Considerazioni sulla governance e sulla conformità per Red Hat Enterprise Linux in Azure
Questo articolo descrive le considerazioni e le raccomandazioni per le immagini e le istanze del sistema operativo Red Hat Enterprise Linux (RHEL). La governance e la conformità efficienti ed efficaci in un ambiente cloud richiedono uno sforzo diligente.
La conformità per le distribuzioni RHEL in Azure fa riferimento ai metodi usati per definire, misurare e segnalare la conformità dei sistemi a una regola, ad esempio una specifica, un criterio o uno standard. È probabile che l'organizzazione disponga dei requisiti di utilizzo per il sistema. La governance si riferisce alle strutture e ai processi usati per definire le specifiche che è necessario soddisfare. La governance include anche come applicare tali specifiche e come correggere il disallineamento.
Panoramica
Le organizzazioni, soprattutto nei settori regolamentati, spesso necessitano di un'autorità per operare (ATO) per installare e usare software nei propri ambienti. Questo processo include la valutazione del software rispetto a una guida ai requisiti di sicurezza (SRG), che è un set di controlli tecnici. Un esempio di tali controlli è il National Institute of Standards and Technology (NIST) controlli di sicurezza e privacy per sistemi informativi e organizzazioni.
Questa valutazione della sicurezza determina se il software soddisfa ogni controllo o se è possibile configurare il software per soddisfare ogni controllo. La valutazione determina inoltre se il controllo si applica a un determinato software. Il framework di governance dell'organizzazione determina quali normative si applicano all'interno della distribuzione di Azure e a quali sistemi si applicano le normative. La conformità ai requisiti di sicurezza determina il livello di conformità.
Red Hat funziona con molti organismi standard per garantire che i punti di configurazione, le misurazioni e le correzioni siano noti, verificati e referenziabili per il software Azure. Gli organismi standard possono creare benchmark o elenchi di controllo delle valutazioni che descrivono la SRG per il proprio settore. Esempi di questi benchmark includono:
- Payment Card Industry Data Security Standard (PCI DSS) per il settore delle carte di pagamento.
- Health Insurance Portability and Accountability Act (HIPPA) per il settore sanitario.
- Defense Information Systems Agency (DISA) e Security Technical Implementation Guide (STIG) per enti pubblici e settori correlati.
Il protocollo SCAP (Security Content and Automation Protocol) fornisce questi elenchi di controllo. SCAP è una suite di specifiche, ad esempio definizioni di controlli e metodi di automazione, per lo scambio di contenuto di automazione della sicurezza. È possibile usare questo contenuto per valutare la conformità della configurazione e per rilevare la presenza di versioni vulnerabili del software. Red Hat collabora con NIST e l'azienda MITRE per scrivere e pubblicare contenuti. Gli strumenti di analisi usano il contenuto per valutare e segnalare un'ampia gamma di standard di conformità per il sistema operativo RHEL e altri software Red Hat.
Red Hat contribuisce anche ai progetti open source che sviluppano i linguaggi e gli strumenti standard per implementare gli elenchi di controllo. Il progetto aperto OpenSCAP offre un punto di integrazione per queste attività con il software Red Hat. Il progetto OpenSCAP combina componenti standardizzati per creare strumenti che è possibile usare per creare, gestire, analizzare, report e analizzare i risultati delle definizioni di conformità.
Le definizioni di conformità sono scritte in Formato XCCDF (Open Vulnerability and Assessment Language) e Extensible Configuration Description Format (XCCDF). Entrambi i formati sono rappresentati in XML. Si pensi a OVAL come mezzo per definire e misurare un'asserzione logica sullo stato di un sistema endpoint. Si pensi a XCCDF come mezzo per esprimere, organizzare e gestire tali asserzioni in criteri di sicurezza. Lo scanner OpenSCAP può utilizzare entrambi i tipi di documento.
Il progetto open source Compliance as Code fornisce contenuto in SCAP, Ansible e altri formati. In genere si usa SCAP per misurare e creare report e usare Ansible per la correzione.
Microsoft Azure offre diverse offerte di conformità per garantire che i carichi di lavoro siano conformi alle linee guida normative. In primo luogo, è necessario implementare standard di conformità specifici.
