IBM Cloud Docs
使用 Security and Compliance Center 的最佳实践

使用 Security and Compliance Center 的最佳实践

自 2025 年 6 月 16 日起,您不能在本产品的此版本中创建新实例。 Security and Compliance Center Workload Protection 的更新体验中提供了所有功能。 更多信息,请参阅 过渡文档

在开始使用 Security and Compliance Center时,可以遵循一些最佳实践,使最佳体验满足持续合规性和审计就绪的目标。

向正确的人员提供正确的访问权

组织中有几个人可能需要对 Security and Compliance Center 或集成具有不同级别的访问权。 要确保遵循最佳实践,请确保创建访问组并仅分配团队成员执行其职责所需的最低许可权。 要管理个人帐户的合规性,合规性负责人需要使用分配给访问组的 IAM 访问策略来访问 Security and Compliance Center 服务,Event Notifications和 Cloud Object Storage。 要管理企业的合规性,需要其他许可权。 有关更多信息,请参阅 分配访问权

管理概要文件

在 Security and Compliance Center中,概要文件 是用于评估合规性的控件集合。 使用 Security and Compliance Center时,您可以选择使用预定义概要文件或创建定制概要文件。 两者都有利有弊。

使用预定义概要文件

预定义概要文件将进行版本控制,并使用错误修订,更多检查或对合规性程序的更改定期更新。 如果要监视特定程序 (例如 IBM Cloud Framework for Financial Services) 的合规性,建议您使用预定义的概要文件。 这样,您就可以在新版本的概要文件可用时利用这些概要文件。 了解有关版本控制的更多信息

为了避免必须创建和维护完全定制的概要文件,您可以使用 参数 来定制预定义的概要文件。 参数是对资源求值所依据的实际值。 每个参数都分配有一个缺省值,可以在附加时进行编辑。 可以为每个附件分配不同的参数值,然后更改已完成的评估。 但是,发布新版本的概要文件时,需要确保针对新概要文件版本进行定制。

使用定制概要文件

如果要对概要文件进行完全控制-评估数,版本控制或命名,那么可能要创建定制概要文件。 通过定制概要文件,您可以混合和匹配来自不同库的控件,或者仅选择适用于您的用例的评估。 或者,您可以创建自己的控件。

虽然可以将定制控件和预定义控件都添加到概要文件中,但建议您为要添加的任何控件创建单独的概要文件。 通过使预定义和定制控件保持独立,您可以更轻松地更新到预定义概要文件的新版本,因为您不需要重做定制。

不能从不推荐的控制库版本创建定制概要文件。 要开始使用,请使用最新版本。

在企业帐户中定义作用域

通过企业帐户使用 Security and Compliance Center 时,对于设置选项,您的体验会有所不同。 作为企业,您拥有比帐户更多的作用域选项。 您可以选择评估整个企业,特定帐户组或单个帐户。 如果要评估单个帐户,建议从该帐户执行此操作。

如果您在企业帐户中工作,那么必须具有其他许可权才能让企业管理和查看结果。 有关更多信息,请参阅 分配访问权

作用域定义对帐户中的哪些资源进行评估。 它是在您通过选择要评估的父帐户或资源组来创建附件时定义的。 将对该帐户或组中存在的任何内容进行评估。 因此,例如,如果在企业帐户级别创建附件,那么评估中将包含这些附件中的所有帐户组和帐户。 如果您不想评估帐户,那么在创建附件时,可以始终将其从作用域中排除。 当排除某个帐户时,也将排除其任何子帐户。 但是,在将新帐户添加到企业时,会根据父帐户的附件自动对其进行评估。

查看下图以了解三个附件如何在企业中共存。

该图显示了如何在企业中应用两个附件。 一个规则将向下移动层次结构。 另一个规则仅附加到特定帐户,因此其属性仅应用于其包含的资源。
附着层次

附件 A
在附件 A 中,目标范围是整个企业。 如您所见,将对企业中存在的所有帐户组和帐户进行评估。 即除非他们被有目的地排除在外。
附件 B
附件 B 的目标范围是企业中的特定帐户组。 如您所见,现在正在根据附件 A 期间选择的概要文件对帐户组中的资源进行评估,并根据创建附件 B 时选择的概要文件进行评估。
附件 C
附件 C 的目标范围是子帐户。 此附件是在企业上下文外部的帐户中创建的。 如您所见,附件 A 正在监视同一帐户中的资源,但由于附件 C 是在帐户级别创建的,因此可以查看和排除资源组。

要查看评估结果,请查看创建附件的帐户。 如果使用上一个图像作为示例,那么附件 A 和 B 的结果将存在于企业帐户中,并且将针对评估向企业帐户收费。 但是,附件 C 的结果将存在于子帐户中。

在企业外部的帐户中定义作用域

在企业帐户结构外部使用 Security and Compliance Center 时,作用域的设置选项不同。 由于您可以跨帐户扫描和评估资源,因此必须使用跨帐户访问策略来访问其他帐户中的资源。

您可以在主帐户中选择单个 Security and Compliance Center 实例,以监视其他目标帐户 (及其资源) 和环境的列表。 主帐户中的此 Security and Compliance Center 实例必须有权扫描多个目标帐户中 IBM Cloud 资源的资源。 您可以为附件中的每个目标帐户定义多个作用域。

您可以创建多个附件,以在多个附件之间分发帐户。 例如,可以在单个附件作用域中选择 1 到 200 个帐户。 然后,可以在下一个附件作用域中选择 201 到 400 个帐户。