Freigeben über

Überlegungen zu Governance und Compliance für Red Hat Enterprise Linux in Azure

  • Artikel

In diesem Artikel werden Überlegungen und Empfehlungen für Betriebssystemimages und Instanzen von Red Hat Enterprise Linux (RHEL) beschrieben. Effiziente und effektive Governance und Compliance in einer Cloudumgebung erfordern sorgfältige Bemühungen.

Die Compliance für RHEL-Bereitstellungen in Azure bezieht sich auf die Methoden, die Sie verwenden, um zu definieren, zu messen und zu berichten, wie Systeme einer Regel entsprechen, z. B. einer Spezifikation, Richtlinie oder einem Standard. Ihre Organisation hat wahrscheinlich Nutzungsanforderungen für Ihr System. Governance bezieht sich auf die Strukturen und Prozesse, die Sie zum Definieren der Spezifikationen verwenden, die Sie erfüllen müssen. Governance umfasst auch, wie Sie diese Spezifikationen durchsetzen und wie Sie Fehlausrichtungen beheben.

Übersicht

Organisationen, insbesondere in regulierten Branchen, benötigen häufig eine Betriebsgenehmigung (Authority to Operate, ATO), um Software in ihren Umgebungen zu installieren und zu verwenden. Dieser Prozess umfasst die Bewertung der Software anhand eines Leitfadens für Sicherheitsanforderungen (Security Requirements Guide, SRG), der eine Reihe technischer Kontrollen umfasst. Ein Beispiel für solche Kontrollen sind die Sicherheits- und Datenschutzkontrollen des National Institute of Standards and Technology (NIST) für Informationssysteme und Organisationen.

Bei dieser Sicherheitsbewertung wird ermittelt, ob die Software jede Kontrolle erfüllt oder ob Sie die Software so konfigurieren können, dass sie jede Kontrolle erfüllt. Bei der Bewertung wird auch ermittelt, ob die Kontrolle für eine bestimmte Software gilt. Das Governanceframework Ihrer Organisation bestimmt, welche Vorschriften innerhalb der Azure-Bereitstellung gelten und für welche Systeme die Vorschriften gelten. Die Einhaltung der Sicherheitsanforderungen bestimmt den Grad der Compliance.

Red Hat arbeitet mit vielen Normungsgremien zusammen, um sicherzustellen, dass die Konfigurationspunkte, Messungen und Korrekturen für Azure-Software bekannt, verifiziert und referenzierbar sind. Die Normungsgremien können Benchmarks oder Checklisten der Bewertungen erstellen, die den SRG für ihre Branche beschreiben. Beispiele für diese Benchmarks sind:

  • Payment Card Industry Data Security Standard (PCI-DSS) für die Zahlungskartenindustrie
  • Health Insurance Portability and Accountability Act (HIPPA) für das Gesundheitswesen
  • Defense Information Systems Agency (DISA) und Security Technical Implementation Guide (STIG) für Behörden und verwandte Branchen

Diese Checklisten werden vom Security Content and Automation Protocol (SCAP) bereitgestellt. SCAP ist eine Reihe von Spezifikationen, wie z. B. Definitionen von Prüfungen und Automatisierungsmethoden, für den Austausch von Inhalten zur Sicherheitsautomatisierung. Sie können diese Inhalte verwenden, um die Compliance der Konfiguration zu bewerten und das Vorhandensein anfälliger Softwareversionen zu erkennen. Red Hat arbeitet mit NIST und der MITRE Corporation zusammen, um Inhalte zu erstellen und zu veröffentlichen. Scantools verwenden die Inhalte, um eine Vielzahl von Compliancestandards für das RHEL-Betriebssystem und andere Red Hat-Software zu bewerten und darüber zu berichten.

Red Hat trägt auch zu den Open-Source-Projekten bei, die die Standardsprachen und -tools zur Implementierung der Checklisten entwickeln. Das offene OpenSCAP-Projekt bietet einen Integrationspunkt für diese Bemühungen mit Red Hat-Software. Das OpenSCAP-Projekt kombiniert standardisierte Komponenten zum Erstellen von Tools, mit denen Sie die Ergebnisse von Compliancedefinitionen erstellen, verwalten, scannen, melden und analysieren können.

