IBM Cloud Essential Security and Observability Services
このリファレンスアーキテクチャは、IBM Cloud における、必須のセキュリティサービスとそれに関連する依存関係を設定するための展開とベストプラクティスをまとめたものです。IBM Cloudの必須セキュリティサービスは、クラウドベースのアプリケーションとデータの堅牢なセキュリティとコンプライアンスを確保するために不可欠です。 主な目的は、セキュアで準拠した IBM Cloud ワークロードのフレームワークを提供することです。
以下に、各サービスの概要を示します。
Key Protect: このサービスは、クラウド・アプリケーションの暗号鍵を管理するための安全でスケーラブルな方法を提供します。 これにより、暗号鍵を管理および保護することで機密データが確実に保護され、業界標準および規制要件への準拠が促進されます。
Secrets Manager: このサービスは、API キー、資格情報、証明書などの機密情報を安全に保管および管理するのに役立ちます。 シークレット管理を一元化することで、機密漏れのリスクが軽減され、シークレットへのアクセスとシークレットのローテーションのプロセスが簡素化されるため、セキュリティー体制が強化されます。
Security and Compliance Center: このプラットフォームは、クラウド環境のセキュリティーとコンプライアンスを評価、モニター、および保守するための包括的なツール・スイートを提供します。 この製品は、組織が規制要件を満たし、ベスト・プラクティスを遵守し、脅威から保護するのに役立つ洞察と制御を提供します。
IBM Cloud Security and Compliance Center Workload Protection: このサービスは、ワークロードの保護、クラウドとコンテナーの深い可視性の取得、ポスチャー管理 (コンプライアンス、ベンチマーク、CIEM)、脆弱性スキャン、フォレンジック、および脅威の検出とブロックを行うための機能を提供します。
このリファレンス・アーキテクチャーは、これらのサービスが、データ保護を強化し、コンプライアンスを簡素化し、 IBM Cloud内のすべてのワークロードの全体的なクラウド・セキュリティーを強化する基本的なセキュリティー層を形成する方法を示しています。
アーキテクチャー図
以下の図は、IBM Cloud Essential Security and Observability Servicesの展開可能なアーキテクチャを表し、ベストプラクティス をIBM Cloud Framework for Financial Servicesに再利用しています。
このアーキテクチャは3つの基本サービスによって支えられている:Key Protect Secrets Manager Security and Compliance Centerである。 これらのサービスは、IBM Cloud上でホストされている顧客のワークロードの統合エンドポイントを提供する。
- Key Protect
Key Protect は、 IBM Cloud Object Storage バケット、 Secrets Manager、およびイベント通知リソースで使用される暗号鍵のライフサイクルを一元的に管理します。 さらに、保護が必要なすべてのお客様のワークロードの暗号鍵を管理できます。
- Secrets Manager
Secrets Manager は、API キー、資格情報、証明書などの機密情報を安全に保管して管理します。 Key Protect の暗号鍵を使用して、機密データを暗号化し、シークレットを保持するボールトをシールおよびアンシールします。 Event Notifications サービスにイベントを送信するように事前構成されているため、お客様は E メールまたは SMS 通知をセットアップできます。 さらに、すべての API ログをお客様のロギング・インスタンスに転送するように自動的に構成されます。
- Security and Compliance Center
Security Compliance Center インスタンスは、リファレンス・アーキテクチャーによってプロビジョンされたすべてのリソースをスキャンするように事前構成されています。 これは、IBM Cloud Security and Compliance Center Workload Protectionを含むように拡張することで、顧客独自のワークロードに対応することができる。
IBM Cloud Object Storage バケットは、ロギング・サービスおよびアラート・サービスからログを受信するようにセットアップされています。 各バケットは、 Key Protectによって管理される暗号鍵を使用して保存データを暗号化するように構成されます。
