版本说明 Security and Compliance Center
对服务的以下更改随关联日期一起提供。
2025 年 5 月 16 日
- 服务公告
- 自 2025 年 6 月 16 日起,用户将无法再创建新的服务实例。 所有云安全态势管理功能都已过渡到 Security and Compliance Center Workload Protection,并已可供您开始使用。 如果您是新用户,我们鼓励您从 Security and Compliance Center Workload Protection 开始使用,以尽量减少过渡的需要。 在过渡期内,现有用户将继续获得支持,但所有功能开发都将针对 Security and Compliance Center Workload Protection。 有关时间表的更多信息,请参阅 过渡文件。
2025 年 4 月 18 日
- 规则变更
- 更新了以下规则。 检查 IBM Cloudant 是否启用了加密功能。 规则编号:
rule-de62d315-278f-4943-a9b5-1293ec242a64
。 这是一条默认规则,可确保所有 IBM Cloudant 实例都在磁盘级别加密。
2025 年 4 月 3 日
- 可观察性服务的变化
- 随着 Observability 服务的废弃和随后的替换,您不能创建任何引用这些废弃服务的新规则或控制库。 此外,控制库不允许您添加与这些服务相关的规则。 与这些服务相关的任何现有规则、控制库或配置文件都不再进行评估。
- 规则变更
- 本版本删除了以下规则:
- 检查 Identity and Access Management (IAM) 是否启用了审计日志功能
从以下配置文件中删除这些规则。
2024 年 10 月 29 日
- 信息技术安全指南(ITSG)简介
- Security and Compliance Center中现已提供1.0.0版《信息技术安全指南》(ITSG)简介。 有关概要文件的更多信息,请参阅 更改日志。
- 规则变更
- 本版本更新了以下规则。 在做出这些修改后,基于以下条件的规则是合规的:
- 为至少一种基于上下文的限制选择专用端点
- 如果“
public_endpoints_mfa_enabled
输入参数设置为”ON
,并且选择了公共端点,那么 MFA 就是强制性的。 公共端点的允许 IP 列表也不应为空。 - 如果“
public_endpoints_mfa_enabled
输入参数设置为”OFF
,并且选择了公共端点,那么 MFA 设置检查将被忽略。 公共端点的允许 IP 列表不应为空。 - 基于上下文限制的私有端点和公共端点的任何允许 IP 列表也应与Security and Compliance Center规则的允许 IP 列表相匹配。
更新了以下规则:
- 检查App Configuration是否只能通过专用端点(基于上下文的限制或服务)访问,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问Code Engine,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问Security and Compliance Center,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问Container Registry,以及是否允许启用 MFA 的 IP
- 检查Direct Link是否只能通过专用端点(基于上下文的限制或服务)访问,以及是否允许启用 MFA 的 IP
- 检查DNS Services是否只能通过专用端点(基于上下文的限制或服务)访问,以及是否允许启用 MFA 的 IP
- 检查Event Notifications是否只能通过专用端点(基于上下文的限制或服务)访问,以及是否允许启用 MFA 的 IP
- 检查Hyper Protect Crypto Services是否只能通过专用端点(基于上下文的限制或服务)访问,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问 IAM 访问管理,以及是否允许启用 MFA 的 IP
- 检查 IAM 访问组是否只能通过专用端点(基于上下文的限制或服务)访问,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问Key Protect,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问Event Streams,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)和启用 MFA 的允许 IP 访问Schematics
- 检查是否只能通过专用端点(基于上下文的限制或服务)和启用 MFA 的允许 IP 访问Secrets Manager
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问IBM Cloud Monitoring,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问Transit Gateway,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问用户管理,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)和启用 MFA 的允许 IP 访问Cloud Object Storage
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问虚拟专用云,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问 VPC 的备份,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问Bare Metal Servers for VPC,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问Dedicated Host for VPC,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问 VPC 的虚拟专用端点,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问 VPC 浮动 IP,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问Flow Logs for VPC,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问 VPC 映像,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问 VPC 的自动扩展,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问Virtual Servers for VPC,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问 VPC SSH 密钥,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问 VPC 的负载平衡器,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问 VPC 网络访问控制列表,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问 VPC 安置组,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问 VPC 公共网关,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问 VPC 安全组,以及是否允许启用 MFA 的 IP
- 检查 VPC 的Block Storage快照是否只能通过专用端点(基于上下文的限制或服务)访问,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问 VPC 子网,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问Block Storage for VPC,以及是否允许启用 MFA 的 IP
- 检查客户端 "VPN for VPC是否只能通过专用端点(基于上下文的限制或服务)访问,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点(基于上下文的限制或服务)访问VPN for VPC,以及是否允许启用 MFA 的 IP
- 检查是否只能通过专用端点或直接端点(基于上下文的限制或服务)访问连接到IBM watsonx项目的Cloud Object Storage桶,以及是否允许启用 MFA 的 IP
这些规则大多与以下配置文件相对应。
- IBM Cloud Framework for Financial Services(1.7.0)
- IBM Cloud Framework for Financial Services(中度)(1.1.0)
- ISO/IEC 27001:2022
- 人工智能安全卫士2.01.1.0)
2024 年 10 月 15 日
- 规则变更
- 更新了以下规则。
- 检查虚拟专用云 (VPC) 的默认安全组中是否没有规则。 规则标识:
rule-96527f89-1867-4581-b923-1400e04661e0
- 控制注释
- 现在,您可以为控件添加注释,以便在配置文件中包含与控件相关的重要细节或注释。 注释在结果中可见,并作为创建附件流程的一部分添加。 此外,注释的审计历史记录还可用于跟踪随着时间推移对注释所做的任何更改或更新。 要开始使用注释,请 创建一个附件。
2024 年 10 月 7 日
- 子作用域
- 您现在可以分割作用域,确保只有需要访问某些资源信息的用户才能访问。 更多信息,请参阅“划分范围”。
2024 年 9 月 17 日
- 规则变更
- 更新了以下规则。 这些规则大多与以下配置文件相对应。
- IBM Cloud Framework for Financial Services(1.5.0),
- IBM Cloud Framework for Financial Services(1.6.0),
- IBM Cloud Framework for Financial Services(中度)(1.0.0)。
- IBM Cloud Framework for Financial Services(1.7.0)
- IBM Cloud Framework for Financial Services(中度)(1.1.0)
- ISO/IEC 27001:2022
在以下规则中添加了一个新的输入参数,用于检查所有已配置的 CBR 允许 IP CIDR 是否允许访问过多的 IP 地址,以防止允许访问意外的 IP 地址。 这样就可以阻止对 CIDR 的 netmask 位部分进行任何不经意的更改。
使用此输入参数 (netmask_bits_length
),您可以指定适用于网络设置的 netmask 位长。 如果任何 CBR 规则允许的 IP CIDR netmask 位长度设置为小于或等于 netmask_bits_length
,则该规则被视为不合规。
例如,如果参数 netmask_bits_length
设置为 8
,则 CBR 规则允许的 IP CIDR 中的所有 netmask 位长度必须大于 8(9 至 32)。
在所有预定义配置文件中,该规则的默认值为 256,允许所有配置的网络掩码位长。 您可以将该参数设置为所需的值。
更新了以下规则:
- 检查专用和公共端点允许列表 Flow Logs for VPC 中是否没有通配符和宽流量(基于上下文的限制或服务)
- 检查 App Configuration(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符和宽流卡
- 检查 VPC 自动扩展(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符和宽流卡
- 检查 VPC 备份的私有和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 Bare Metal Servers for VPC 的专用和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 Block Storage for VPC 的私有和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 VPC 的 Block Storage 快照(基于上下文的限制或服务)的私有端点和公共端点允许列表中是否没有通配符和宽流卡
- 检查客户端 VPN for VPC(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符和宽流卡
- 检查 Cloud Object Storage(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符和宽流卡
- 检查 Code Engine(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符和宽流卡
- 检查 Container Registry(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符和宽流卡
- 检查 Dedicated Host for VPC 的私有和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 Direct Link(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符和宽流卡
- 检查 DNS Services(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符和宽流卡