Die Compliancedefinitionen werden in Open Vulnerability and Assessment Language (OVAL) und Extensible Configuration Checklist Description Format (XCCDF) geschrieben. Beide Formate werden in XML dargestellt. Stellen Sie sich OVAL als ein Mittel vor, um eine logische Aussage über den Zustand eines Endpunktsystems zu definieren und zu messen. Stellen Sie sich XCCDF als ein Mittel vor, um diese Aussagen in Sicherheitsrichtlinien auszudrücken, zu organisieren und zu verwalten. Der OpenSCAP-Scanner kann beide dieser Dokumenttypen verarbeiten.

Das Open-Source-Projekt „Compliance as Code“ stellt Inhalte in SCAP, Ansible und anderen Formaten bereit. In der Regel verwenden Sie SCAP für Messungen und Berichte und Ansible für die Fehlerbehebung.

Microsoft Azure verfügt über mehrere Complianceangebote, um sicherzustellen, dass Ihre Workloads gesetzlichen Richtlinien entsprechen. Zunächst müssen Sie bestimmte Compliancestandards implementieren.

Überlegungen zum Entwurf

Berücksichtigen Sie beim Verwalten der Governance für RHEL-Instanzen in einer Azure-Zielzone die Compliancestandards, die Ihre Organisation einhalten muss. Konfigurieren Sie Ihre Governance basierend auf intern vorgeschriebenen und gesetzlich definierten Kontrollen, wie sie für Ihre RHEL-Systeme gelten. Wählen Sie Ihre Tools und Dienste basierend darauf aus, wie Sie Standards durchsetzen und Abweichungen beheben. Überlegen Sie, wie Sie Compliance messen, und berücksichtigen Sie Ihre Berichterstellungs- und Wartungsfunktionen. Aus Implementierungssicht wirken sich diese Entscheidungen auf viele der im vorherigen Abschnitt beschriebenen Compliancebereiche aus.

Compliancestandards enthalten aufteilbare Listen mit Sicherheitsanforderungen, die Sie zum Integrieren von Inhalts- und Imageverwaltung in Automatisierungstools verwenden können, damit Sie:

  • Inhalte für Betriebssysteme, Anwendungen und Sicherheitskonfigurationen gemeinsam in einer zusammensetzbaren Pipeline definieren können
  • Images, die den Anforderungen entsprechen, ab dem Zeitpunkt der Bereitstellung kontinuierlich messen, warten und bereitstellen können
  • Persistente Instanzen kontinuierlich messen, warten und beheben können

Inhaltslebenszyklus- und Imagebuildpipelines sind ideale Durchsetzungspunkte. Betrachten Sie die folgenden Pipelines:

  • Analyse und Berichterstellung: Cloudplattformen bieten umfassende Dienste, mit denen Sie Metadaten und Protokolldaten aus bereitgestellten Systemen zusammenführen können. Sie können die erfassten Daten auch für behördliche Berichterstattungsanforderungen und Audits bereitstellen und speichern.
  • Automation-First-Ansatz: Moderne Automatisierungssysteme können die Einhaltung von Vorschriften und die Berichterstattung vereinfachen und die Genauigkeit und Sichtbarkeit erhöhen. Implementieren Sie die Complianceverwaltung über die IaC-Automatisierung (Infrastructure-as-Code) im Rahmen Ihres Bereitstellungsprozesses. Erwägen Sie die Kombination von Workflows für Scan- und Wartungsaktivitäten, um eine zeitnahe Berichterstattung und eine Fail-Fast-fähige Methodik zu gewährleisten, die Ihren Compliancerückstand auf ein Minimum reduziert. Um Konsistenz zu gewährleisten, vereinheitlichen Sie den Implementierungsautomatisierungscode und den Korrekturcode.
  • Compliancewartung: Compliancestandards werden regelmäßig aktualisiert und verfügen über bekannte Übermittlungsmechanismen und Inhaltstypen. Achten Sie bei der Implementierung der Complianceverwaltung auf die Verwendung offener Standards. Planen Sie das Streaming und die Überprüfung Ihrer Complianceinhalte in Ihren Lebenszyklus für die Anwendungs- und Imageentwicklung ein.

