通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 上的 Red Hat Enterprise Linux 的治理和符合性注意事项

  • 项目

本文介绍 Red Hat Enterprise Linux (RHEL) 操作系统映像和实例的注意事项和建议。 在云环境中高效有效的治理和合规性需要勤奋的努力。

Azure 中 RHEL 部署的符合性是指用于定义、度量和报告系统是否符合规则的方法,例如规范、策略或标准。 你的组织可能对系统具有使用要求。 治理是指用于定义所需满足的规范的结构和流程。 治理还包括如何强制实施这些规范以及如何修正错误。

概述

组织,特别是在受管制的行业,通常需要授权才能在其环境中安装和使用软件。 此过程包括根据安全要求指南(SRG)评估软件,该指南是一组技术控制措施。 此类控制的示例是国家标准与技术研究所(NIST) 信息系统和组织的安全和隐私控制。

此安全评估确定软件是满足每个控件,还是可以将软件配置为满足每个控件。 评估还确定控件是否适用于特定软件。 组织的治理框架确定哪些法规适用于 Azure 部署,以及法规适用的系统。 遵守安全要求决定了合规性级别。

Red Hat 适用于许多标准机构,以确保 Azure 软件的配置点、度量和修正已知、已验证和可引用。 标准机构可以创建用于描述其行业 SRG 的评估基准或清单。 这些基准的示例包括:

  • 支付卡行业数据安全标准(PCI DSS)适用于支付卡行业。
  • 医疗保健行业的健康保险可移植性和责任法(HIPPA)。
  • 国防信息系统局(DISA)和安全技术实施指南(STIG)适用于政府和相关行业。

安全内容和自动化协议 (SCAP) 提供了这些清单。 SCAP 是一套规范,例如检查和自动化方法的定义,用于交换安全自动化内容。 可以使用此内容来评估配置符合性,并检测存在易受攻击的软件版本。 Red Hat 与 NIST 和 MITRE 公司合作编写和发布内容。 扫描工具使用内容来评估和报告 RHEL 操作系统和其他 Red Hat 软件的各种合规性标准。

Red Hat 还为开发标准语言和工具以实现清单的开源项目做出贡献。 OpenSCAP 开放项目为 Red Hat 软件提供一个集成点。 OpenSCAP 项目结合了标准化组件来创建可用于创建、维护、扫描、报告和分析符合性定义结果的工具。

符合性定义以开放漏洞和评估语言(OVAL)和可扩展配置清单说明格式(XCCDF)编写。 这两种格式都以 XML 表示。 将 OVAL 视为定义和度量终结点系统状态的逻辑断言的方法。 将 XCCDF 视为将这些断言表达、组织和管理到安全策略的手段。 OpenSCAP 扫描程序可以使用这两种文档类型。

合规性即代码开源项目以 SCAP、Ansible 和其他格式提供内容。 通常使用 SCAP 进行度量和报告,并使用 Ansible 进行修正。

Microsoft Azure 有多个符合性产品/服务,可帮助确保工作负载符合法规准则。 首先,必须实施特定的 合规性 标准。

设计注意事项

在 Azure 登陆区域中管理 RHEL 实例的治理时,请考虑组织必须遵循的符合性标准。 根据内部授权和监管框架定义的控件配置治理,因为它们适用于 RHEL 系统。 根据实施标准和修正偏差的方式选择工具和服务。 考虑如何衡量合规性,并考虑报告和修正功能。 从实现的角度来看,这些选择会影响前面部分所述的许多合规性领域。

合规性标准包含安全要求的可分解列表,可用于将内容和映像管理与自动化工具集成,以便可以:

  • 在可组合管道中一起定义操作系统、应用程序和安全配置内容。
  • 持续测量、维护和交付满足部署时间要求的图像。
  • 持续度量、维护和修正永久性实例。

内容生命周期和映像生成管道是强制实施的理想点。 请考虑以下管道:

  • 分析和报告:云平台提供全面的服务,可用于聚合已部署系统中的元数据和日志数据。 还可以提供和存储捕获的数据,以满足法规报告要求和审核。
  • 自动化首先:新式自动化系统可以简化法规合规性和报告,并提高准确性和可见性。 在部署过程中,通过基础结构即代码(IaC)自动化实现合规性管理。 请考虑组合扫描和维护活动工作流,以确保及时报告和 快速 方法,使合规性积压工作保持在最低水平。 为了确保一致性,请统一实现自动化代码和修正代码。
  • 合规性维护:合规性标准定期更新,并具有已知的传递机制和内容类型。 确保实施合规性管理时使用开放标准。 设计合规性内容流式处理,并查看应用程序和映像开发的生命周期。