- 检查 Event Notifications(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符和宽流卡
- 检查 Event Streams(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符和宽流卡
- 检查 Hyper Protect Crypto Services(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符和宽流卡
- 检查 IAM 访问组(基于上下文的限制或服务)的私有端点和公共端点允许列表中是否没有通配符和宽流卡
- 检查 IAM 访问管理(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符和宽流卡
- 检查 IAM 身份(基于上下文的限制或服务)的私人和公共端点允许列表中是否没有通配符和宽流卡
- 检查 Kubernetes Service(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符和宽流卡
- 检查 VPC 负载平衡器的私有和公共端点允许列表中是否没有通配符和宽流量(基于上下文的限制或服务)
- 检查 Schematics(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符和宽流卡
- 检查 Secrets Manager(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符和宽流卡
- 检查 Security and Compliance Center 的专用和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 Transit Gateway 的私有和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查用户管理(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符和宽流卡
- 检查虚拟私有云(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符和宽流卡
- 检查 VPC 虚拟专用端点的专用和公用端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 Virtual Servers for VPC(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符和宽流卡
- 检查 VPC 浮动 IP 的私有和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 VPC 映像的私有端点和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 VPC 网络访问控制列表(基于上下文的限制或服务)的私有端点和公共端点允许列表中是否没有通配符和宽流卡
- 检查 VPC 安置组的私有和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 VPC 公共网关的私有和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 VPC 安全组的私有端点和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 VPC SSH 密钥的私有端点和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 VPC 子网的私有和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 VPN for VPC 的专用和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 IBM Cloud Monitoring(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符和宽流卡
- 检查Databases for EDB(基于上下文的限制或服务)的私有端点和公共端点允许列表中是否没有通配符和宽流卡
- 检查 ElasticSearch 的数据库专用和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 Databases for etcd 的私有和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 Mongodb 数据库(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符和宽流卡
- 检查 MySql(基于上下文的限制或服务)数据库的私有端点和公共端点允许列表中是否没有通配符和宽流卡
- 检查Databases for PostgreSQL(基于上下文的限制或服务)的私有端点和公共端点允许列表中是否没有通配符和宽流卡
- 检查 Databases for Redis 的私有和公共端点允许列表中是否没有通配符和宽流卡(基于上下文的限制或服务)
- 检查 Key Protect(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符和宽流卡
- 检查 Rabbitmq 消息(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符和宽流卡
- 检查 Security and Compliance Center 工作负载保护(基于上下文的限制或服务)的私有端点和公共端点允许列表中是否没有通配符和宽流卡
- 检查虚拟专用云 (VPC) 是否未连接公共网关
- 检查虚拟专用云 (VPC) 在配置时是否未连接公共网关
- 通过 IBM Cloud Monitoring检查是否启用了 IBM watsonx 项目附加的 Cloud Object Storage 存储桶
2024 年 9 月 10 日
- 新版人工智能安全护栏 2.0 配置文件
- AI Security Guardrails 2.0 配置文件的 Security and Compliance Center 版本 1.1.0 现已提供。 有关概要文件的更多信息,请参阅 更改日志。
- 可用的新规则
- 现在提供了以下规则:
- 检查App ID 电子邮件发送者是否仅使用 HTTPS
- 检查App ID 网络挂钩是否仅使用 HTTPS
- 检查 App ID 是否启用了客户管理加密和自备密钥 (KYOK)
2024 年 8 月 27 日
- ISO/IEC 27001:2022 简介
- ISO/IEC 27001:2022 配置文件的 1.0.0 版本现已在 Security and Compliance Center 中提供。 有关概要文件的更多信息,请参阅 更改日志。
- 新版IBM Cloud金融服务简介框架
- 1.7.0 版本 IBM Cloud 金融服务框架配置文件现已在 Security and Compliance Center 中提供。 有关概要文件的更多信息,请参阅 更改日志。
- 新版IBM Cloud金融服务框架(中度)简介
- 1.1.0 版本 IBM Cloud 金融服务框架(中度)配置文件现已在 Security and Compliance Center 中提供。 有关概要文件的更多信息,请参阅 更改日志。
- 已更新的规则
- 更新了以下规则:
- 检查专用和公共端点允许列表 Flow Logs for VPC 中是否没有通配符(基于上下文的限制或服务)
- 检查 App Configuration(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符
- 检查 VPC 自动扩展(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符
- 检查 VPC 备份的私有和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 Bare Metal Servers for VPC 的专用和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 Block Storage for VPC 的专用和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 VPC 的 Block Storage 快照(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符
- 检查客户端 VPN for VPC 的专用和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 Cloud Object Storage(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符
- 检查 Code Engine(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符
- 检查 Container Registry(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符
- 检查 Dedicated Host for VPC 的专用和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 Direct Link 的专用和公用端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 DNS Services(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符
- 检查 Event Notifications(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符
- 检查 Event Streams(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符
- 检查 Hyper Protect Crypto Services(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符
- 检查 IAM 访问组(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符
- 检查 IAM 访问管理(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符
- 检查 IAM 身份的私人和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 Kubernetes Service(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符
- 检查 VPC 负载平衡器的私有和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 Schematics 的专用和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 Secrets Manager 的专用和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 Security and Compliance Center 的专用和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 Transit Gateway 的专用和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查用户管理(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符
- 检查虚拟私有云(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符
- 检查 VPC 虚拟专用端点的专用和公用端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 Virtual Servers for VPC(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符
- 检查 VPC 浮动 IP 的私有和公用端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 VPC 映像的私有和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 VPC 网络访问控制列表(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符
- 检查 VPC 安置组的私有和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 VPC 公共网关的专用和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 VPC 安全组的专用和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 VPC SSH 密钥的私有端点和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 VPC 子网的私有和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 VPN for VPC 的专用和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 IBM Cloud Monitoring(基于上下文的限制或服务)的私有和公共端点允许列表中是否没有通配符