Entwurfsempfehlungen

Governance in Azure umfasst die Einhaltung von Vorschriften sowie Kosten-, Ressourcenverwaltung und Ressourcenskalierung. Berücksichtigen Sie diese Empfehlungen von Red Hat und Microsoft, um Governance umfassend umzusetzen.

Kompatibilität

Red Hat stellt validierte Inhalte bereit, um Governanceanforderungen zu erfüllen. Wenn Sie grundlegende und verbindliche Complianceanforderungen festlegen, überprüfen Sie vorhandene Quellen von Complianceinhalten und Automatisierungscode gründlich. Um umfassende Codebasen zu pflegen, arbeiten Red Hat, Microsoft und Microsoft-Sicherheitspartner eng mit Gremien für Compliancestandards zusammen. Umfassende Codebasen vereinfachen die Compliancebewertung. Sie können Dienstprogramme wie die SCAP-Workbench verwenden, die in jedem RHEL-Abonnement enthalten ist, um vorhandene Inhalte zu nutzen und sie an Ihre spezifischen Anforderungen anzupassen. Für jede Hauptversion von RHEL stellt Red Hat einen SCAP-Sicherheitsleitfaden (SCAP Security Guide, SSG) bereit, der die veröffentlichten XCCDF-Baselines für bekannte Compliancestandards enthält.

Der SSG für RHEL 9 enthält z. B.:

  • ANSSI-BP-028 – Enhanced, High, Intermediate, Minimal
  • CCN RHEL 9– Advanced, Intermediate, Basic
  • Center for Internet Security (CIS): RHEL 9-Benchmark für Stufe 2 – Server
  • CIS: RHEL 9-Benchmark für Stufe 1 – Server
  • CIS: RHEL 9-Benchmark für Stufe 1 – Workstation
  • CIS: RHEL 9-Benchmark für Stufe 2 – Workstation
  • [ENTWURF] Kontrollierte nicht klassifizierte Informationen in Informationssystemen und Organisationen, die nicht zur US-Regierung gehören (NIST 800-171)
  • Australian Cyber Security Centre (ACSC) Essential Eight
  • ACSC Information Security Manual (ISM) Official
  • HIPAA
  • Schutzprofil für universelle Betriebssysteme
  • PCI-DSS v3.2.1 Control Baseline für RHEL 9
  • PCI-DSS v4.0 Control Baseline für RHEL 7, RHEL 8 (RHEL-1808) und RHEL 9
  • [ENTWURF] DISA STIG für RHEL 9
  • [ENTWURF] DISA STIG mit grafischer Benutzeroberfläche (GUI) für RHEL 9

Das Red Hat Product Security Incident Response-Team stellt einen veröffentlichten Stream bekannter allgemeiner Sicherheitsrisiken und Gefährdungen (Common Vulnerabilities and Exposures, CVE) für Red Hat-Produkte im OVAL-Format bereit. Red Hat empfiehlt, diese Ressourcen im Rahmen Ihrer Complianceimplementierung in Azure zu nutzen.

Red Hat Satellite und RHEL Image Builder enthalten integrierte SCAP-Funktionen, mit denen Sie:

  • ein Image definieren können, das mit einem ausgewählten Standard gehärtet ist
  • ein SCAP-Richtlinienprofil definieren und es an jede Workload anpassen können
  • die Scanplanung für verwaltete Systeme durchführen können
  • Inhaltspipelines testen und Inhalt mit Versionsangabe bereitstellen können, um Standards zu erfüllen

Azure stellt Tools bereit, mit denen Sie mehrere regulatorische Standards implementieren können. Verwenden Sie Azure Policy-Initiativen, um eine Vielzahl von Initiativen automatisch durchzusetzen. Um sichere Einstellungen für Linux-Betriebssystemgäste zu implementieren, ziehen Sie die Linux-Sicherheitsbaseline in Betracht.

