Поделиться через

Рекомендации по управлению и соответствию требованиям для Red Hat Enterprise Linux в Azure

  • Статья

В этой статье описываются рекомендации и рекомендации по образам и экземплярам операционной системы Red Hat Enterprise Linux (RHEL). Для эффективного и эффективного управления и соответствия требованиям в облачной среде требуются старательные усилия.

Соответствие развертываний RHEL в Azure относится к методам, используемым для определения, измерения и отчета о том, как системы соответствуют правилу, например спецификации, политике или стандарту. Скорее всего, у вашей организации есть требования к использованию для вашей системы. Управление относится к структурам и процессам, которые используются для определения спецификаций, которые необходимо выполнить. Управление также включает в себя применение этих спецификаций и способы устранения несоответствия.

Обзор

Организациям, особенно в регулируемых отраслях, часто требуется орган для работы (ATO) для установки и использования программного обеспечения в их средах. Этот процесс включает оценку программного обеспечения в соответствии с руководством по требованиям безопасности (SRG), который является набором технических элементов управления. Примером таких элементов управления является Национальный институт стандартов и технологий (NIST) системы безопасности и конфиденциальности информационных систем и организаций.

Эта оценка безопасности определяет, соответствует ли программное обеспечение каждому элементу управления или можно ли настроить программное обеспечение для удовлетворения каждого элемента управления. Оценка также определяет, применяется ли элемент управления к конкретному программному обеспечению. Платформа управления вашей организации определяет, какие правила применяются в развертывании Azure и к каким системам применяются правила. Соблюдение требований безопасности определяет уровень соответствия требованиям.

Red Hat работает со многими органами стандартов, чтобы гарантировать, что точки конфигурации, измерения и исправления известны, проверены и доступны ссылки для программного обеспечения Azure. Органы стандартов могут создавать тесты или контрольные списки оценки, описывающие SRG для своей отрасли. Ниже приведены примеры этих эталонных показателей:

  • Стандарт безопасности данных индустрии оплаты (PCI DSS) для индустрии оплаты карт.
  • Закон о переносимости медицинского страхования и подотчетности (HIPPA) для отрасли здравоохранения.
  • Информационное агентство обороны (DISA) и техническое руководство по обеспечению безопасности (STIG) для государственных организаций и связанных с ними отраслей.

Протокол SCAP предоставляет эти контрольные списки. SCAP — это набор спецификаций, таких как определения методов проверки и автоматизации для обмена содержимым службы автоматизации безопасности. Это содержимое можно использовать для оценки соответствия конфигурации и обнаружения наличия уязвимых версий программного обеспечения. Red Hat работает с NIST и корпорацией MITRE для написания и публикации содержимого. Средства сканирования используют содержимое для оценки и отчета о различных стандартах соответствия для операционной системы RHEL и другого программного обеспечения Red Hat.

Red Hat также участвует в проектах с открытым исходным кодом, которые разрабатывают стандартные языки и средства для реализации контрольных списков. Открытый проект OpenSCAP предоставляет точку интеграции для этих усилий с программным обеспечением Red Hat. Проект OpenSCAP объединяет стандартизированные компоненты для создания, обслуживания, проверки, отчета и анализа результатов определений соответствия требованиям.

Определения соответствия записываются в формате описания открытого языка уязвимостей и оценки (OVAL) и расширенного списка контрольных списков конфигурации (XCCDF). Оба формата представлены в ФОРМАТЕ XML. Думайте о OVAL в качестве средства для определения и измерения логического утверждения о состоянии системы конечных точек. Думайте о XCCDF в качестве средства для выражения, упорядочивания и управления этими утверждениями в политиках безопасности. Сканер OpenSCAP может использовать оба этих типа документов.

Проект соответствия требованиям в виде кода с открытым исходным кодом предоставляет содержимое в SCAP, Ansible и других форматах. Обычно SCAP используется для измерения и создания отчетов и использования Ansible для исправления.

В Microsoft Azure есть несколько предложений соответствия требованиям, которые помогут обеспечить соответствие рабочих нагрузок нормативным рекомендациям. Во-первых, необходимо реализовать определенные стандарты соответствия .