- 检查 Databases for EDB 的专用和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 ElasticSearch 的数据库专用和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 Databases for etcd 的专用和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 Mongodb 数据库(基于上下文的限制或服务)的私有端点和公共端点允许列表中是否没有通配符
- 检查 MySql 的数据库专用和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 Databases for PostgreSQL 的私有和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 Databases for Redis 的私有和公共端点允许列表中是否没有通配符(基于上下文的限制或服务)
- 检查 Key Protect(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符
- 检查 Rabbitmq 消息(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符
- 检查 Security and Compliance Center 工作负载保护(基于上下文的限制或服务)的专用和公共端点允许列表中是否没有通配符
- 检查 Cloud Object Storage 是否只能通过专用端点或直接端点(基于上下文的限制或服务)以及允许的 IP 进行访问
2024 年 7 月 9 日
- 人工智能安全护栏 2.0简介
- AI Security Guardrails 2.0 配置文件的 Security and Compliance Center 版本 1.0.0 现已提供。 有关概要文件的更多信息,请参阅 更改日志。
- 现在可以使用 Watson Machine Learning 扫描 Security and Compliance Center 资源。
- 现在,您可以根据 AI Security Guardrails2.0配置文件扫描您的Watson Machine Learning资源。 您可以通过分配存储在 "Secrets Manager中的客户凭据(API 密钥),使 "Security and Compliance Center能够访问扫描您的 "Watson Machine Learning资源。 更多信息,请参阅“扫描Watson Machine Learning资源”。
- 使用受信任的配置文件扫描您的主帐户
- 从 2024 年 7 月 9 日起,在启用跨账户资源扫描时,如果将主账户添加为目标,则必须使用受信任的配置文件来运行扫描。 如果更改受信任的配置文件,扫描结果将受到影响。
要更改受信任的配置文件并避免扫描结果出现问题,必须先删除目标和账户中的所有附件。 然后,您就可以使用更新后的受信任配置文件创建新目标。 目前无需采取任何行动。
2024 年 6 月 25 日
- CIS IBM Cloud Oundations Benchmark 概要文件版本 1.1.0
- CIS IBM Cloud Foundations Benchmark 概要文件现在在 Security and Compliance Center中提供。 包含以下主要更改。
控件 ID:3.1 已更新为从控件中除去现有规则并映射 2 新规则。 如果控制失败,请遵循这些规则的补救部分中记录的补救步骤。
有关概要文件的更多信息,请参阅 更改日志。
- 可用的新规则
- 现在提供了以下规则:
- 检查是否仅在授权 (指定) 区域中供应代码引擎实例
- 检查是否使用“自带密钥”(BYOK) 或“保留自己的密钥”(KYOK) 对 Schematics 启用了客户管理的加密
- 检查是否使用“自带密钥”(BYOK) 或“保留自己的密钥”(KYOK) 对 Databases for Elasticsearch 启用了客户管理的加密
- 检查是否使用自带密钥 (BYOK) 或保留自己的密钥 (KYOK) 对 Databases for MongoDB 启用了客户管理的加密
- 检查是否使用自带密钥 (BYOK) 或保留自己的密钥 (KYOK) 对 App ID 启用了客户管理的加密
- 检查是否使用“自带密钥”(BYOK) 或“保留自己的密钥”(KYOK) 为 Cloud Object Storage 启用了客户管理的加密
- 检查是否使用自带密钥 (BYOK) 或保留自己的密钥 (KYOK) 对 Block Storage for VPC 启用了客户管理的加密
- 检查是否使用“自带密钥”(BYOK) 或“保留自己的密钥”(KYOK) 对 Databases for PostgreSQL 启用了客户管理的加密
- 检查是否使用“自带密钥”(BYOK) 或“保留自己的密钥”(KYOK) 对 MySql 数据库启用了客户管理的加密
- 检查是否使用自带密钥 (BYOK) 或保留自己的密钥 (KYOK) 对 Event Streams 启用了客户管理的加密
- 检查是否使用自带密钥 (BYOK) 或保留自己的密钥 (KYOK) 为 Kubernetes Service 集群启用了客户管理的加密
- 检查是否使用“自带密钥”(BYOK) 或“保留自己的密钥”(KYOK) 为 Red Hat OpenShift 集群启用了客户管理的加密
- 检查是否使用“自带密钥”(BYOK) 或“保留自己的密钥”(KYOK) 为 Databases for Redis 启用了客户管理的加密
- 检查 IBM Cloud Kubernetes Service 入口是否为所有入站流量启用了 TLS 1.2
6 2024 年 6 月
- IBM Cloud 金融服务框架 (审核)
- 现在,Security and Compliance Center中提供了 IBM Cloud Framework for Financial Services (审核) 概要文件的 V 1.0.0。 有关概要文件的更多信息,请参阅 更改日志。
4 2024 年 6 月
- 可用的新规则
- 现在提供了以下规则:
- 检查 VPN for VPC 是否具有不同于 "peer_only" 的“建立方式”配置
- 检查是否未通过 IAM 公共访问组向连接到 IBM watsonx 项目的存储区授予公共访问权
- 检查 MySql 的数据库是否只能通过 TLS 1.2 或更高版本进行访问
- 检查 MySql 的数据库是否只能通过专用端点进行访问
- 检查是否为 MySql 数据库启用了加密
2024 年 5 月 28 日
- 对 Security and Compliance Center 的 IAM 角色的更新
- 去年,Security and Compliance Center 开始从全局服务迁移到区域服务。 从 7 2024 年 6 月开始,将开始迁移的下一个阶段,重点是更新 IAM 角色。 目前,Security and Compliance Center 服务的操作已映射到基于平台的角色。 现在,服务已移至区域模型,产品的操作将映射到服务角色。 作为帐户的管理员,您负责分配访问权,并确保为每个用户分配最低角色以执行其职位所需的操作。 如果您的帐户主动使用 Security and Compliance Center,那么必须查看分配给那些使用服务的用户的许可权,以确保他们具有相应的服务级别 role.To 评估当前在您的帐户中分配的角色,您可以使用 IAM UI。 要访问 IAM UI,请转至 IBM Cloud 控制台,然后单击 管理 (IAM),并选择要验证的用户,可信概要文件或访问组。 有关新映射和角色需求的更多信息,请参阅 管理 Security and Compliance Center。
在确定此更改对组织的影响时,请记住以下日期。
-
7 2024 年 6 月: 从此日期开始,Security and Compliance Center 的角色映射操作将更新为包含服务级别角色,并且更改将显示在 IAM UI 中。 平台角色将继续运行。 在此时间段内,您必须根据需要评估并重新分配组织成员的许可权。
-
2025 年 5 月 28 日: 在此日期,将更新角色映射操作,以除去与特定 Security and Compliance Center 操作关联的平台角色。 服务不再使用的操作也将在此日期除去。 如果尚未在此日期之前完成评估并分配对服务角色的访问权,那么用户可能会失去在 Security and Compliance Center中执行其任务所需的访问权。
此外,在迁移过程中,将从 IAM 定义中除去以下未使用或过时的操作。
compliance.configuration-governance.results-create
compliance.configuration-governance.results-delete
compliance.configuration-governance.results-read
compliance.configuration-governance.results-update
compliance.configuration-governance.attachments-update
compliance.configuration-governance.templates-create
compliance.configuration-governance.templates-delete
compliance.configuration-governance.templates-read
compliance.configuration-governance.templates-update
compliance.posture-management.collectors-create
compliance.posture-management.collectors-delete
compliance.posture-management.collectors-read
compliance.posture-management.collectors-update
compliance.posture-management.credentials-create
compliance.posture-management.credentials-delete
compliance.posture-management.credentials-read
compliance.posture-management.credentials-update
compliance.posture-management.credentialsmap-create
compliance.posture-management.credentialsmap-delete
compliance.posture-management.credentialsmap-read
compliance.posture-management.credentialsmap-update
compliance.posture-management.keys-delete
compliance.posture-management.keys-read
compliance.posture-management.keys-write
compliance.posture-management.scopes-create
compliance.posture-management.scopes-delete
compliance.posture-management.scopes-read
compliance.posture-management.scopes-update
compliance.posture-management.tags-create
compliance.posture-management.tags-delete
compliance.posture-management.tags-read
compliance.posture-management.tags-update
compliance.posture-management.tenants-create
compliance.posture-management.tenants-delete
compliance.posture-management.tenants-read
compliance.posture-management.tenants-update
compliance.posture-management.validations-create
compliance.posture-management.validations-delete
compliance.posture-management.validations-read
compliance.posture-management.validations-update
compliance.posture-management.values-create
compliance.posture-management.values-read
compliance.posture-management.values-update
compliance.posture-management.events-view
compliance.posture-management.events-create
- 可用的新规则
- 现在提供了以下规则:
- 检查连接到 IBM watsonx 项目的 Cloud Object Storage 存储区是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 Ips 进行访问
- 在连接到 IBM watsonx 项目的 Cloud Object Storage 存储区中,检查弹性是否设置为跨区域或区域
- 检查是否将网络访问限制在连接到 IBM watsonx 项目的 Cloud Object Storage 存储区中的特定 IP 范围内
- 检查连接到 IBM watsonx 项目的 Cloud Object Storage 存储区是否已启用加密
- 通过 IBM Cloud Monitoring检查是否启用了 IBM watsonx 项目附加的 Cloud Object Storage 存储桶
- 检查连接到 IBM watsonx 项目的 Cloud Object Storage 存储区是否只能通过 TLS 1.2 或更高版本进行访问