Kosten

Im Kontext von Cloud Computing, insbesondere Microsoft Azure, bezieht sich Kostengovernance auf die Methode zur Verwaltung und Optimierung der mit Azure-Diensten verbundenen Kosten. Azure bietet eine Reihe von Tools, mit denen Sie Ihre Ausgaben überwachen, kontrollieren und optimieren können. Verwenden Sie diese Tools, um sicherzustellen, dass Sie Ihre Ressourcen effizient und ohne unnötige finanzielle Mehraufwendungen skalieren und anpassen können.

Verwenden Sie Microsoft Cost Management, um Kosten in Azure zu verwalten und nachzuverfolgen. Verschaffen Sie sich einen Überblick über Ihre Azure-Ausgaben, um Kosten zu optimieren. Verwenden Sie Azure-Reservierungen und Azure-Sparpläne, um die Kosten für Compureressourcen zu kontrollieren. Verwenden Sie diese Tools, um effektive Strategien zur Kostengovernance umzusetzen und Ihrem Unternehmen dabei zu helfen, Ihre Cloudinvestitionen zu maximieren und gleichzeitig die Ausgaben unter Kontrolle zu halten.

Ressourcengovernance

Steuern Sie Ihre Azure-Ressourcenorganisation, um Cloudressourcen effizient zu verwalten und zu sichern, insbesondere wenn die Komplexität Ihrer Unternehmensumgebung zunimmt. Azure verfügt über mehrere Tools und Dienste, die effektive Governance unterstützen und sicherstellen, dass Ressourcen konsistent verwaltet werden, richtlinienkonform sind und sowohl hinsichtlich der Leistung als auch der Kosten optimiert sind.

Verwenden Sie Azure Policy als Schutzschiene, um die Konformität Ihrer Umgebung zu gewährleisten. Verwenden Sie Vorlagenspezifikationen, um sicherzustellen, dass Bereitstellungen standardmäßig Ihren Anforderungen in Bezug auf Identität, Sicherheit, Kosten und weiteren Anforderungen entsprechen. Stellen Sie sicher, dass Sie über einen Benennungsstandard für Ihre Azure-Ressourcen verfügen. Ein Benennungsstandard erleichtert Ihnen die langfristige Verwaltung und Konfiguration Ihrer Umgebung. Verwenden Sie Verwaltungsgruppen und Richtlinien, um Ihre Ressourcen innerhalb von Zielzonen zu organisieren, bevor Sie Workloads in Ihrem Azure-Mandanten bereitstellen.

Umfassende Empfehlungen zum Abonnemententwurf finden Sie im Leitfaden zu Cloud Adoption Framework-Abonnements.

Durchsetzung

Verwenden Sie Azure Policy, um Governancestandards durchzusetzen und regulatorische Initiativen umzusetzen. Azure-Richtlinien sind Leitplanken, die bei der Durchsetzung der Compliance in den Bereichen Sicherheit, Kosten, Einhaltung gesetzlicher Vorschriften, Ressourcen und Verwaltung helfen. Sie können das Compliance-Dashboard verwenden, um die Compliance für jede Ressource oder Richtlinie anzuzeigen. Sie können Azure Policy auch zur Durchführung von Korrekturen verwenden.

Sie können Red Hat Satellite mit Ansible Automation Platform verwenden, um Pipelines für die Bereitstellung von Inhalten und Images zu entwickeln, welche die Complianceanforderungen Ihrer Workloads integrieren.

Um eine umfassende Complianceanalyse zu erhalten, verwenden Sie Red Hat Satellite-zertifizierte Ansible-Sammlungen, um die Datenerfassung für die Integration in die Azure-Überwachung zu automatisieren.

Nächste Schritte