Considerações sobre governança e conformidade para o Red Hat Enterprise Linux no Azure
Este artigo descreve considerações e recomendações para imagens e instâncias do sistema operacional Red Hat Enterprise Linux (RHEL). Governança e conformidade eficientes e eficazes em um ambiente de nuvem exigem um esforço diligente.
Conformidade para implantações RHEL no Azure refere-se aos métodos que você usa para definir, medir e relatar como os sistemas estão em conformidade com uma regra, como uma especificação, política ou padrão. Sua organização provavelmente tem requisitos de uso para seu sistema. Governança refere-se às estruturas e processos que você usa para definir as especificações que você precisa atender. A governança também inclui como você aplica essas especificações e como corrige o desalinhamento.
Descrição geral
As organizações, especialmente em setores regulamentados, muitas vezes precisam de uma autoridade para operar (ATO) para instalar e usar software em seus ambientes. Esse processo inclui a avaliação do software em relação a um guia de requisitos de segurança (SRG), que é um conjunto de controles técnicos. Um exemplo de tais controles é o National Institute of Standards and Technology (NIST) controles de segurança e privacidade para sistemas de informação e organizações.
Essa avaliação de segurança determina se o software atende a cada controle ou se você pode configurá-lo para atender a cada controle. A avaliação também determina se o controlo se aplica a um determinado software. A estrutura de governança da sua organização determina quais regulamentos se aplicam na implantação do Azure e a quais sistemas os regulamentos se aplicam. A adesão aos requisitos de segurança determina o nível de conformidade.
A Red Hat trabalha com muitos órgãos de padrões para garantir que os pontos de configuração, medições e correções sejam conhecidos, verificados e referenciados para o software Azure. Os organismos de normalização podem criar parâmetros de referência ou listas de verificação das avaliações que descrevem o SRG para o seu setor. Exemplos destes parâmetros de referência incluem:
- Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) para a indústria de cartões de pagamento.
- Health Insurance Portability and Accountability Act (HIPPA) para o setor de saúde.
- Agência de Sistemas de Informação de Defesa (DISA) e Guia de Implementação Técnica de Segurança (STIG) para o governo e indústrias relacionadas.
O Security Content and Automation Protocol (SCAP) fornece essas listas de verificação. O SCAP é um conjunto de especificações, como definições de verificações e métodos de automação, para o intercâmbio de conteúdo de automação de segurança. Você pode usar esse conteúdo para avaliar a conformidade da configuração e detetar a presença de versões vulneráveis do software. A Red Hat trabalha com o NIST e a corporação MITRE para escrever e publicar conteúdo. As ferramentas de digitalização usam o conteúdo para avaliar e relatar uma ampla variedade de padrões de conformidade para o sistema operacional RHEL e outros softwares Red Hat.
A Red Hat também contribui para os projetos de código aberto que desenvolvem as linguagens e ferramentas padrão para implementar as listas de verificação. O projeto aberto OpenSCAP fornece um ponto de integração para esses esforços com o software Red Hat. O projeto OpenSCAP combina componentes padronizados para criar ferramentas que você pode usar para criar, manter, digitalizar, relatar e analisar os resultados das definições de conformidade.
As definições de conformidade são escritas em Open Vulnerability and Assessment Language (OVAL) e Extensible Configuration Checklist Description Format (XCCDF). Ambos os formatos são representados em XML. Pense no OVAL como um meio de definir e medir uma asserção lógica sobre o estado de um sistema de terminais. Pense no XCCDF como um meio de expressar, organizar e gerenciar essas afirmações em políticas de segurança. O mecanismo de varredura OpenSCAP pode consumir ambos os tipos de documentos.
O projeto de código aberto Compliance as Code oferece conteúdo em SCAP, Ansible e outros formatos. Normalmente, você usa o SCAP para medir e gerar relatórios e usa o Ansible para remediação.
O Microsoft Azure tem várias ofertas de conformidade para ajudar a garantir que suas cargas de trabalho estejam em conformidade com as diretrizes regulatórias. Primeiro, você deve implementar padrões de conformidade específicos.