- 检查连接到 IBM watsonx 项目的 Cloud Object Storage 存储区是否已启用客户管理的加密,以及“自带密钥”(BYOK) 还是“保留自己的密钥”(KYOK)
- 检查Cloud Object Storage桶是否通过IBM Cloud Monitoring启用
- 检查是否使用客户管理的加密以及自带密钥 (BYOK) 还是保留自己的密钥 (KYOK) 来启用 Databases for Elasticsearch
- 检查 Databases for MongoDB 是否已启用客户管理的加密,以及“自带密钥”(BYOK) 还是“保留自己的密钥”(KYOK)
- 检查 Databases for PostgreSQL 是否已启用客户管理的加密,以及“自带密钥”(BYOK) 还是“保留自己的密钥”(KYOK)
- 检查是使用客户管理的加密以及自带密钥 (BYOK) 还是保留自己的密钥 (KYOK) 来启用 Databases for MySql
- 检查 Databases for Redis 是否已启用客户管理的加密以及“自带密钥”(BYOK) 还是“保留自己的密钥”(KYOK)
- 检查 IAM 用户是否连接到至少一个访问组,豁免帐户拥有
- 检查 Cloud Object Storage 存储区是否使用客户管理的密钥加密
- 检查是否将 Cloud Object Storage 存储区部署到允许的位置
- 检查 Databases for Elasticsearch 是否已启用客户管理的加密
- 检查是否使用客户管理的加密来启用 Databases for Elasticsearch 备份
- 检查 Databases for etcd 备份是否已启用客户管理的加密
- 检查 Databases for etcd 是否已启用客户管理的加密
- 检查是否在允许的区域中供应了 Hyper Protect Crypto Services
- 检查 Databases for MongoDB 是否已启用客户管理的加密
- 检查是否使用客户管理的加密来启用 Databases for MongDB 备份
- 检查 Databases for PostgreSQL 是否已启用客户管理的加密
- 检查是否使用客户管理的加密来启用 Databases for PostgreSQL 备份
- 检查 Databases for Redis 是否已启用客户管理的加密
- 检查是否使用客户管理的加密功能启用了 Databases for Redis 备份
2024 年 5 月 14 日
- 可用的新规则
- 现在提供了以下规则:
- 检查 Security and Compliance Center 工作负载保护是否只能通过专用端点 (基于上下文的限制或服务) 进行访问
- 检查 Security and Compliance Center Workload Protection (基于上下文的限制或服务) 的专用端点允许列表中是否没有通配符
- 检查 Security and Compliance Center Workload Protection 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
- 检查是否不存在所有者帐户 API 密钥
7 2024 年 5 月
- 可用的新规则
- 现在提供了以下规则:
- 检查是否至少有 # 个具有 admin 角色的用户被分配为 IBM Watsonx 项目中的合作者
- 检查是否没有在 IBM Watsonx 项目中指定具有 admin 角色的服务标识作为合作者
- 检查敏感数据是否未从 IBM Watsonx 项目导出/移出
- 检查是否未在 IBM Watsonx 项目中选择资产元数据报告
- 检查是否使用客户管理的加密以及自带密钥 (BYOK) 或保留自己的密钥 (KYOK) 来启用 Virtual Servers for VPC 数据卷
- 检查是使用客户管理的加密以及自带密钥 (BYOK) 还是保留自己的密钥 (KYOK) 来启用 Virtual Servers for VPC 引导卷
- 检查 IAM 用户联系人号码是否有效
2024 年 4 月 23 日
- 已更新的规则
- 更新了以下规则:
- 检查 Cloud Object Storage 存储区弹性是否设置为跨区域或跨区域
- 检查虚拟私有云 (VPC) 安全组是否没有用于指定源 IP 0.0.0.0/0 到 SSH 端口的入站规则
- 检查虚拟私有云 (VPC) 安全组是否没有用于将源 IP 0.0.0.0/0 指定到 RDP 端口的入站规则
- 检查虚拟私有云 (VPC) 网络访问控制表是否不允许从通配符 IP 地址进入 SSH 端口
- 检查虚拟私有云 (VPC) 网络访问控制表是否不允许从 0.0.0.0/0 到 RDP 端口的入口
2024 年 3 月 20 日
- 可用的新规则
- 现在提供了以下规则:
- 检查在 Watson Machine Learning Service 可用的区域中是否至少有一个 IBM Cloud Activity Tracker 实例
- 检查 Watson Machine Learning 实例公开的所有端点是否只能通过 TLS 1.2 或更高版本进行访问
- 检查是否仅通过专用端点访问所有 Watson Machine Learning 服务实例
- 检查 IBM Cloud IAM 是否为 Watson Machine Learning 服务 (例如 API 密钥和服务标识) 中使用的认证程序建立了最小和最大生存期限制和复用条件
2024 年 3 月 19 日
- 扫描其他帐户中的资源现在可用
- 现在,您可以扫描属于企业或企业外部的其他 IBM Cloud 帐户中的资源。 您可以通过将这些帐户作为目标帐户添加到附件来启用跨其他帐户的扫描。 有关扫描其他 IBM Cloud 帐户中的资源的更多信息,请参阅 跨帐户扫描资源。
您可以利用可帮助您自动注册以跨帐户扫描资源的自动化脚本。 有关更多信息,请查看 GitHub 中的脚本。
2024 年 3 月 13 日
- IBM Cloud Framework for Financial Services 概要文件版本 1.6.0
- 现在提供了 IBM Cloud Framework for Financial Services 概要文件的 V 1.6.0。 有关更多信息,请参阅 更改日志。
- 提供了新规则和规则更改
- 已添加或更新以下规则。 它们目前未映射到任何配置文件,包括 IBM Cloud Framework for Financial Services 配置文件。 用户现在可以覆盖缺省值并指定允许的 IP 或 IP 范围作为参数。 仅针对公共配置和专用配置评估与基于上下文的限制相关的规则。 如果您已配置直接端点,那么将不会通过以下规则对其进行求值。
如果设置了有关专用端点的基于上下文的限制,那么除非通过帐户设置设置了允许的 IP 地址,否则用户将无法通过 UI 访问服务。
: 现在提供了以下规则:
- 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 来访问 App Configuration
- 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 来访问 Code Engine
- 检查 Security and Compliance Center 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
- 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 来访问 Container Registry
- 检查 Kubernetes Service 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
- 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 来访问 Databases for ElasticSearch
- 检查 Databases for EDB 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
- 检查 Databases for etcd 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
- 检查 Databases for MongoDB 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
- 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 来访问 Databases for MySql
- 检查 Databases for PostgreSQL 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
- 检查 Databases for Redis 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
- 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 访问 Direct Link
- 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 来访问 DNS Services
- 检查 Event Notifications 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
- 检查 Hyper Protect Crypto Services 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
- 检查 IAM 访问管理是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
- 检查 IAM 访问组是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
- 检查 IAM 身份是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
- 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 来访问 Key Protect
- 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 来访问 Event Streams
- 检查 Messages for RabbitMQ 是否只能通过专用端点 (基于上下文的限制和服务) 和允许的 IP 进行访问
- 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 来访问 Schematics
- 检查 Secrets Manager 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
- 检查 IBM Cloud Monitoring 是否只能通过专用端点(基于上下文的限制或服务)和允许的 IP 访问
- 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 来访问 Transit Gateway
- 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 来访问用户管理
: 更新了以下规则:
- 检查是否只能通过专用端点 (基于上下文的限制或服务) 访问 Code Engine
- 检查 Code Engine (基于上下文的限制或服务) 的专用端点允许列表中是否没有通配符
有关规则的更多信息,请参阅 定义定制规则。
- OSPAR 概要文件
- 现在,Security and Compliance Center中提供了外包服务提供者的审计报告 (OSPAR) 概要文件版本 1.0.0。 有关概要文件的更多信息,请参阅 更改日志。
2024 年 2 月 27 日
- 可用的新规则
- 现在提供了以下规则:
- 检查是否使用客户管理的加密以及自带密钥 (BYOK) 或保留自己的密钥 (KYOK) 来启用 App ID
- 检查 Schematics 是否已启用客户管理的加密以及“自带密钥”(BYOK) 还是“保留自己的密钥”(KYOK)
- 检查 Block Storage for VPC 是否启用了客户管理的加密以及自带密钥 (BYOK) 还是保留自己的密钥 (KYOK)
- 检查是否通过客户管理的加密以及自带密钥 (BYOK) 或保留自己的密钥 (KYOK) 来启用 Cloud Object Storage
- 检查是否使用客户管理的加密以及自带密钥 (BYOK) 还是保留自己的密钥 (KYOK) 来启用 Red Hat OpenShift 集群
- 检查是使用客户管理的加密以及自带密钥 (BYOK) 还是保留自己的密钥 (KYOK) 来启用 Kubernetes Service 集群
有关规则的更多信息,请参阅 定义定制规则。
2024 年 2 月 20 日
- 提供了新规则和规则更改
- 已添加或更新以下规则。 它们目前未映射到任何配置文件,包括 IBM Cloud Framework for Financial Services 配置文件。 用户现在可以覆盖缺省值并指定允许的 IP 或 IP 范围作为参数。 仅针对公共配置和专用配置评估与基于上下文的限制相关的规则。 如果您已配置直接端点,那么将不会通过以下规则对其进行求值。
如果设置了有关专用端点的基于上下文的限制,那么除非通过帐户设置设置了允许的 IP 地址,否则用户将无法通过 UI 访问服务。
: 已添加以下规则:
* 检查 Cloud Object Storage 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 访问虚拟私有云
* 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 访问 VPC 备份
