Compartilhar via

Considerações de governança e conformidade para o Red Hat Enterprise Linux no Azure

  • Artigo

Este artigo descreve considerações e recomendações para imagens e instâncias do sistema operacional Red Hat Enterprise Linux (RHEL). A governança e a conformidade eficientes e eficazes em um ambiente de nuvem exigem um esforço diligente.

A conformidade para implantações do RHEL no Azure refere-se aos métodos que você usa para definir, medir e relatar como os sistemas estão em conformidade com uma regra, como uma especificação, política ou padrão. Sua organização provavelmente tem requisitos de uso para seu sistema. Governança refere-se às estruturas e processos que você usa para definir as especificações que você precisa atender. A governança também inclui como você aplica essas especificações e como corrige o desalinhamento.

Visão geral

As organizações, especialmente em setores regulamentados, geralmente precisam de uma autoridade para operar (ATO) para instalar e usar software em seus ambientes. Esse processo inclui a avaliação do software em relação a um SRG (guia de requisitos de segurança), que é um conjunto de controles técnicos. Um exemplo de tais controles são os controles de segurança e privacidade do National Institute of Standards and Technology (NIST) para sistemas e organizações de informação.

Essa avaliação de segurança determina se o software atende a cada controle ou se você pode configurar o software para atender a cada controle. A avaliação também determina se o controle se aplica a um software específico. A estrutura de governança da sua organização determina quais regulamentos se aplicam à implantação do Azure e a quais sistemas os regulamentos se aplicam. A adesão aos requisitos de segurança determina o nível de conformidade.

A Red Hat trabalha com muitos órgãos de padrões para garantir que os pontos de configuração, medidas e correções sejam conhecidos, verificados e referenciáveis para o software do Azure. Os órgãos de padronização podem criar benchmarks ou listas de verificação das avaliações que descrevem o SRG para seu setor. Exemplos desses benchmarks incluem:

  • Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) para o setor de cartões de pagamento.
  • Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPPA) para o setor de saúde.
  • Agência de Sistemas de Informação de Defesa (DISA) e Guia de Implementação Técnica de Segurança (STIG) para o governo e indústrias relacionadas.

O Security Content and Automation Protocol (SCAP) fornece essas listas de verificação. O SCAP é um conjunto de especificações, como definições de verificações e métodos de automação, para troca de conteúdo de automação de segurança. Você pode usar esse conteúdo para avaliar a conformidade da configuração e detectar a presença de versões vulneráveis do software. A Red Hat trabalha com o NIST e a corporação MITRE para escrever e publicar conteúdo. As ferramentas de verificação usam o conteúdo para avaliar e relatar uma ampla variedade de padrões de conformidade para o sistema operacional RHEL e outros softwares da Red Hat.

A Red Hat também contribui para os projetos de código aberto que desenvolvem as linguagens e ferramentas padrão para implementar as listas de verificação. O projeto aberto OpenSCAP fornece um ponto de integração para esses esforços com o software Red Hat. O projeto OpenSCAP combina componentes padronizados para criar ferramentas que você pode usar para criar, manter, verificar, relatar e analisar os resultados das definições de conformidade.

As definições de conformidade são escritas em Open Vulnerability and Assessment Language (OVAL) e Extensible Configuration Checklist Description Format (XCCDF). Ambos os formatos são representados em XML. Pense no OVAL como um meio de definir e medir uma asserção lógica sobre o estado de um sistema de endpoint. Pense no XCCDF como um meio de expressar, organizar e gerenciar essas declarações em políticas de segurança. O scanner OpenSCAP pode consumir esses dois tipos de documentos.

O projeto de código aberto Compliance as Code fornece conteúdo em SCAP, Ansible e outros formatos. Normalmente, você usa o SCAP para medir e relatar e usar o Ansible para correção.

O Microsoft Azure tem várias ofertas de conformidade para ajudar a garantir que suas cargas de trabalho estejam em conformidade com as diretrizes regulatórias. Primeiro, você deve implementar padrões de conformidade específicos.