Considerações de design
Ao gerenciar a governança para instâncias RHEL em uma zona de aterrissagem do Azure, considere os padrões de conformidade aos quais sua organização deve aderir. Configure sua governança com base em controles internos obrigatórios e definidos pela estrutura regulatória à medida que se aplicam aos seus sistemas RHEL. Escolha suas ferramentas e serviços com base em como você aplica padrões e corrige desvios. Considere como você mede a conformidade e considere seus recursos de relatórios e correção. Do ponto de vista da implementação, essas escolhas afetam muitas das áreas de conformidade descritas na seção anterior.
Os padrões de conformidade contêm listas fatoráveis de requisitos de segurança que você pode usar para integrar o gerenciamento de conteúdo e imagem com ferramentas de automação para que você possa:
- Defina o sistema operacional, o aplicativo e o conteúdo da configuração de segurança juntos em um pipeline combinável.
- Meça, mantenha e forneça continuamente imagens que atendam aos requisitos desde o momento da implantação.
- Meça, mantenha e corrija continuamente instâncias persistentes.
O ciclo de vida do conteúdo e os pipelines de criação de imagens são pontos ideais de aplicação. Considere os seguintes pipelines:
- Análise e emissão de relatórios: as plataformas de nuvem fornecem serviços abrangentes que você pode usar para agregar metadados e registrar dados de sistemas implantados. Você também pode fornecer e armazenar os dados capturados para requisitos de relatórios regulatórios e auditorias.
- Automação em primeiro lugar: os sistemas de automação modernos podem simplificar a conformidade regulamentar e a emissão de relatórios e aumentar a precisão e a visibilidade. Implemente o gerenciamento de conformidade por meio da automação de infraestrutura como código (IaC) como parte do seu processo de implantação. Considere combinar fluxos de trabalho de atividades de digitalização e manutenção para garantir relatórios oportunos e uma metodologia à prova de falhas, que mantém sua lista de pendências de conformidade ao mínimo. Para garantir a consistência, unifique o código de automação da implementação e o código de correção.
- Manutenção da conformidade: os padrões de conformidade são atualizados regularmente e têm mecanismos de entrega e tipos de conteúdo bem conhecidos. Certifique-se de usar padrões abertos ao implementar o gerenciamento de conformidade. Projete seu fluxo de conteúdo de conformidade e analise seu ciclo de vida para desenvolvimento de aplicativos e imagens.
Recomendações de design
A governança no Azure inclui conformidade regulatória e também custos, gerenciamento de recursos e dimensionamento de recursos. Considere estas recomendações da Red Hat e da Microsoft para implementar a governança de forma abrangente.
Conformidade
A Red Hat fornece conteúdo validado para atender às necessidades de governança. Ao determinar os requisitos de conformidade de linha de base e obrigatórios, analise minuciosamente as fontes existentes de conteúdo de conformidade e código de automação. Para manter bases de código abrangentes, a Red Hat, a Microsoft e os parceiros de segurança da Microsoft trabalham em estreita colaboração com os órgãos de padrões de conformidade. Bases de código abrangentes simplificam a avaliação de conformidade. Você pode usar utilitários, como o SCAP workbench incluído em cada assinatura RHEL, para aproveitar o conteúdo existente e adaptá-lo para atender às suas necessidades específicas. Para cada versão principal do RHEL, a Red Hat fornece um guia de segurança SCAP (SSG) que contém as linhas de base XCCDF publicadas para padrões de conformidade bem conhecidos.