Considerazioni relative alla progettazione
Quando si gestisce la governance per le istanze RHEL in una zona di destinazione di Azure, prendere in considerazione gli standard di conformità a cui l'organizzazione deve rispettare. Configurare la governance in base ai controlli definiti dal framework normativo e internamente imposti dal framework quando si applicano ai sistemi RHEL. Scegliere gli strumenti e i servizi in base alla modalità di applicazione degli standard e correzione delle deviazioni. Valutare la modalità di misurazione della conformità e prendere in considerazione le funzionalità di creazione di report e correzione. Dal punto di vista dell'implementazione, queste scelte influiscono su molte delle aree di conformità descritte nella sezione precedente.
Gli standard di conformità contengono elenchi fattorizzabili di requisiti di sicurezza che è possibile usare per integrare la gestione dei contenuti e delle immagini con gli strumenti di automazione in modo che sia possibile:
- Definire il contenuto di configurazione del sistema operativo, dell'applicazione e della sicurezza insieme in una pipeline componibile.
- Misurare, gestire e distribuire continuamente immagini che soddisfano i requisiti del tempo di distribuzione.
- Misurare, gestire e correggere continuamente le istanze persistenti.
Il ciclo di vita del contenuto e le pipeline di compilazione di immagini sono punti ideali per l'applicazione. Si considerino le pipeline seguenti:
- Analisi e creazione di report: le piattaforme cloud offrono servizi completi che è possibile usare per aggregare metadati e dati di log dai sistemi distribuiti. È anche possibile distribuire e archiviare i dati acquisiti per i requisiti e i controlli dei report normativi.
- Automazione: i sistemi di automazione moderni possono semplificare la conformità alle normative e la creazione di report e aumentare l'accuratezza e la visibilità. Implementare la gestione della conformità tramite l'automazione dell'infrastruttura come codice (IaC) come parte del processo di distribuzione. Valutare la possibilità di combinare flussi di lavoro di analisi e attività di manutenzione per garantire report tempestivi e una metodologia di fail-fast , che consente di mantenere minimo il backlog di conformità. Per garantire la coerenza, unificare il codice di automazione dell'implementazione e il codice di correzione.
- Manutenzione della conformità: gli standard di conformità vengono aggiornati regolarmente e dispongono di meccanismi di distribuzione e tipi di contenuto noti. Assicurarsi di usare standard aperti quando si implementa la gestione della conformità. Progettare lo streaming di contenuti di conformità ed esaminare il ciclo di vita per lo sviluppo di applicazioni e immagini.
Suggerimenti per la progettazione
La governance in Azure include la conformità alle normative e anche i costi, la gestione delle risorse e il ridimensionamento delle risorse. Prendere in considerazione questi consigli su Red Hat e Microsoft per implementare in modo completo la governance.
Conformità
Red Hat fornisce contenuto convalidato per soddisfare le esigenze di governance. Quando si determinano i requisiti di conformità di base e obbligatori, esaminare attentamente le origini esistenti del contenuto di conformità e del codice di automazione. Per mantenere codebase complete, Red Hat, Microsoft e i partner di sicurezza Microsoft collaborano strettamente con gli organismi degli standard di conformità. Le codebase complete semplificano la valutazione della conformità. È possibile usare utilità, ad esempio il workbench SCAP incluso in ogni sottoscrizione RHEL, per sfruttare il contenuto esistente e personalizzarlo in base alle esigenze specifiche. Per ogni versione principale di RHEL, Red Hat fornisce una guida alla sicurezza SCAP (SSG) che contiene le baseline XCCDF pubblicate per gli standard di conformità noti.