Considerações sobre o design

Ao gerenciar a governança de instâncias do RHEL em uma zona de destino do Azure, considere os padrões de conformidade aos quais sua organização deve aderir. Configure sua governança com base em controles definidos internamente e pela estrutura regulatória conforme eles se aplicam aos seus sistemas RHEL. Escolha suas ferramentas e serviços com base em como você aplica padrões e corrige desvios. Considere como você mede a conformidade e considere seus recursos de relatório e correção. De uma perspectiva de implementação, essas opções afetam muitas das áreas de conformidade descritas na seção anterior.

Os padrões de conformidade contêm listas fatoráveis de requisitos de segurança que você pode usar para integrar o gerenciamento de conteúdo e imagens com ferramentas de automação para que você possa:

  • Defina o conteúdo do sistema operacional, do aplicativo e da configuração de segurança juntos em um pipeline combinável.
  • Meça, mantenha e forneça continuamente imagens que atendam aos requisitos desde o momento da implantação.
  • Meça, mantenha e corrija continuamente instâncias persistentes.

O ciclo de vida do conteúdo e os pipelines de criação de imagem são pontos ideais de aplicação. Considere os seguintes pipelines:

  • Análise e relatórios: as plataformas de nuvem fornecem serviços abrangentes que você pode usar para agregar metadados e dados de log de sistemas implantados. Você também pode fornecer e armazenar os dados capturados para requisitos de relatórios regulatórios e auditorias.
  • Automação em primeiro lugar: os sistemas de automação modernos podem simplificar a conformidade regulatória e os relatórios e aumentar a precisão e a visibilidade. Implemente o gerenciamento de conformidade por meio da automação de infraestrutura como código (IaC) como parte do processo de implantação. Considere combinar fluxos de trabalho de atividades de verificação e manutenção para garantir relatórios oportunos e uma metodologia rápida de falhas, que mantém sua lista de pendências de conformidade no mínimo. Para garantir a consistência, unifique o código de automação de implementação e o código de correção.
  • Manutenção de conformidade: os padrões de conformidade são atualizados regularmente e têm mecanismos de entrega e tipos de conteúdo bem conhecidos. Certifique-se de usar padrões abertos ao implementar o gerenciamento de conformidade. Projete seu streaming de conteúdo de conformidade e revise seu ciclo de vida para desenvolvimento de aplicativos e imagens.

Recomendações sobre design

A governança no Azure inclui conformidade regulatória e também custo, gerenciamento de recursos e dimensionamento de recursos. Considere estas recomendações da Red Hat e da Microsoft para implementar a governança de forma abrangente.

Conformidade

A Red Hat fornece conteúdo validado para atender às necessidades de governança. Ao determinar os requisitos de conformidade obrigatórios e de linha de base, revise minuciosamente as fontes existentes de conteúdo de conformidade e código de automação. Para manter bases de código abrangentes, a Red Hat, a Microsoft e os parceiros de segurança da Microsoft trabalham em estreita colaboração com os órgãos de padrões de conformidade. Bases de código abrangentes simplificam a avaliação de conformidade. Você pode usar utilitários, como o workbench SCAP incluído em todas as assinaturas do RHEL, para aproveitar o conteúdo existente e adaptá-lo para atender às suas necessidades específicas. Para cada versão principal do RHEL, a Red Hat fornece um guia de segurança SCAP (SSG) que contém as linhas de base XCCDF publicadas para padrões de conformidade conhecidos.

Por exemplo, o SSG para RHEL 9 contém:

  • ANSSI-BP-028 - Aprimorado, Alto, Intermediário, Mínimo
  • CCN RHEL 9 - Avançado, Intermediário, Básico
  • Benchmark RHEL 9 do Center for Internet Security (CIS) para Nível 2 - Servidor
  • Benchmark CIS RHEL 9 para Nível 1 - Servidor
  • Benchmark CIS RHEL 9 para Nível 1 - Estação de Trabalho
  • Benchmark CIS RHEL 9 para Nível 2 - Estação de Trabalho
  • [RASCUNHO] Informações não classificadas controladas em sistemas e organizações de informação não federais (NIST 800-171)
  • Centro Australiano de Segurança Cibernética (ACSC) Essential Eight
  • Manual de Segurança da Informação (ISM) Oficial do ACSC
  • HIPAA
  • Perfil de proteção para sistemas operacionais de uso geral
  • Linha de base de controle PCI DSS v3.2.1 para RHEL 9
  • Linha de base de controle PCI DSS v4.0 para RHEL 7, RHEL 8 (RHEL-1808) e RHEL 9
  • [RASCUNHO] DISA STIG para RHEL 9
  • [RASCUNHO] DISA STIG com interface gráfica do usuário (GUI) para RHEL 9