Por exemplo, o SSG para RHEL 9 contém:
- ANSSI-BP-028 - Avançado, Alto, Intermediário, Mínimo
- CCN RHEL 9 - Avançado, Intermediário, Básico
- Center for Internet Security (CIS) RHEL 9 Benchmark para Nível 2 - Servidor
- CIS RHEL 9 Benchmark para Nível 1 - Servidor
- CIS RHEL 9 Benchmark para Nível 1 - Estação de trabalho
- CIS RHEL 9 Benchmark para Nível 2 - Estação de trabalho
- [RASCUNHO] Informação não classificada controlada em sistemas e organizações de informação não federais (NIST 800-171)
- Centro Australiano de Cibersegurança (ACSC) Essential Eight
- ACSC Information Security Manual (ISM) Oficial
- HIPAA
- Perfil de proteção para sistemas operacionais de uso geral
- Linha de base de controle PCI DSS v3.2.1 para RHEL 9
- Linha de base de controle PCI DSS v4.0 para RHEL 7, RHEL 8 (RHEL-1808) e RHEL 9
- [RASCUNHO] DISA STIG para RHEL 9
- [RASCUNHO] DISA STIG com interface gráfica do usuário (GUI) para RHEL 9
A Red Hat Product Security Incident Response Team fornece um fluxo publicado de informações conhecidas sobre vulnerabilidades e exposições comuns (CVE) para produtos Red Hat no formato OVAL. A Red Hat recomenda que você use esses recursos como parte de sua implementação de conformidade no Azure.
O construtor de imagens Red Hat Satellite e RHEL inclui recursos integrados de SCAP que você pode usar para:
- Defina uma imagem protegida para um padrão selecionado.
- Defina um perfil de política SCAP e adapte-o a cada carga de trabalho.
- Agendamento de varredura para sistemas gerenciados.
- Teste pipelines de conteúdo e forneça conteúdo versionado para atender aos padrões.
O Azure fornece ferramentas que você pode usar para implementar vários padrões regulatórios. Para impor uma ampla variedade de iniciativas automaticamente, use as iniciativas do Azure Policy. Para implementar configurações seguras para convidados do sistema operacional Linux, considere a linha de base de segurança do Linux.
Custo
No contexto da computação em nuvem, particularmente do Microsoft Azure, a governança de custos refere-se à prática de gerenciar e otimizar os custos associados aos serviços do Azure. O Azure fornece um conjunto de ferramentas para o ajudar a monitorizar, controlar e otimizar as suas despesas. Use essas ferramentas para garantir que você possa dimensionar e adaptar seus recursos de forma eficiente sem despesas financeiras desnecessárias.
Use o Microsoft Cost Management para gerenciar e controlar custos no Azure. Obtenha visibilidade dos seus gastos do Azure para otimizar custos. Para ajudar a controlar os custos dos recursos de computação, utilize as reservas do Azure e os planos de poupança do Azure. Use essas ferramentas para implementar estratégias eficazes de governança de custos e ajudar sua empresa a maximizar seu investimento em nuvem, mantendo as despesas sob controle.
Gestão de recursos
Governe sua organização de recursos do Azure para ajudar a gerenciar e proteger recursos de nuvem de forma eficiente, especialmente à medida que a complexidade do seu ambiente corporativo aumenta. O Azure tem várias ferramentas e serviços que dão suporte a uma governança eficaz e garantem que os recursos sejam gerenciados de forma consistente, compatíveis com as políticas e otimizados para desempenho e custo.
Use a Política do Azure como um guardrail para manter seu ambiente em conformidade. Use especificações de modelo para garantir que as implantações atendam aos seus requisitos de identidade, segurança, custo e outros por padrão. Certifique-se de ter um padrão de nomenclatura para seus recursos do Azure. Um padrão de nomenclatura facilita o gerenciamento e a configuração do ambiente ao longo do tempo. Use grupos e políticas de gerenciamento para organizar seus recursos em zonas de destino antes de implantar cargas de trabalho em seu locatário do Azure.
Para obter recomendações abrangentes sobre o design da assinatura, consulte Diretrizes de assinatura do Cloud Adoption Framework.
Imposição
Use a Política do Azure para impor padrões de governança e implementar iniciativas regulatórias. As políticas do Azure são guardrails que ajudam a impor a conformidade em termos de segurança, custo, conformidade regulamentar, recursos e gestão. Você pode usar o painel de conformidade para exibir a conformidade de cada recurso ou política. Você também pode usar a Política do Azure para executar a correção.
Você pode usar o Red Hat Satellite com o Ansible Automation Platform para desenvolver pipelines para entrega de conteúdo e imagem que integrem seus requisitos de conformidade de carga de trabalho.
Para obter uma análise de conformidade abrangente, use as coleções Ansible certificadas pelo Red Hat Satellite para automatizar a coleta de dados para integração no monitoramento do Azure.