Azure 上的 Red Hat Enterprise Linux 治理和合規性考慮
本文說明 Red Hat Enterprise Linux (RHEL) 操作系統映像和實例的考慮和建議。 在雲端環境中有效率且有效的治理和合規性需要勤奮的努力。
Azure 中 RHEL 部署的合規性是指您用來定義、測量及報告系統如何符合規則的方法,例如規格、原則或標準。 您的組織可能具有系統的使用需求。 治理是指您用來定義您需要符合之規格的結構和程式。 治理也包括如何強制執行這些規格,以及如何補救錯誤。
概觀
組織,特別是在受管制的產業中,通常需要授權才能在其環境中安裝及使用軟體。 此程式包括根據安全性需求指南 (SRG) 評估軟體,這是一組技術控制措施。 這類控件的範例是資訊系統和組織的國家標準與技術研究所(NIST)安全性和隱私權控制。
此安全性評估會決定軟體是否符合每個控件,還是您可以設定軟體以符合每個控件。 評估也會判斷控制項是否套用至特定軟體。 貴組織的治理架構會決定在 Azure 部署中套用哪些法規,以及法規適用的系統。 遵循安全性需求會決定合規性層級。
Red Hat 可搭配許多標準主體運作,以確保 Azure 軟體已知、驗證及可參考的設定點、測量和補救。 標準機構可以建立評估的基準檢驗或檢查清單,以描述其產業的SRG。 這些基準檢驗的範例包括:
- 支付卡產業數據安全性標準 (PCI DSS) 適用於付款卡產業。
- 醫療保健業的健康保險可移植性和責任法案(HIPPA)。
- 國防信息系統局(DISA)和安全技術實施指南(STIG)適用於政府和相關產業。
安全性內容和自動化通訊協定 (SCAP) 提供這些檢查清單。 SCAP 是一套規格,例如檢查和自動化方法的定義,可用來交換安全性自動化內容。 您可以使用此內容來評估設定合規性,並偵測易受攻擊的軟體版本是否存在。 Red Hat 與 NIST 和 MITRE 公司合作,以撰寫和發佈內容。 掃描工具會使用內容來評估及報告 RHEL 操作系統和其他 Red Hat 軟體的各種合規性標準。
Red Hat 也參與開發標準語言和工具來實作檢查清單的開放原始碼專案。 OpenSCAP 開放專案會提供整合點,以搭配 Red Hat 軟體進行這些工作。 OpenSCAP 專案結合了標準化元件,以建立可用來建立、維護、掃描、報告及分析合規性定義結果的工具。
合規性定義是以開放式弱點和評估語言 (OVAL) 和可延伸的設定檢查清單描述格式 (XCCDF) 撰寫。 這兩種格式都以 XML 表示。 將 OVAL 視為定義和測量端點系統狀態的邏輯判斷提示的方法。 將 XCCDF 視為將這些判斷提示表達、組織及管理到安全策略的方法。 OpenSCAP 掃描器可以使用這兩種檔類型。
合規性即程式代碼開放原始碼專案會以 SCAP、Ansible 和其他格式提供內容。 您通常會使用 SCAP 來測量和報告,並使用 Ansible 進行補救。
Microsoft Azure 有數個合規性供應專案,可協助確保您的工作負載符合法規指導方針。 首先,您必須實作特定的 合規性 標準。
設計考量
當您管理 Azure 登陸區域中 RHEL 實例的治理時,請考慮貴組織必須遵守的合規性標準。 根據內部授權和法規架構定義的控件來設定治理,因為它們適用於 RHEL 系統。 根據您強制執行標準和補救偏差的方式,選擇您的工具和服務。 請考慮如何測量合規性,並考慮您的報告和補救功能。 從實作的觀點來看,這些選擇會影響上一節所述的許多合規性領域。
合規性標準包含可分解的安全性需求清單,可用來整合內容和映射管理與自動化工具,以便您可以:
- 在可組合管線中一起定義操作系統、應用程式和安全性組態內容。
- 持續測量、維護和傳遞符合部署時間需求的映像。
- 持續測量、維護和補救持續性實例。
內容生命週期和映像建置管線是強制執行的理想點。 請考慮下列管線:
- 分析和報告:雲端平臺提供全方位的服務,可讓您用來匯總已部署系統的元數據和記錄數據。 您也可以傳遞和儲存擷取的數據,以取得法規報告需求和稽核。
- 自動化首先:新式自動化系統可以簡化法規合規性和報告,並提升精確度和可見度。 透過基礎結構即程序代碼 (IaC) 自動化實作合規性管理。 請考慮結合掃描和維護活動工作流程,以確保及時報告和 快速 方法,讓您的合規性待辦專案保持在最低水準。 為了確保一致性,請統一實作自動化程式代碼和補救程序代碼。
- 合規性維護:合規性標準會定期更新,並具有已知的傳遞機制和內容類型。 請確定您在實作合規性管理時使用開放式標準。 設計合規性內容串流,並檢閱您的應用程式和映像開發生命週期。
設計建議
Azure 中的治理包括法規合規性,以及成本、資源管理和資源調整。 請考慮這些 Red Hat 和Microsoft建議,以全面實作治理。