A Equipe de Resposta a Incidentes de Segurança de Produtos da Red Hat fornece um fluxo publicado de informações conhecidas sobre Vulnerabilidades e Exposições Comuns (CVE) para as soluções Red Hat no formato OVAL. A Red Hat recomenda que você use esses recursos como parte de sua implementação de conformidade no Azure.

O Red Hat Satellite e o construtor de imagens RHEL incluem recursos SCAP integrados que você pode usar para:

  • Defina uma imagem que seja reforçada para um padrão selecionado.
  • Defina um perfil de política SCAP e adapte-o a cada carga de trabalho.
  • Agendamento de varredura para sistemas gerenciados.
  • Teste pipelines de conteúdo e forneça conteúdo com versão para atender aos padrões.

O Azure fornece ferramentas que você pode usar para implementar vários padrões regulatórios. Para impor uma ampla variedade de iniciativas automaticamente, use as iniciativas do Azure Policy. Para implementar configurações seguras para convidados do sistema operacional Linux, considere a linha de base de segurança do Linux.

Custo

No contexto da computação em nuvem, particularmente do Microsoft Azure, a governança de custos refere-se à prática de gerenciar e otimizar os custos associados aos serviços do Azure. O Azure fornece um conjunto de ferramentas para ajudá-lo a monitorar, controlar e otimizar suas despesas. Use essas ferramentas para garantir que você possa dimensionar e adaptar seus recursos com eficiência, sem despesas financeiras desnecessárias.

Use o Gerenciamento de Custos da Microsoft para gerenciar e acompanhar os custos no Azure. Obtenha visibilidade de seus gastos do Azure para otimizar os custos. Para ajudar a controlar os custos dos recursos de computação, use as reservas do Azure e os planos de economia do Azure. Use essas ferramentas para implementar estratégias eficazes de governança de custos e ajudar sua empresa a maximizar seu investimento na nuvem, mantendo as despesas sob controle.

Governança de recursos

Governe sua organização de recursos do Azure para ajudar a gerenciar e proteger os recursos de nuvem com eficiência, especialmente à medida que a complexidade do seu ambiente corporativo aumenta. O Azure tem várias ferramentas e serviços que dão suporte à governança eficaz e garantem que os recursos sejam gerenciados de forma consistente, em conformidade com as políticas e otimizados para desempenho e custo.

Use o Azure Policy como uma proteção para manter seu ambiente em conformidade. Use especificações de modelo para garantir que as implantações atendam à sua identidade, segurança, custo e outros requisitos por padrão. Verifique se você tem um padrão de nomenclatura para seus recursos do Azure. Um padrão de nomenclatura facilita o gerenciamento e a configuração do ambiente ao longo do tempo. Use grupos de gerenciamento e políticas para organizar seus recursos em zonas de destino antes de implantar cargas de trabalho em seu locatário do Azure.

Para obter recomendações abrangentes sobre o design da assinatura, consulte Diretrizes de assinatura do Cloud Adoption Framework.

Aplicação

Use o Azure Policy para impor padrões de governança e implementar iniciativas regulatórias. As políticas do Azure são proteções que ajudam a impor a conformidade em segurança, custo, conformidade regulatória, recursos e gerenciamento. Você pode usar o painel de conformidade para exibir a conformidade de cada recurso ou política. Você também pode usar o Azure Policy para executar a correção.

Você pode usar o Red Hat Satellite com o Ansible Automation Platform para desenvolver pipelines para entrega de conteúdo e imagens que integram seus requisitos de conformidade de carga de trabalho.

Para obter uma análise de conformidade abrangente, use as coleções do Ansible certificadas pelo Red Hat Satellite para automatizar a coleta de dados para integração no monitoramento do Azure.

Próximas etapas