optimaliseren. Gebruik Azure-reserveringen en Azure-besparingsplannen om de kosten voor rekenresources te beheren. Gebruik deze hulpprogramma's om effectieve strategieën voor kostenbeheer te implementeren en uw bedrijf te helpen uw investeringen in de cloud te maximaliseren en tegelijkertijd de kosten onder controle te houden.

Resourcebeheer

Beheer uw Azure-resourceorganisatie om cloudresources efficiënt te beheren en te beveiligen, met name naarmate de complexiteit van uw bedrijfsomgeving groeit. Azure heeft verschillende hulpprogramma's en services die effectieve governance ondersteunen en ervoor zorgen dat resources consistent worden beheerd, voldoen aan beleid en geoptimaliseerd zijn voor zowel prestaties als kosten.

Gebruik Azure Policy als kader om uw omgeving compatibel te houden. Gebruik sjabloonspecificaties om ervoor te zorgen dat implementaties standaard voldoen aan uw identiteit, beveiliging, kosten en andere vereisten. Zorg ervoor dat u een naamgevingsstandaard hebt voor uw Azure-resources. Een naamgevingsstandaard maakt het eenvoudiger voor u om uw omgeving in de loop van de tijd te beheren en te configureren. Gebruik beheergroepen en beleidsregels om uw resources binnen landingszones te organiseren voordat u workloads in uw Azure-tenant implementeert.

Zie de richtlijnen voor het Cloud Adoption Framework-abonnement voor uitgebreide aanbevelingen over het ontwerp van abonnementen.

Afdwinging

Gebruik Azure Policy om governancestandaarden af te dwingen en regelgevingsinitiatieven te implementeren. Azure-beleidsregels zijn kaders die helpen naleving af te dwingen voor beveiliging, kosten, naleving van regelgeving, resources en beheer. U kunt het nalevingsdashboard gebruiken om naleving voor elke resource of elk beleid weer te geven. U kunt Azure Policy ook gebruiken om herstel uit te voeren.

U kunt Red Hat Satellite gebruiken met Ansible Automation Platform om pijplijnen te ontwikkelen voor content- en afbeeldingslevering die de nalevingsvereisten van uw workload integreren.

Gebruik Red Hat Satellite-gecertificeerde Ansible-verzamelingen om gegevensverzamelingen te automatiseren voor integratie met Azure-bewaking om een uitgebreide nalevingsanalyse te krijgen.

Volgende stappen