* 检查 Bare Metal Servers for VPC 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查 Dedicated Host for VPC 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查 VPC 的虚拟专用端点是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查 VPC 浮动 IP 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查 Flow Logs for VPC 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 来访问 VPC 映像
* 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 来访问自动缩放 VPC
* 检查 Virtual Servers for VPC 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查 VPC SSH 密钥是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查 Load Balancer for VPC 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查 VPC 网络访问控制表是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查 VPC 放置组是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查 VPC 公用网关是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查 VPC 安全组是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 来访问 VPC 的 Block Storage 快照
* 检查 VPC 子网是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查 Block Storage for VPC 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查客户机 VPN for VPC 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
* 检查 VPN for VPC 是否只能通过专用端点 (基于上下文的限制或服务) 和允许的 IP 进行访问
有关规则的更多信息,请参阅 [定义定制规则](/docs/security-compliance?topic=security-compliance-rules-define)。
2024 年 2 月 13 日
- 可用的新规则
- 现在提供了以下规则:
- 检查是否使用客户管理的加密和自带密钥 (BYOK) 启用了 App ID
- 检查 Schematics 是否已启用客户管理的加密和自带密钥 (BYOK)
- 检查 Event Streams 是否已启用客户管理的加密并保留自己的密钥 (KYOK)
- 检查 Red Hat OpenShift 集群是否在多个专区中至少有 # 个工作程序节点
有关规则的更多信息,请参阅 定义定制规则。
2024 年 1 月 23 日
- 可用的新规则
- 现在提供了以下规则:
- 检查是否可以对 Databases for EDB 进行求值,以确定是否只能通过专用端点 (基于上下文的限制或服务) 进行访问
- 检查是否可以评估 Databases for EDB 以确定专用端点允许列表中没有通配符 (基于上下文的限制或服务)
- 检查是否可以评估 Databases for MySql 以确定是否只能通过专用端点 (基于上下文的限制或服务) 进行访问
- 检查是否可以对 MySql 数据库进行求值,以确定专用端点允许列表中没有通配符 (基于上下文的限制或服务)
- 检查是否可以评估 IBM Cloud Monitoring,以确定是否只能通过专用端点进行访问(基于上下文的限制或服务)
- 检查是否可以评估 IBM Cloud Monitoring,以确定专用端点允许列表中没有通配符(基于上下文的限制或服务)
- 检查是否可以对 Rabbitmq 的消息进行求值,以确定是否只能通过专用端点 (基于上下文的限制或服务) 进行访问
- 检查是否可以对 Rabbitmq 的消息进行求值,以确定专用端点允许列表中没有通配符 (基于上下文的限制或服务)
- 已更新的规则
- 更新了以下规则:
- 检查是否可以对 Container Registry 进行求值以确定专用端点允许列表中没有通配符 (基于上下文的限制或服务)
有关规则的更多信息,请参阅 定义定制规则。
2024 年 1 月 17 日
- 已更新规则
Check whether Kubernetes Service version is up-to-date
的规则逻辑已更改。 在先前版本的评估中,逻辑比较了建议的版本。 现在,逻辑会比较建议的版本和支持的版本。 规则标识为rule-e0686900-c022-4434-b04f-f7032bea1050
。
2023 年 12 月 15 日
2023 年 12 月 12 日
- IBM Cloud 安全性最佳实践概要文件已除去
- 已除去 IBM Cloud 安全最佳实践概要文件。 该概要文件在 2023 年 9 月 12 日已不推荐使用,并且已根据今天的时间表移除。
- IBM Cloud Red Hat OpenShift Kubernetes OCP4 (V 1.1.0) 概要文件已除去。
- 已从服务中除去 IBM Cloud Red Hat OpenShift Kubernetes OCP4 的 V 1.1.0。
2023 年 12 月 11 日
7 2023 年 12 月
- 马德里可用性
- Security and Compliance Center 现在在马德里 (
eu-es
) 区域中可用。 有关服务可用性的更多信息,请参阅 区域和端点。
6 2023 年 12 月
- 概要文件版本控制现已可用
- 现在,概要文件版本控制在 Security and Compliance Center中可用。 通过概要文件版本控制,可以在发布更新时升级到概要文件的最新版本。 有关概要文件版本控制 (包括时间线) 的更多信息,请参阅 管理概要文件版本。
- SOC 2 V 1.0.0
- SOC 2 的 V 1.0.0 现在在 Security and Compliance Center中可用。 有关概要文件的更多信息,请参阅 更改日志。
- CIS Amazon Elastic Kubernetes Service (EKS) Benchmark 的 V 1.2.0
- CIS Amazon Elastic Kubernetes Service (EKS) Benchmark 的 V 1.2.0 现在在 Security and Compliance Center中提供。 有关概要文件的更多信息,请参阅 更改日志。
- AWS Foundational Security 最佳实践版本 1.2.0
- AWS Foundational Security Best Practice V 1.2.0 现在在 Security and Compliance Center中提供。 有关概要文件的更多信息,请参阅 更改日志。
- AWS 良好架构框架的版本 1.2.0
- AWS 良好体系结构框架的 V 1.2.0 现在在 Security and Compliance Center中可用。 有关概要文件的更多信息,请参阅 更改日志。
- NIST SP 800-53 版本 1.2.0 (信息系统和组织的安全和隐私控制)
- NIST SP 800-53 (信息系统和组织的安全性和隐私控制) 版本 1.2.0 现在在 Security and Compliance Center中提供。 有关概要文件的更多信息,请参阅 更改日志。
- CIS Azure Kubernetes Service (AKS) Benchmark 的 V 1.2.0
- CIS Azure Kubernetes Service (AKS) Benchmark 的 V 1.2.0 现在在 Security and Compliance Center中可用。 有关概要文件的更多信息,请参阅 更改日志。
2023 年 11 月 21 日
- AWS Foundational Security 最佳实践版本 1.1.0
- AWS Foundational Security Best Practice V 1.1.0 现在在 Security and Compliance Center中提供。 有关概要文件的更多信息,请参阅 更改日志。
- AWS 良好架构框架版本 1.1.0
- AWS“良好体系结构”框架的 V 1.1.0 现在在 Security and Compliance Center中可用。 有关概要文件的更多信息,请参阅 更改日志。
- NIST SP 800-53 版本 1.1.0 (信息系统和组织的安全性和隐私控制)
- NIST SP 800-53 (信息系统和组织的安全性和隐私控制) 版本 1.1.0 现在在 Security and Compliance Center中提供。 有关概要文件的更多信息,请参阅 更改日志。
2023 年 11 月 16 日
- C5:2020 概要文件的 V 1.0.0
- C5:2020 概要文件的 V 1.0.0 现在在 Security and Compliance Center中可用。 有关概要文件的更多信息,请参阅 更改日志。
7 2023 年 11 月
- 可用的新规则
- 现在提供了以下规则:
- 检查DevSecOps工具链是否验证对源代码的所有更改都经过人工审核
- 检查 DevSecOps 工具链是否验证每个已部署工件的签名出处
- 检查现在是否可以评估 Identity and Access Management 服务以确定用户的联系人电子邮件是否有效
- 检查现在是否可以对 Secrets Manager 进行评估,以确定是否将通过服务生成的证书配置为在到期之前进行更新
- 检查 Event Notifications 是否配置为与 Security and Compliance Center 配合使用
有关规则的更多信息,请参阅 定义定制规则。
- CIS Amazon Web Services Foundations Benchmark 的 V 1.1.0
- CIS Amazon Web Services Foundations Benchmark 的 V 1.1.0 现在在 Security and Compliance Center中提供。 有关概要文件的更多信息,请参阅 更改日志。
- CIS Amazon Elastic Kubernetes Service (EKS) Benchmark 的 V 1.1.0
- CIS Amazon Elastic Kubernetes Service (EKS) Benchmark 的 V 1.1.0 现在在 Security and Compliance Center中提供。 有关概要文件的更多信息,请参阅 更改日志。
- CIS Azure Kubernetes Service (AKS) Benchmark 的 V 1.1.0
- CIS Azure Kubernetes Service (AKS) Benchmark 的 V 1.1.0 现在在 Security and Compliance Center中可用。 有关概要文件的更多信息,请参阅 更改日志。
2023 年 10 月 24 日
- 修复
- 对于所选控件组,补救信息现在在 Security and Compliance Center UI 中可用。 要查看补救,请浏览至结果,然后选择控件。 这样会打开一个侧面板,其中包含其他信息,单击 不合规属性 选项卡。
2023 年 10 月 17 日
- 1.1.0版本的IBM Cloud Kubernetes Service基准
- 1.1.0 版本 IBM Cloud Kubernetes Service基准现已在 Security and Compliance Center 中提供。 有关概要文件的更多信息,请参阅 更改日志。
- CIS Microsoft Azure Foundations Benchmark 的 V 1.1.0
- CIS Microsoft Azure Foundations Benchmark V 1.1.0 现在在 Security and Compliance Center中提供。 有关概要文件的更多信息,请参阅 更改日志。
- 日志记录
- 您可以使用 IBM® Log Analysis 服务并在 IBM Cloud中操作的每个区域中启用平台日志来查看和分析 Security and Compliance Center 日志。 有关更多信息,请参阅 Logging for Security and Compliance Center。
2023 年 10 月 10 日
2023 年 9 月 28 日
- Terraform 支持
- 如果您已经将 Terraform 与 IBM Cloud配合使用,那么可以继续使用 Terraform with Security and Compliance Center 来读取数据源和创建资源。
2023 年 9 月 23 日
- 概要文件名称更改
- 已更新以下概要文件名称:
- IBM Cloud for Financial Services 现在称为 IBM Cloud Framework for Financial Services
- CIS IBM Foundations Benchmark 现在称为 CIS IBM Cloud Foundations Benchmark
对扫描没有影响,只是概要文件的名称已更改。
- PCI DSS v4.0 概要文件
- PCI DSS v4.0 概要文件的 V 1.0.0 现在在 Security and Compliance Center中可用。 有关概要文件的更多信息,请参阅 更改日志。
- IBM Cloud Framework for Financial Services 概要文件的 V 5
- IBM Cloud Framework for Financial Services 概要文件的版本 5 现在在 Security and Compliance Center中提供。 有关概要文件的更多信息,请参阅 更改日志。 此版本的概要文件已重命名为 IBM Cloud Framework for Financial Services。