法規遵循
Red Hat 提供已驗證的內容以符合治理需求。 當您判斷基準和強制合規性需求時,請徹底檢閱現有的合規性內容和自動化程式代碼來源。 為了維護完整的程式代碼基底、Red Hat、Microsoft,以及Microsoft安全性合作夥伴與合規性標準機構密切合作。 完整的程式代碼基底可簡化合規性評估。 您可以使用每個 RHEL 訂用帳戶隨附的 SCAP 工作台等公用程式,利用現有的內容並量身打造,以符合您的特定需求。 針對 RHEL 的每個主要版本,Red Hat 會提供 SCAP 安全性指南 (SSG),其中包含已知合規性標準的已發佈 XCCDF 基準。
例如,RHEL 9 的 SSG 包含:
- ANSSI-BP-028 - 增強型、高、中級、最小
- CCN RHEL 9 - 進階、中繼、基本
- 第 2 層的因特網安全性中心 (CIS) RHEL 9 基準檢驗 - 伺服器
- 第 1 層的 CIS RHEL 9 基準檢驗 - 伺服器
- 第 1 層的 CIS RHEL 9 基準檢驗 - 工作站
- 第 2 層的 CIS RHEL 9 基準檢驗 - 工作站
- [DRAFT]非聯邦資訊系統和組織中的受控未分類資訊 (NIST 800-171)
- 澳大利亞網路安全中心(ACSC)基本八
- ACSC 資訊安全手冊 (ISM) 官方
- HIPAA
- 一般用途操作系統的保護配置檔
- 適用於 RHEL 9 的 PCI DSS v3.2.1 控制基準
- 適用於 RHEL 7、RHEL 8 (RHEL-1808) 和 RHEL 9 的 PCI DSS v4.0 控制基準
- [DRAFT]DISA STIG for RHEL 9
- [DRAFT]RHEL 9 的 DISA STIG 與圖形使用者介面 (GUI)
Red Hat 產品安全性事件回應小組會針對 OVAL 格式的 Red Hat 產品提供已知常見弱點和暴露 (CVE) 資訊的已發佈數據流。 Red Hat 建議您在 Azure 中使用這些資源作為合規性實作的一部分。
Red Hat Satellite 和 RHEL 映射產生器包含可用來:
- 定義強化至所選標準的影像。
- 定義 SCAP 原則設定檔,並針對每個工作負載量身打造。
- 掃描受控系統的排程。
- 測試內容管線,並傳遞已建立版本的內容以符合標準。
Azure 提供工具,可讓您用來實作數個法規標準。 若要自動強制執行各種不同的計劃,請使用 Azure 原則 計劃。 若要實作 Linux 作業系統客體的安全設定,請考慮 Linux 安全性基準。
成本
在雲端運算的內容中,特別是Microsoft Azure,成本治理是指管理和優化與 Azure 服務相關聯的成本的做法。 Azure 提供一套工具,可協助您監視、控制及優化支出。 使用這些工具,以確保您可以有效率地調整和調整資源,而不需要不必要的財務負擔。
使用Microsoft成本管理來管理及 追蹤 Azure 中的成本 。 瞭解您的 Azure 費用,以將成本優化。 若要協助控制計算資源的成本,請使用 Azure 保留 和 Azure 節省方案。 使用這些工具來實作有效的成本治理策略,並協助企業將雲端投資最大化,同時控制費用。
資源管理
控管您的 Azure 資源組織,以有效率地管理及保護雲端資源,特別是隨著企業環境的複雜性成長。 Azure 有數個工具和服務,可支援有效的治理,並確保資源一致地受到管理、符合原則規範,並針對效能和成本進行優化。
使用 Azure 原則 作為護欄,讓您的環境符合規範。 使用 範本規格 ,以確保部署預設符合您的身分識別、安全性、成本和其他需求。 請確定您有 Azure 資源的命名標準 。 命名標準可讓您在一段時間內更輕鬆地管理及設定環境。 在將工作負載部署到 Azure 租使用者之前,請先使用管理群組和原則,在登陸區域內組織資源。
如需訂用帳戶設計的完整建議,請參閱 雲端採用架構 訂用帳戶指引。
實施
使用 Azure 原則 來強制執行治理標準並實作法規計劃。 Azure 原則是防護措施,可協助跨安全性、成本、法規合規性、資源和管理強制執行合規性。 您可以使用合規性儀錶板來檢視每個資源或原則的合規性。 您也可以使用 Azure 原則 來執行補救。
您可以使用 Red Hat Satellite 與 Ansible Automation Platform 來開發管線,以取得整合工作負載合規性需求的內容和映像傳遞管線。
若要取得完整的合規性分析,請使用 Red Hat Satellite 認證的 Ansible 集合將數據收集自動化,以整合至 Azure 監視。