Рекомендации по проектированию

При управлении управлением экземплярами RHEL в целевой зоне Azure следует учитывать стандарты соответствия, которые должна соответствовать вашей организации. Настройте управление на основе внутренних и нормативных элементов управления, определенных в соответствии с вашими системами RHEL. Выберите средства и службы на основе применения стандартов и исправления отклонений. Рассмотрите способ измерения соответствия требованиям и рассмотрите возможности создания отчетов и исправления. С точки зрения реализации эти варианты влияют на многие области соответствия требованиям, описанные в предыдущем разделе.

Стандарты соответствия содержат факторивные списки требований к безопасности, которые можно использовать для интеграции управления содержимым и изображениями с инструментами автоматизации, чтобы можно было:

  • Определите содержимое конфигурации операционной системы, приложения и безопасности вместе в компонуемом конвейере.
  • Постоянно измеряйте, сохраняйте и доставляйте образы, соответствующие требованиям с момента развертывания.
  • Постоянно измерять, поддерживать и исправлять постоянные экземпляры.

Жизненный цикл содержимого и конвейеры сборки образов являются идеальными точками применения. Рассмотрим следующие конвейеры:

  • Анализ и отчеты. Облачные платформы предоставляют комплексные службы, которые можно использовать для агрегирования метаданных и данных журнала из развернутых систем. Вы также можете доставлять и хранить захваченные данные для нормативных требований к отчетам и аудитам.
  • Во-первых, автоматизация: современные системы автоматизации могут упростить соответствие нормативным требованиям и отчеты, повысить точность и видимость. Реализуйте управление соответствием через инфраструктуру как автоматизацию кода (IaC) в рамках процесса развертывания. Рассмотрите возможность объединения рабочих процессов сканирования и обслуживания, чтобы обеспечить своевременные отчеты и методологию сбоем, которая обеспечивает минимальный объем невыполненной работы по соответствию требованиям. Чтобы обеспечить согласованность, объединяйте код автоматизации реализации и код исправления.
  • Обслуживание соответствия требованиям: стандарты соответствия обновляются регулярно и имеют известные механизмы доставки и типы контента. Убедитесь, что при реализации управления соответствием используются открытые стандарты. Создайте потоковую передачу содержимого соответствия и просмотрите жизненный цикл для разработки приложений и образов.

Рекомендации по проектированию

Управление в Azure включает соответствие нормативным требованиям, а также управление ресурсами и масштабирование ресурсов. Рассмотрим эти рекомендации Red Hat и Майкрософт для комплексной реализации управления.

Соответствие нормативным требованиям

Red Hat предоставляет проверенное содержимое в соответствии с потребностями управления. При определении базовых и обязательных требований соответствия тщательно изучите существующие источники содержимого соответствия и кода автоматизации. Для поддержания комплексных баз кода, Red Hat, Майкрософт и партнеров по безопасности Майкрософт тесно работают с органами стандартов соответствия. Комплексные базы кода упрощают оценку соответствия требованиям. Вы можете использовать служебные программы, такие как SCAP workbench, которые включены в каждую подписку RHEL, чтобы воспользоваться существующим содержимым и адаптировать его в соответствии с вашими потребностями. Для каждого основного выпуска RHEL Red Hat предоставляет руководство по безопасности SCAP (SSG), содержащее опубликованные базовые показатели XCCDF для известных стандартов соответствия.

Например, SSG для RHEL 9 содержит следующее:

  • ANSSI-BP-028 — расширенный, высокий, промежуточный, минимальный
  • CCN RHEL 9 — Advanced, Intermediate, Basic
  • Центр безопасности Интернета (CIS) RHEL 9 Benchmark для уровня 2 — сервер
  • Cis RHEL 9 Benchmark for Level 1 — Server
  • Cis RHEL 9 Benchmark for Level 1 — Рабочая станция
  • Cis RHEL 9 Benchmark for Level 2 — Рабочая станция
  • [ЧЕРНОВИК] Контролируемые неклассифицированные сведения в не федеральных информационных системах и организациях (NIST 800-171)
  • Австралийский центр кибербезопасности (ACSC) Essential Восемь
  • Официальное руководство по информационной безопасности ACSC (ISM)
  • HIPAA
  • Профиль защиты для операционных систем общего назначения
  • Базовый план управления PCI DSS версии 3.2.1 для RHEL 9
  • Базовые показатели управления PCI DSS версии 4.0 для RHEL 7, RHEL 8 (RHEL-1808) и RHEL 9
  • [ЧЕРНОВИК] DISA STIG для RHEL 9
  • [ЧЕРНОВИК] DISA STIG с графическим пользовательским интерфейсом (GUI) для RHEL 9