设计建议

Azure 中的治理包括法规合规性以及成本、资源管理和资源缩放。 请考虑这些 Red Hat 和Microsoft建议以全面实施治理。

合规性

Red Hat 提供经过验证的内容以满足治理需求。 确定基线和强制性符合性要求时,请全面查看现有合规性内容源和自动化代码。 为了维护全面的代码库,Red Hat、Microsoft和Microsoft安全合作伙伴与合规性标准机构密切合作。 全面的代码库简化了合规性评估。 可以使用每个 RHEL 订阅随附的 SCAP 工作台等实用工具来利用现有内容并对其进行定制以满足特定需求。 对于 RHEL 的每个主要版本,Red Hat 提供了一个 SCAP 安全指南(SSG),其中包含已发布的用于已知符合性标准的 XCCDF 基线。

例如,RHEL 9 的 SSG 包含:

  • ANSSI-BP-028 - 增强型、高、中间级、最小
  • CCN RHEL 9 - 高级、中间、基本
  • 第 2 级 RHEL 9 基准的 Internet 安全性中心 (CIS) - 服务器
  • 第 1 级 CIS RHEL 9 基准 - 服务器
  • 第 1 级 CIS RHEL 9 基准 - 工作站
  • 第 2 级 CIS RHEL 9 基准 - 工作站
  • [DRAFT]非联邦信息系统和组织中受控的非分类信息(NIST 800-171)
  • 澳大利亚网络安全中心(ACSC)基本八
  • ACSC 信息安全手册 (ISM) 官方
  • HIPAA
  • 常规用途操作系统的保护配置文件
  • RHEL 9 的 PCI DSS v3.2.1 控制基线
  • RHEL 7、RHEL 8(RHEL-1808)和 RHEL 9 的 PCI DSS v4.0 控制基线
  • [DRAFT]DISA STIG for RHEL 9
  • [DRAFT]使用 RHEL 9 的图形用户界面 (GUI) 的 DISA STIG

Red Hat 产品安全事件响应团队以 OVAL 格式提供 Red Hat 产品的已知常见漏洞和暴露(CVE)信息的已发布流。 Red Hat 建议将这些资源用作 Azure 中合规性实现的一部分。

Red Hat Satellite 和 RHEL 映像生成器包括可用于:

  • 定义强化为所选标准的图像。
  • 定义 SCAP 策略配置文件,并根据每个工作负荷定制它。
  • 托管系统的扫描计划。
  • 测试内容管道,并提供版本控制的内容以满足标准。

Azure 提供可用于实施多个法规标准的工具。 若要自动强制实施各种计划,请使用 Azure Policy 计划。 若要为 Linux 操作系统来宾实现安全设置,请考虑 Linux 安全基线

成本

在云计算(尤其是Microsoft Azure)的背景下,成本治理是指管理和优化与 Azure 服务关联的成本的做法。 Azure 提供了一套工具来帮助你监视、控制和优化支出。 使用这些工具可确保可以高效地缩放和调整资源,而无需不必要的财务开销。

使用Microsoft成本管理来管理和 跟踪 Azure 中的成本 。 了解 Azure 支出以优化成本。 为了帮助控制计算资源的成本,请使用 Azure 预留Azure 节省计划。 使用这些工具实施有效的成本治理策略,并帮助企业最大程度地提高云投资,同时控制支出。

资源治理

管理 Azure 资源组织,帮助高效管理和保护云资源,尤其是在企业环境的复杂性增长时。 Azure 有多个工具和服务支持有效的治理,并确保资源一致管理、符合策略,并针对性能和成本进行优化。

使用 Azure Policy 作为防护措施,使环境保持合规。 使用 模板规格 来确保部署默认满足标识、安全、成本和其他要求。 确保具有 Azure 资源的命名标准 。 命名标准使你能够更轻松地管理和配置一段时间内的环境。 在将工作负荷部署到 Azure 租户之前,使用管理组和策略在登陆区域中组织资源。

有关订阅设计的综合建议,请参阅云采用框架订阅指南

强制

使用 Azure Policy 强制执行治理标准并实施监管计划。 Azure 策略是一种防护措施,可帮助跨安全、成本、法规合规性、资源和管理强制实施合规性。 可以使用合规性仪表板查看每个资源或策略的符合性。 还可以使用 Azure Policy 执行修正。

可以将 Red Hat Satellite 与 Ansible 自动化平台配合使用,为集成工作负载符合性要求的内容和映像交付开发管道。

若要进行全面的合规性分析,请使用 Red Hat Satellite 认证的 Ansible 集合来自动收集数据收集,以便集成到 Azure 监视中。

后续步骤