- IBM Cloud Red Hat OpenShift Kubernetes OCP4 概要文件的新版本
- IBM Cloud Red Hat OpenShift Kubernetes OCP4 概要文件现在在 Security and Compliance Center中提供。 有关概要文件的更多信息,请参阅 更改日志。
- NIST SP 800-53 (信息系统和组织的安全和隐私控制) 概要文件
- 现在,在 Security and Compliance Center中提供了 NIST SP 800-53 (信息系统和组织的安全性和隐私控制) 概要文件的版本 1.0.0。 有关概要文件的更多信息,请参阅 更改日志。
- 多环境概要文件
- 现在,您可以使用同一概要文件对多个环境进行求值。 要开始使用多云流,请 创建定制概要文件,然后 运行评估。
2023 年 9 月 15 日
- 现在可用: Java SDK v5.0.0
- 现在提供了 Security and Compliance Center Java SDK 的新版本。 您可以在 API 文档 中查看更新。
- 现在可用: Node SDK v5.0.0
- 现在提供了新版本的 Security and Compliance Center Node.js SDK。 您可以在 API 文档 中查看更新。
- 现在可用: Python SDK v5.0.0
- 现在提供了新版本的 Security and Compliance Center Python SDK。 您可以在 API 文档 中查看更新。
2023 年 9 月 12 日
- 不推荐使用概要文件: IBM Cloud 安全性最佳实践
- 截至 2023 年 9 月 12 日,不推荐使用 IBM Cloud 安全最佳实践概要文件。 如果您当前正在使用概要文件,请确保记住以下时间线。
- 2023 年 9 月 12 日: 正式不推荐使用概要文件。 没有功能更改。
- 2023 年 10 月 12 日: 将从该日期起阻止创建新的和编辑现有附件。 此外,该概要文件将不再显示在服务 UI 的“概要文件”页面中。 将继续扫描先前创建的附件。
- 2023 年 12 月 11 日: 将从产品中除去概要文件。 如果概要文件存在附件,那么扫描将停止。
建议您移至其他概要文件,例如 CIS IBM Cloud Foundations Benchmark,以确保持续支持。 但是,如果要继续使用与 IBM Cloud 安全性最佳实践相关联的控件或评估,那么可以使用该概要文件来创建定制概要文件,直到 10 月 12 日。 然后,必须使用定制概要文件创建新附件以启动扫描。
如果您已通过定制概要文件使用控件或评估,那么无需进行任何更改。 您的扫描将继续运行。
2023 年 8 月 29 日
9 2023 年 8 月
2023 年 7 月 17 日
- 来自多个环境的结果现在可用
- 现在,您可以通过将 Security and Compliance Center Workload Protection 的实例连接到服务,将多个环境(包括 Amazon Web Services 和 Microsoft Azure )中的结果提取到 Security and Compliance Center 中。 有关入门帮助,请参阅 连接 Security and Compliance Center Workload Protection。
- 现在提供了新的概要文件
- 以下概要文件的 V 1.0.0 现在可用:
- 可用的新 API 版本
- Security and Compliance Center 版本 3.0.0 现在可用。 所有端点都已更改为支持新体系结构。 有关更多详细信息,请查看 API 参考。
2023 年 7 月 12 日
- IBM Cloud Kubernetes Service Benchmark 概要文件版本 1.0.0
- 现在提供了 IBM Cloud Kubernetes Service Benchmark 概要文件的版本 1.0.0。 此概要文件引入了新的评估格式
wp-rule
。 有关更多信息,请参阅 更改日志。 要使用此概要文件查看结果,您必须具有已连接的工作负载保护实例。 有关入门帮助,请参阅 连接 Security and Compliance Center Workload Protection。 - 新建规则运算符
- 现在可以使用运算符
strings allowed
,strings_required
,string_contains
和string_not_contains
来创建定制规则。 有关新操作程序的更多信息,或者帮助开始使用定制规则,请参阅 定义定制规则。
8 2023 年 7 月
- Security and Compliance Center 现在是基于实例的区域产品
- 现在,您可以完全控制 Security and Compliance Center 处理数据时使用的区域。 要处理不同区域中的数据,可以在单个帐户中创建服务的多个实例。 在此体系结构更改过程中,作用域为“所有帐户管理服务”的任何 Identity and Access Management (IAM) 访问策略或基于上下文的限制将不再适用于 Security and Compliance Center。 有权访问“所有已启用身份和访问权的服务”的用户现在将有权访问 Security and Compliance Center。 此外,如果您正在使用专用目录,那么必须将 Security and Compliance Center 作为已核准的服务添加到专用目录,以便组织成员创建实例。
如果用户具有已满足其帐户的资源数量配额,那么将无法创建服务实例。
1 2023 年 7 月
- 已除去对基于收集器的体系结构的支持
- 为了准备即将对区域产品进行的体系结构更改,已从产品中除去基于收集器的体系结构。
与基于收集器的评估相关的事件也已除去。 要继续接收用于评估的事件,必须 更新 Event Notifications 中的主题。
2023 年 6 月 23 日
- 可用的新规则
- 全局搜索和标记平台服务现在可供您创建定制规则。 可以编写规则以评估已分配特定标记的资源。 有关规则的更多信息,请参阅 定义定制规则。
- 可用的附件详细信息
- 已更新创建附件流以包含详细信息作为输入。 现在,先前创建的概要文件将在概要文件表中看到由
scope-type and scope ID
的组合组成的名称。 您可以随时通过编辑概要文件来添加定制名称。
2023 年 6 月 20 日
- IBM Cloud for Financial Services 概要文件版本 1.3.0
- IBM Cloud for Financial Services 概要文件的 V 1.3.0 现在可用。 有关更多信息,请参阅 更改日志。
- IBM Cloud 安全性最佳实践概要文件版本 1.2.0
- 现在提供了对 IBM Cloud 安全最佳实践库和概要文件的 V 1.2.0 的更新。 有关详细信息,请参阅更改日志。
7 2023 年 6 月
- OpenShift Compliance Operator (OSCO)
- 现在,您可以使用更新的体系结构中的 OSCO 集成来评估 OpenShift 集群。 有关入门或定制工作流程的帮助,请参阅 评估 RedHat OpenShift 集群的合规性。
2023 年 5 月 29 日
- 提示: Security and Compliance Center 将变为区域性
- 自 2023 年 7 月 8 日起,Security and Compliance Center 将成为 IBM Cloud 目录中可提供的地区性服务。 通过此更改,您将完全控制 Security and Compliance Center 处理数据时使用的区域。 要处理不同区域中的数据,可以在单个帐户中创建服务的多个实例。
不推荐 为了支持此更改,不推荐使用对基于收集器的体系结构的支持。 这意味着将在 1 2023 年 7 月支持结束时除去围绕收集器,基于目标的概要文件,基于收集器的扫描,基于目标的结果和凭证的所有配置。
此外,还将进行以下更改:
- 作用域为“所有帐户管理服务”的任何 Identity and Access Management (IAM) 访问策略或基于上下文的限制将不再适用于 Security and Compliance Center。 有权访问“所有已启用身份和访问权的服务”的用户现在将有权访问 Security and Compliance Center。
- 如果用户仅有权访问添加到专用目录的产品,而无权访问完整的 IBM Cloud 目录,那么必须将 Security and Compliance Center 添加到其专用目录,以使其能够创建实例。
- 如果用户具有已满足其帐户的资源数量配额,那么将无法创建服务实例。
在此更新期间,您负责将扫描配置迁移到新体系结构。 您可以随时开始迁移。
开始迁移时,请记住以下日期:
- 8 2023 年 6 月: 将冻结 Security and Compliance Center 中的位置设置,直到升级完成为止。 服务中指定的位置是将在其中创建新实例的区域。 可以从 7 月开始创建其他实例。
- 1 2023 年 7 月: 将从 Security and Compliance Center中除去基于收集器的体系结构。
- 8 2023 年 7 月: 将根据您的设置位置在您的帐户中提供 Security and Compliance Center 的区域实例,并且将除去全局实例。 此外,对 IAM 和基于上下文的限制的更改将生效。
在迁移期间,您可能会通过“计费”页面看到两个 Security and Compliance Center 实例,尽管在您的帐户中看不到两个实例。 这是由于进行迁移的方式。 您仅通过一个计费。 迁移完成后,将从您的帐户中除去全局实例。
2 2023 年 5 月
- 调度扫描频率
- 现在,您可以在更新的体系结构中调度扫描的运行频率。 选项包括每天,每 7 天和每 30 天。 现在还可以暂停扫描。 建议您每天继续扫描环境。 要开始使用,请参阅 扫描 IBM Cloud 资源。
1 2023 年 5 月
- 支持基于上下文的限制 (CBR)
- 根据定义的条件,使用基于上下文的限制来管理对 Security and Compliance Center 资源的用户和服务访问权。 有关更多信息,请参阅 使用基于上下文的限制保护 Security and Compliance Center 资源。
2023 年 4 月 25 日
- 按标记过滤结果
- 现在,您可以按特定标记来过滤结果。 有关查看和过滤结果的更多信息,请参阅 在仪表板中查看结果。
2023 年 4 月 24 日
- 现在可用: 多伦多位置
- 现在,多伦多可用作处理您的数据的位置。 要了解有关如何在 Security and Compliance Center中处理数据的更多信息,请参阅 存储和加密。
2023 年 4 月 20 日
- 对 IBM Cloud for Financial Services 概要文件的更新
- 现在提供了 IBM Cloud for Financial Services 概要文件的 V 1.2.0。 有关更多信息,请参阅 更改日志。
2023 年 4 月 17 日
- 对 IBM Cloud 安全性最佳实践库和概要文件的更新
- 现在提供了对 IBM Cloud 安全性最佳实践库和概要文件的 V 1.1.0 的更新。 有关详细信息,请参阅更改日志。
2023 年 4 月 10 日
- 定制每个附件的通知
- 在创建附件的过程中,您现在可以按附件配置通知。 您可以设置定制故障阈值或选择要向其发出警报的特定控件。 缺省情况下,当为您的帐户启用通知时,如果单个扫描中 15% 的控件失败,将通知您。 要调整此值,您可以调整阈值,也可以在创建附件时关闭通知。
如果已配置通知,那么会将其迁移到新格式。 要更新通知设置,可以在每个附件的设置中执行此操作。
2023 年 3 月 31 日
- 不推荐使用 基于收集器的体系结构
- 自 2023 年 6 月 30 日起,Security and Compliance Center 将成为 IBM Cloud 目录中可提供的地区性服务。 进行此更改时,将除去对当前驻留在 UI 的 Hybrid Cloud 部分中的基于收集器的体系结构 (v1) 的支持。 如果您专门评估 IBM Cloud 资源,那么可以随时通过创建附件来开始迁移到改进的用户体验。 如果您正在使用收集器来评估混合云方案,那么将很快提供有关迁移计划的其他信息。
2023 年 3 月 13 日
- IBM Cloud 安全性最佳实践库的新版本
- 现在提供了 IBM Cloud Security Best Practice 库和概要文件的 V 1.1.0。 有关详细信息,请参阅更改日志。
3 2023 年 2 月
- 新版本的 IBM Cloud for Financial Services 库
- 现在提供了适用于 Financial Services 库和概要文件的 IBM Cloud V 1.1.0。 有关更多信息,请参阅 更改日志。
2022 年 12 月 14 日
- 现在提供了 Security and Compliance Center 的全新改进体验!
- 过去几个月来,我们一直在后台工作,以整合我们收到的所有反馈,我们很高兴与您分享我们新的和改进的架构。 当您使用我们的新架构时,您需要了解对术语和功能的一些更改。
-
企业支持: 组织合规性的分层管理
-
简化设置: 使用 IBM Cloud时,无需创建服务标识,编写 IAM 策略或管理 API 密钥。
-
更多定制: 通过简单的声明式规则创建可版本化的控件,概要文件和评估,然后为每个附件定制评估参数。
-
新的概要文件格式: 从基于目标的体系结构转变为基于评估的体系结构,以提高评估执行方式的透明度。
-
客户拥有的存储器: 通过允许您在自己的 Cloud Object Storage 存储区中保护合规性数据,可除去保存的监视结果的持续时间和容量限制
-
术语: 随着我们新体系结构的引入,术语已重新评估和更新,以确保产品具有更紧密的体验。
如前所述,已在此发行版中除去“配置监管”组件。 这意味着您的帐户中先前存在的任何规则都已除去并且不再强制实施。
2022 年 10 月 10 日
- 更新即将到来!