Группа реагирования на инциденты безопасности продуктов Red Hat предоставляет опубликованный поток известных распространенных уязвимостей и сведений об уязвимостях (CVE) для продуктов Red Hat в формате OVAL. Red Hat рекомендует использовать эти ресурсы в рамках реализации соответствия требованиям в Azure.

Построитель образов Red Hat Satellite и RHEL включает интегрированные функции SCAP, которые можно использовать для:

  • Определите изображение, защищенное выбранным стандартом.
  • Определите профиль политики SCAP и измените его на каждую рабочую нагрузку.
  • Сканирование планирования для управляемых систем.
  • Протестируйте конвейеры содержимого и доставляете содержимое версии в соответствии со стандартами.

Azure предоставляет средства, которые можно использовать для реализации нескольких нормативных стандартов. Для автоматического применения различных инициатив используйте Политика Azure инициативы. Чтобы реализовать безопасные параметры для гостей операционной системы Linux, рассмотрите базовые показатели безопасности Linux.

Себестоимость

В контексте облачных вычислений, особенно Microsoft Azure, управление затратами относится к практике управления и оптимизации затрат, связанных с службами Azure. Azure предоставляет набор средств для мониторинга, контроля и оптимизации расходов. Используйте эти средства, чтобы обеспечить эффективное масштабирование и адаптацию ресурсов без ненужных финансовых накладных расходов.

Управление затратами Майкрософт используется для управления затратами и отслеживания затрат в Azure. Получите представление о расходах Azure для оптимизации затрат. Чтобы управлять затратами на вычислительные ресурсы, используйте резервирования Azure и планы экономии Azure. Используйте эти средства, чтобы реализовать эффективные стратегии управления затратами и помочь вашему бизнесу максимизировать облачные инвестиции, сохраняя расходы под контролем.

Управление ресурсами

Управляйте организацией ресурсов Azure, чтобы эффективно управлять и защищать облачные ресурсы, особенно по мере роста сложности корпоративной среды. В Azure есть несколько средств и служб, которые поддерживают эффективное управление и обеспечивают согласованное управление ресурсами, совместимые с политиками и оптимизированные для производительности и затрат.

Используйте Политика Azure в качестве охранника, чтобы обеспечить соответствие вашей среде. Используйте спецификации шаблонов , чтобы обеспечить соответствие развертываний удостоверениям, безопасности, затратам и другим требованиям по умолчанию. Убедитесь, что у вас есть стандарт именования для ресурсов Azure. Стандарт именования упрощает управление и настройку среды с течением времени. Используйте группы управления и политики для организации ресурсов в целевых зонах перед развертыванием рабочих нагрузок в клиенте Azure.

Подробные рекомендации по проектированию подписок см . в руководстве по подписке Cloud Adoption Framework.

Принудительное исполнение

Используйте Политика Azure для применения стандартов управления и реализации нормативных инициатив. Политики Azure — это средства защиты, которые помогают обеспечить соответствие требованиям по безопасности, затратам, нормативным требованиям, ресурсам и управлению. Панель мониторинга соответствия можно использовать для просмотра соответствия каждому ресурсу или политике. Вы также можете использовать Политика Azure для исправления.

Вы можете использовать Red Hat Satellite с платформой автоматизации Ansible для разработки конвейеров для доставки содержимого и изображений, которые интегрируют требования к соответствию рабочей нагрузки.

Чтобы получить комплексный анализ соответствия, используйте коллекции Ansible, сертифицированные Red Hat, для автоматизации сбора данных для интеграции с мониторингом Azure.

Следующие шаги