使用 IBM Cloud® Security and Compliance Center 评估资源配置
对于高度监管的行业,例如金融服务,在云环境中实现持续合规是保护客户和应用数据的重要第一步。 从历史上看,这一过程是困难的,而且是手动的,这使您的组织面临风险。 但是,通过 IBM Cloud® Security and Compliance Center,您可以将每日自动合规性检查集成到开发生命周期中,以帮助最大限度降低该风险。
Security and Compliance Center的全新改进体验就在这里! 请确保您正在使用最新的体系结构,以避免以后发生迁移问题。 要了解更多信息,请参阅 工作方式。
准备工作
在开始之前,请确保您具备以下先决条件:
- 帐户中要评估的资源。
- 用于结果存储的 IBM Cloud Object Storage 存储区。
- 执行扫描的 正确访问权。
扫描资源无法确保法规合规性。 求值提供特定资源的当前状态的时间点语句。 您负责复审和解释结果,以确保贵组织遵守您所在行业所需的控制措施。
配置结果存储器
必须先配置 Object Storage 存储区,其中 Security and Compliance Center 可以转发结果数据以进行长期存储,然后才能开始评估资源的合规性。 有关存储区需求的更多信息,请参阅 在 Security and Compliance Center中存储和处理数据。
要连接 Object Storage 存储区,可以使用 Security and Compliance Center UI。
- 通过单击 IBM Cloud 控制台中的“菜单”图标并选择“安全性与合规性”,转至 Security and Compliance Center。
- 在导航中,单击 设置。
- 在 存储器 磁贴上,单击 连接。
- 确保配置了 Object Storage 与 Security and Compliance Center 之间的服务到服务策略。 如果已存在策略,那么不会显示此屏幕,您可以跳至下一步。
- 选择 Object Storage的实例。
- 从表中选择要使用的水桶。
- 然后,单击连接。
创建附件
附件是您将特定资源分组作为目标以针对特定概要文件进行评估的方式。
-
在 Security and Compliance Center 导航中,单击 仪表板,然后单击 入门。
-
选择要用于评估合规性的“配置文件”。
如果未看到满足特定需求的概要文件,那么可以始终创建 定制概要文件。
-
通过选择 作用域 并标识要 排除的任何资源,将附件作为目标。 然后,单击下一步。
-
可选: 通过编辑缺省参数以匹配特定用例来定制扫描中的评估。
-
单击下一步。
-
选择要评估附件的频率。
-
可选: 配置通知。
-
如果要接收通知,请将 通知 切换到 开启。
-
缺省情况下,在启用通知时,当 15% 或更多控件在单个扫描中失败时,将向您发出警报。 您可以通过调整 阈值 百分比来更改此值。
例如,如果您有一个包含 100 个控件的概要文件,并且希望在其中 5 个控件失败时收到通知,那么将选择 5% 作为阈值。
-
可选: 选择要通知的特定控件。 如果存在专门与您的作业角色相关的高优先级控件,那么您可能希望在每次这些控件失败时都收到通知。 每个扫描最多可以识别 15 个控件,您可以为其接收个别通知。 无论是否已满足上一步中确定的阈值,都将发送这些通知。
- 单击 选择控件。
- 通过选中控件旁边的框,选择要通知您的控件。
- 单击确定。
-
-
查看您的选择,然后单击“创建”。
创建附件时,将调度扫描并在 24 小时内提供结果。 扫描完成后,结果将在 Security and Compliance Center UI 中的“仪表板”上可用。
解释结果
扫描完成后,结果将显示在 Security and Compliance Center UI 中的 仪表板 选项卡上。 结果以图形和详细格式提供。
访问仪表板时,您可以看到从扫描中聚集的数据的三种图形表示法。
您可以看到的三个图形是:
- 成功率
- 配置通过执行的评估的速率。 注: 已执行的评估数并不总是与可计费评估数匹配,因为评估无法执行的评估不会收取任何费用。 如果需要估算成本,请确保在每个扫描结果中查找可计费评估。
- 控件总数
- 过去 30 天内评估的控件总数。
- 评估总数
- 过去 30 天内运行的评估总数。 评估是将一项资源与一项评估进行核对。
从仪表板中,您可以钻取到结果,以查看有关已执行的每个评估的更详细信息。
后续步骤
在等待扫描完成的同时,了解有关通过DevSecOps 在管道中添加Security and Compliance Center的更多信息。