- Security and Compliance Center 的全新改进体验正在进行中! 过去几个月来,我们一直在后台工作,以整合我们收到的所有反馈,我们几乎准备好与您分享。 为了确保最佳体验,您需要了解当前功能的一些更改。 当我们的新体验发布时,您可以期望看到:
IBM Cloud 资源的更无缝集成! 不仅不再需要您配置和部署收集器以扫描在 IBM Cloud上运行的资源,而且您在 UI 中的体验现在将在整个产品中更加一致。
除去配置监管。 虽然新体验中将继续存在规则,但我们正在临时除去当前用于实施的服务的“配置监管”组件。 虽然没有要返回此功能的时间线,但我们将不断更新您的信息。
2022 年 9 月 21 日
- 现在可用: 新版 IBM Cloud for Financial Services 概要文件
- IBM Cloud for Financial Services 概要文件的 V 0.6.0 现在随新目标和控件一起提供。 有关更多信息,请参阅 IBM Cloud for Financial Services 概要文件更改日志。
1 2022 年 9 月
- 可用于虚拟私有云的新属性
- IBM Cloud 虚拟私有云现在具有作为配置监管组件的一部分可用的其他属性。 您可以为虚拟服务器创建护栏,例如限制使用浮动 IP 和服务元数据。
- 已除去: 凭证口令
- 从今天 (1 2022 年 9 月) 开始,不推荐使用口令来管理凭证的安全性,以支持“自带密钥”(BYOK) 功能。 如果未禁用口令并返回到 IBM管理的密码,那么必须重新创建所有凭证以继续扫描资源。 有关启用 BYOK 或了解有关如何保护凭证的更多信息的帮助,请参阅 在 Security and Compliance Center。
2022 年 8 月 11 日
- 现在可用: 新版 IBM Cloud for Financial Services 概要文件
- IBM Cloud for Financial Services 概要文件的 V 0.5.0 现在可用于新的目标和控件。 有关更多信息,请参阅 IBM Cloud for Financial Services 概要文件更改日志。
9 2022 年 8 月
- 新增可用: 更长的缺省存储器
- 现在,扫描期间生成的数据将存储 180 天。 这比 30 天有所增加。 有关数据存储方式的更多信息,请参阅 存储和加密 Security and Compliance Center 中的数据。
2022 年 8 月 3 日
- 更改集成的许可权需求
- 从现在开始,不再支持用于在 Security and Compliance Center 中查看,创建,更新和删除集成的安全性和合规性集成许可权。 要使用集成,请使用以下操作到角色映射:
compliance.posture-management.integrations-read
: 在 Security and Compliance Center中查看集成。compliance.posture-management.integrations-create
: 在 Security and Compliance Center中创建集成。compliance.posture-management.integrations-update
: 更新 Security and Compliance Center中的集成。compliance.posture-management.integrations-delete
: 删除 Security and Compliance Center中的集成。
有关必需许可权的更多信息,请查看 Managing IAM access for Security and Compliance Center。
2 2022 年 8 月
- 不推荐: 凭证口令
- 从现在开始,不推荐使用创建口令来管理凭证安全性的功能来支持“自带密钥”(BYOK) 功能。 如果您当前正在使用口令来保护凭证,那么必须通过在 1 2022 年 9 月之前返回到 IBM管理的加密来禁用口令。 然后,可以在 Security and Compliance Center UI 的“设置”页面上启用 BYOK。 有关如何保护凭证的更多信息,请参阅 在 Security and Compliance Center。
2022 年 7 月 25 日
- 现在可用: 概要文件更新
- 现在提供了目标更新 IBM Cloud 安全最佳实践概要文件。 有关更多信息,请参阅 IBM Cloud 安全性最佳实践更改日志。
2022 年 7 月 12 日
- 现在可用: 新区域-WDC
- Security and Compliance Center 现在配置为在发生灾难场景时使用 Washington DC 区域作为备份。
2022 年 6 月 23 日
- 现在可用: 新版 IBM Cloud for Financial Services
- IBM Cloud for Financial Services 概要文件的 V 0.4.0 现在随新目标和控件一起提供。 有关更多信息,请参阅 IBM Cloud for Financial Services 概要文件更改日志。
1 2022 年 6 月
截至 1 2022 年 6 月,不推荐使用 Security and Compliance Center 的 Security Insights 组件,并且已除去支持。 尚未找到替换项。 请注意,此中断不会影响 Security and Compliance Center中的其他功能。 如果您有意见,问题或担忧,请通过电子邮件 jpbonner@us.ibm.com
联系 Jessica Doherty。
2022 年 5 月 27 日
概要文件正在不断扩展,并非每个组织可能需要的所有控件的详尽列表。 用户可以验证可用目标,并确定是否需要通过其他安全性和合规性度量来补充其工作负载。
- 现在可用: IBM Cloud Security Best Practice Controls 概要文件
- IBM Cloud 安全性最佳实践概要文件是一组目标,可帮助组织确保遵循 IBM Cloud 安全性定义的最佳实践。
- 现在可用: IBM Cloud 控制库概要文件
- 在此发行版中,已将 IBM Cloud 最佳实践控制 1.0 概要文件重命名为 IBM Cloud 控制库。 IBM Cloud Control Library 是一个概要文件,其中包含可用于 IBM Cloud的所有可用控件和目标。 该库不能用于直接扫描资源,但您可以从该库创建定制概要文件。
- 现在可用: 新版 IBM Cloud for Financial Services 概要文件
- IBM Cloud for Financial Services 概要文件的 V 0.3.0 现在可用于新的目标和控制。 有关更多信息,请参阅 IBM Cloud for Financial Services 概要文件更改日志。
2022 年 5 月 13 日
- 可用的新定价套餐
- Security and Compliance Center 的“态势管理”组件现在是付费组件。 有关定价工作方式和可用套餐的更多信息,请参阅 Security and Compliance Center 如何计算定价?
5 2022 年 5 月
除了错误修订和常规更新之外,针对 Financial Services 概要文件 IBM Cloud 的 V 0.2.0 将更新为自 4 2022 年 5 月起的以下更改。
目标标识 | 关联的控件 | 更新 |
---|---|---|
3000906 |
SC-8-0 ,SC-8(1) ,SC-13 和 SC-23 |
已更新目标和事实收集逻辑。 |
3000601 |
CM-8(3)(a) ,RA-5(a) ,SI-2(2) 和 SI-2(a) |
更新了目标逻辑,以考虑状态是未扫描还是不完整。 |
3000601 |
CM-8(3)(a) ,RA-5(a) ,SI-2(2) 和 SI-2(a) |
已更新消息传递。 |
3000407 |
SC-8-0 ,SC-8(1) ,SC-13 和 SC-23 |
已更新目标和事实收集逻辑。 |
3000462 |
CM-2 ,CM-7(a) ,CM-8(3)(a) 和 SA-3(a) |
已更新目标和事实收集逻辑。 |
3000029 * |
AC-3 ,AC-5(b) ,AC-6-0 和 AC-2(i) |
目标已除去。 |
- 此目标也将从 V 0.1.4中除去。
5 2022 年 4 月
- 新版本的 IBM Cloud for Financial Services 概要文件
- IBM Cloud for Financial Services 概要文件的 V 0.1.4 和 V 0.2.0 现在可用于新的目标和控制。 有关更多信息,请参阅 IBM Cloud for Financial Services 概要文件更改日志。
2022 年 3 月 23 日
- 新目标
- 您可能会注意到,即使未更新任何配置,您的合规性分数也已更改。 已向自动扫描资源的 Security and Compliance Center 概要文件添加新目标。 有关新目标的详细描述,您可以查看
IBM Best Practices Controls 1.0
概要文件。 标识在以下范围内的所有目标都是新目标。
- 目标标识:
3000046
-3000048
和3000473
-3000474
。
2022 年 3 月 10 日
- 创建规则流更新
- 使用控制台创建规则时,流现在包含作用域的附件。 要试用新流,请参阅 Security and Compliance Center UI。
- 快速入门:状态管理
- Security and Compliance Center UI 已更新,以便在概述页面和服务的“Posture 管理”组件的新“快速启动”向导中包含更多信息。 要进行试用,请参阅 Security and Compliance Center UI。
2022 年 3 月 1 日
- 创建作用域流更新
- 现在,将在 GUI 中更新创建作用域流,以在创建作用域的过程中包含扫描的调度。 要试用新流,请参阅 Security and Compliance Center UI。
2022 年 2 月 17 日
- 配置监管中可用的新服务
- 虚拟私有云的 VPN 现在作为“配置监管”组件的一部分提供。 您可以为 VPN for VPC 创建护栏,例如实施特定 IPsec 和 IKE 策略以进行认证和加密。
2022 年 1 月 27 日
- 在凭证映射期间添加参数
- 扫描资源 (例如 Kubernetes Service 集群的实例) 时,必须提供其他参数以使收集器能够访问其所有配置数据。 如果是这样,那么在映射凭证时,将在 Security and Compliance Center UI 中显示其他字段。
- 现在可用: 新版 IBM Cloud for Financial Services 概要文件
- IBM Cloud for Financial Services 概要文件的 V 0.1.3 现在可用于新的目标和控件。 有关更多信息,请参阅 IBM Cloud for Financial Services 概要文件更改日志。
2022 年 1 月 21 日
- 配置监管中可用的新服务