設計の概念
- ストレージ: バックアップ、アーカイブ
- ネットワーキング: クラウド・ネイティブ接続
- セキュリティー: データ・セキュリティー、ID とアクセス、アプリケーション・セキュリティー、脅威の検出と対応、インフラストラクチャーとエンドポイント、ガバナンス、リスクとコンプライアンス
- レジリエンシー: 高可用性
- サービス管理: モニタリング、ロギング、監査およびトラッキング、自動化されたデプロイメント
要件
以下の表は、このアーキテクチャーで対処される要件の概要を示しています。
局面 | 要件 |
---|---|
ネットワーキング | 管理の目的で、クラウドのプライベート・ネットワークへのセキュアで暗号化された接続を提供します。 |
セキュリティー | 許可されていない開示から保護するために、転送中および保存中のすべてのアプリケーション・データを暗号化します。 無許可の開示から保護するために、すべてのセキュリティー・データ (運用ログおよび監査ログ) を暗号化します。 お客様管理の鍵を使用してすべてのデータを暗号化し、セキュリティーとお客様制御を強化するための法規制への適合要件を満たします。 ライフサイクル全体を通してシークレットを保護し、アクセス制御手段を使用してシークレットを保護します。 |
回復力 | アプリケーションの可用性目標と事業継続性ポリシーをサポートします。 計画停止時および計画外停止時のアプリケーションの可用性を確保します。 計画外の停止時のリカバリーを可能にするために、アプリケーション・データをバックアップします。 セキュリティー・データ (ログ) およびバックアップ・データ用の高可用性ストレージを提供します。 |
サービス管理 | システムおよびアプリケーションの正常性のメトリックとログをモニターして、アプリケーションの可用性に影響を与える可能性がある問題を検出します。 アプリケーションの可用性に影響を与える可能性がある問題に関するアラート/通知を生成して、ダウン時間を最小限に抑えるために適切な応答をトリガーします。 監査ログをモニターして、変更を追跡し、潜在的なセキュリティー問題を検出します。 監査ログで検出された問題に関する通知を識別して送信するメカニズムを提供します。 |
コンポーネント
以下の表は、各側面のアーキテクチャーで使用される製品またはサービスの概要を示しています。
アスペクト | アーキテクチャー・コンポーネント | コンポーネントの使用方法 |
---|---|---|
ストレージ | IBM Cloud Object Storage | Web アプリケーションの静的コンテンツ、バックアップ、ログ (アプリケーション・ログ、運用ログ、および監査ログ) |
ネットワーキング | 仮想プライベート・エンドポイント(VPE) | IBM Cloud サービスへのプライベート・ネットワーク・アクセスの場合 (例: Key Protect、 Key Protect、 Security and Compliance Center、{{{data.key{data.short) |
セキュリティー | IAM | {{site.data.keyword.iamshort}} |
Key Protect | データを保護して IBM Cloud に保管できるフルサービスの暗号化ソリューション | |
Secrets Manager | 証明書およびシークレットの管理 | |
Security and Compliance Center | セキュアなデータとワークロードのデプロイメントのための制御を実装し、セキュリティーとコンプライアンスの状況を評価します。 | |
IBM Cloud Security and Compliance Center Workload Protection | ||
サービス管理 | IBM Cloud Monitoring | アプリケーションと運用モニター |
IBM Cloud Log Analysis | アプリと運用ログ | |
Activity Tracker Event Routing | 監査ログ |
コンプライアンス
CIS IBM Cloud Foundations Benchmark プロファイルの一部のコントロールに確実に準拠するようにします。 追加されたコントロールのリストを表示するには、以下の手順を実行します。
- IBM Cloud catalog に移動し、IBM Cloud Essential Security and Observability Services 配備可能アーキテクチャを検索します。
- デプロイ可能なアーキテクチャーのタイルをクリックして、詳細を開きます。 「セキュリティー & コンプライアンス」タブには、デプロイ可能なアーキテクチャーに含まれているすべてのコントロールがリストされます。