Ad esempio, SSG per RHEL 9 contiene:
- ANSSI-BP-028 - Avanzato, Alto, Intermedio, Minimo
- CCN RHEL 9 - Advanced, Intermediate, Basic
- Center for Internet Security (CIS) RHEL 9 Benchmark for Level 2 - Server
- Benchmark CIS RHEL 9 per il livello 1 - Server
- Benchmark CIS RHEL 9 per il livello 1 - Workstation
- Benchmark CIS RHEL 9 per il livello 2 - Workstation
- [BOZZA] Informazioni non classificate controllate in sistemi informativi e organizzazioni non federali (NIST 800-171)
- Australian Cyber Security Centre (ACSC) Essential Eight
- ACSC Information Security Manual (ISM) Official
- HIPAA
- Profilo di protezione per sistemi operativi per utilizzo generico
- Baseline di controllo PCI DSS v3.2.1 per RHEL 9
- Baseline di controllo PCI DSS v4.0 per RHEL 7, RHEL 8 (RHEL-1808) e RHEL 9
- [BOZZA] DISA STIG per RHEL 9
- [BOZZA] DISA STIG con interfaccia utente grafica (GUI) per RHEL 9
Il team red hat product security incident response fornisce un flusso pubblicato di informazioni note su vulnerabilità ed esposizioni (CVE) per i prodotti Red Hat in formato OVAL. Red Hat consiglia di usare queste risorse come parte dell'implementazione della conformità in Azure.
Red Hat Satellite e il generatore di immagini RHEL includono funzionalità SCAP integrate che è possibile usare per:
- Definire un'immagine con protezione avanzata a uno standard selezionato.
- Definire un profilo di criteri SCAP e personalizzarlo in base a ogni carico di lavoro.
- Analizzare la pianificazione per i sistemi gestiti.
- Testare le pipeline di contenuto e distribuire contenuto con versione per soddisfare gli standard.
Azure offre strumenti che è possibile usare per implementare diversi standard normativi. Per applicare automaticamente un'ampia gamma di iniziative, utilizzare Criteri di Azure iniziative. Per implementare impostazioni sicure per i guest del sistema operativo Linux, prendere in considerazione la baseline di sicurezza linux.
Costo
Nel contesto del cloud computing, in particolare Microsoft Azure, la governance dei costi si riferisce alla pratica di gestione e ottimizzazione dei costi associati ai servizi di Azure. Azure offre una suite di strumenti che consentono di monitorare, controllare e ottimizzare le spese. Usare questi strumenti per garantire che sia possibile ridimensionare e adattare le risorse in modo efficiente senza sovraccarichi finanziari non necessari.
Usare Gestione costi Microsoft per gestire e tenere traccia dei costi in Azure. Ottenere visibilità sulla spesa di Azure per ottimizzare i costi. Per controllare i costi per le risorse di calcolo, usare le prenotazioni di Azure e i piani di risparmio di Azure. Usare questi strumenti per implementare strategie di governance dei costi efficaci e aiutare l'azienda a ottimizzare l'investimento nel cloud mantenendo sotto controllo le spese.
Governance delle risorse
Gestire l'organizzazione delle risorse di Azure per gestire e proteggere le risorse cloud in modo efficiente, soprattutto quando aumenta la complessità dell'ambiente aziendale. Azure offre diversi strumenti e servizi che supportano una governance efficace e assicurano che le risorse siano gestite in modo coerente, conformi ai criteri e ottimizzate sia per le prestazioni che per i costi.
Usare Criteri di Azure come protezione per mantenere conforme l'ambiente. Usare le specifiche di modello per assicurarsi che le distribuzioni soddisfino l'identità, la sicurezza, i costi e altri requisiti per impostazione predefinita. Assicurarsi di avere uno standard di denominazione per le risorse di Azure. Uno standard di denominazione semplifica la gestione e la configurazione dell'ambiente nel tempo. Usare i gruppi di gestione e i criteri per organizzare le risorse all'interno delle zone di destinazione prima di distribuire i carichi di lavoro nel tenant di Azure.
Per consigli completi sulla progettazione delle sottoscrizioni, vedere Linee guida per le sottoscrizioni di Cloud Adoption Framework.
Imposizione
Usare Criteri di Azure per applicare gli standard di governance e implementare iniziative normative. I criteri di Azure sono protezioni che consentono di applicare la conformità tra sicurezza, costi, conformità alle normative, risorse e gestione. È possibile usare il dashboard di conformità per visualizzare la conformità per ogni risorsa o criterio. È anche possibile usare Criteri di Azure per eseguire la correzione.
È possibile usare Red Hat Satellite con Ansible Automation Platform per sviluppare pipeline per la distribuzione di contenuti e immagini che integrano i requisiti di conformità del carico di lavoro.
Per ottenere un'analisi completa della conformità, usare le raccolte Ansible certificate Red Hat Satellite per automatizzare la raccolta dei dati per l'integrazione nel monitoraggio di Azure.