- IBM Cloud App ID 现在可作为配置监管组件的一部分提供。 您可以为 App ID 创建护栏,例如强制是否跟踪对应用程序用户进行的运行时活动的监视。
2022 年 1 月 11 日
- 配置监管中可用的新服务
- IBM Cloud Code Engine 现在可用作配置监管组件的一部分。 您可以为 Code Engine 创建护栏,例如确保只能在特定区域中创建项目。
2021 年 12 月 13 日
- Event Notifications 集成
- 现在,您可以与 IBM Cloud Event Notifications 集成,以便可以在单个位置查看和管理所有 Security and Compliance Center 警报。 有了快速警报时间,您就能立即开始调查任何报告的问题,并在漏洞成为应用程序的问题之前加以修复。
要将 Security and Compliance Center 与 Event Notifications 服务连接,请参阅 启用事件通知。
- 不推荐使用警报功能
- 截至 2021 年 12 月 13 日,不推荐使用警报来支持 Event Notifications。 不再支持在 Security and Compliance Center 中创建警报的能力。 您可以继续查看,启用,禁用或删除现有警报,直到 2021 年 3 月 15 日。 在此日期之后,将删除任何现有警报,并且将从 UI 中除去该功能部件。
要启用新的通知功能,可以转至 Security and Compliance Center UI 的 全局设置> Event Notifications 部分。 有关更多信息,请参阅 启用事件通知。
9 2021 年 12 月
- 现在可以在集群上安装客户管理的收集器
- 现在,您可以将客户管理的收集器安装到 IBM Cloud Kubernetes Service 或 OpenShift 集群。
- 配置监管中可用的新服务
- IBM Cloud Container Registry 现在可作为配置监管组件的一部分提供。 您可以为 Container Registry 创建护栏,例如限制帐户,使其只能通过专用连接推送和拉取映像。
2021 年 11 月 22 日
- 新目标
- 您可能会注意到,即使未更新任何配置,您的合规性分数也已更改。 已向自动扫描资源的 Security and Compliance Center 概要文件添加新目标。 有关新目标的详细描述,您可以查看
IBM Best Practices Controls 1.0
概要文件。 标识在以下范围内的所有目标都是新目标。
- 目标标识:
3000542
-3000544
和3000321
。
2021 年 11 月 1 日
- 扫描 OpenShift 集群
- 现在,可以通过 OpenShift Compliance Operator (OSCO) 集成来扫描 OpenShift 集群
2021 年 10 月 27 日
- 不推荐使用书签功能
- 在 Security and Compliance Center 中创建书签或直接连接的功能将在 2021 年 11 月 30 日不推荐使用,届时将从 UI 中除去该功能。 确保在废弃日期之前保存您需要的任何已添加书签的 URL。
2021 年 9 月 16 日
- 新版本的 IBM Cloud for Financial Services 概要文件
- IBM Cloud for Financial Services 概要文件的 V 0.1.2 现在可用于新的目标和控件。 有关更多信息,请参阅 IBM Cloud for Financial Services 概要文件更改日志。
2021 年 9 月 2 日
- 新目标
- 您可能会注意到,即使未更新任何配置,您的合规性分数也已更改。 已向自动扫描资源的 Security and Compliance Center 概要文件添加新目标。 有关新目标的详细描述,您可以查看
IBM Best Practices Controls 1.0
概要文件。 标识在以下范围内的所有目标都是新目标。
- 目标标识:
3000526
-3000533
2021 年 8 月 18 日
- 新目标
- 您可能会注意到,即使未更新任何配置,您的合规性分数也已更改。 已向自动扫描资源的 Security and Compliance Center 概要文件添加新目标。 有关新目标的详细描述,您可以查看
IBM Best Practices Controls 1.0
概要文件。 标识在以下范围内的所有目标都是新目标。
- 目标标识:
3000510
-3000525
和3000640
。
2021 年 7 月 22 日
- 新建态势管理 API 端点
- 在此发行版中,提供了针对 Posture Management API 的 9 新 API 端点。 要开始使用,请参阅 Posture Management API 文档。
- 整合的 SDK 软件包
- 为了便于通过编程方式从代码访问 API,现在提供了 Security and Compliance Center SDK 软件包。 SDK 实现了使用 API 的最佳实践,并减少了需要编写的代码量。有关详细信息,请参阅以下 API 的文档:
- Admin
- 配置监管
- 状态管理
- 新目标
- 您可能会注意到,即使未更新任何配置,您的合规性分数也已更改。 已向自动扫描资源的 Security and Compliance Center 概要文件添加新目标。 有关新目标的详细描述,您可以查看
IBM Best Practices Controls 1.0
概要文件。 标识在以下范围内的所有目标都是新目标。
- 目标标识:
3000509
2021 年 6 月 24 日
- 新版本的 IBM Cloud for Financial Services 概要文件
- IBM Cloud for Financial Services 概要文件的 V 0.1.1 现在可用于新的目标和控件。 有关更多信息,请参阅 IBM Cloud for Financial Services 概要文件更改日志。
2021 年 6 月 22 日
- Tanium 集成
- 现在,您可以配置 Tanium Comply 以转发合规性数据。 借助 Tanium 合规性,您可以根据行业安全标准,漏洞定义和定制合规性检查来评估组织端点是否存在潜在漏洞和配置错误。 当您将 Tanium 与 Security and Compliance Center集成时,可以使用相同的格式在一个位置中查看所有合规性数据。
2021 年 6 月 14 日
- IBM管理的收集器
- 收集器用于收集有关资源的配置信息,然后根据指定的标准对其进行验证。 先前,您负责收集器的安装和生命周期管理。 现在,您可以通过配置 IBM管理的收集器来快速启动和运行概念验证。
- 新目标
- 您可能会注意到,即使未更新任何配置,您的合规性分数也已更改。 已向自动扫描资源的 Security and Compliance Center 概要文件添加新目标。 有关新目标的详细描述,您可以查看
IBM Best Practices Controls 1.0
概要文件。 标识在以下范围内的所有目标都是新目标。
- 目标标识:
3000901
-3000907
5 2021 年 4 月
- 初始态势管理 API 支持
- 作为本发行版的一部分,服务的“Posture 管理”组件提供了三个外部 API,您可以在安全性和合规性自动化过程中使用这些 API。 更多信息,请参阅态势管理 API 文档。
- 对发现和资料收集的代理支持
- 通过此发行版,您可以将收集器配置为使用代理来访问公共端点,以增强扫描的安全性。
- 新建目标映射
- 现在,目标
3000045
已映射到 CM-2 NIST 800,并且已添加到其他概要文件。 - IBM Cloud for Financial Services 概要文件
- 今天发布的 IBM Cloud for Financial Services 概要文件是一组已规划的目标。 这些目标可帮助组织实现金融机构所需的 NIST 800-53 安全控制。 通过针对 IBM Cloud for Financial Services 概要文件验证资源,您可以更确信 IBM Cloud 资源遵循最佳实践以实现安全性和合规性。
重要信息: 针对 Financial Services 概要文件的 IBM Cloud 不断扩展,并非每个组织可能需要的所有控件的详尽列表。 用户可以验证可用目标,并确定是否需要使用其他安全措施来补充其工作负载。
2021 年 3 月 23 日
- 管理存储数据的位置
- 有存储和处理数据的具体法规吗? 通过Security and Compliance Center,您现在可以选择管理服务生成的数据的位置。 要设置位置首选项,可以访问 Security and Compliance Center 用户界面的 Settings 页面。 有关详细信息,请参阅 Security and Compliance Center 中的数据存储和加密。
2021 年 3 月 15 日
- 定制资源的缺省值
- 要查找更多选项以帮助您管理 IBM Cloud 资源吗? 通过 Security and Compliance Center,您现在可以在所选 IBM Cloud 帐户中创建用于定义目标资源的首选属性值的模板。 创建模板并将其附加到作用域后,定制缺省值会覆盖 IBM 提供的缺省值。
2021 年 2 月 17 日
- 管理您自己的加密
- 如果使用 Security and Compliance Center 来监视当前状态,那么现在可以在服务 UI 的 数据设置 选项卡中管理加密设置。
默认情况下,Security and Compliance Center 生成的数据由 IBM 进行静态加密。 要控制数据加密,您可以启用密钥管理服务并选择自己的密钥。 有关更多信息,请参阅 保护敏感数据。
- 新目标
- 您可能会注意到,即使未更新任何配置,您的合规性分数也已更改。向自动扫描资源的 IBM 概要文件添加了 51 个新目标。 有关新目标的详细描述,您可以查看 IBM 最佳实践控制 1.0 概要文件。 标识在以下范围内的所有目标都是新目标。
- 目标标识:
3000110
-3000117
- 目标标识:
3000256
-3000279
- 目标标识:
3000311
-3000320
- 目标标识:
3000631
-3000639
2020 年 12 月 15 日
- “更新的作用域”页面
- 改进后的体验现在可用于查看,创建和删除作用域。
- “更新的库存”页面
- 现在可以删除不再需要的库存。
- 新建仪表板窗口小部件
- 通过将 Security and Compliance Center 窗口小部件添加到 IBM Cloud 控制台中的仪表板,一目了然地监视总体安全性和合规性。 要了解有关定制仪表板的更多信息,请查看 使用作用域限定的仪表板。
8 2020 年 12 月
- “更新的目标”页面
- 改进后的体验现在可用于查看和定制目标。
- “更新的个人档案”页面
- 现在,可以使用改进的体验来查看和管理概要文件。 有关更多信息,请参阅 使用概要文件。
2020 年 11 月 19 日
- “已更新设置”页面
- 现在提供了改进的体验来保护您在 Security and Compliance Center中使用的凭证。
1 2020 年 9 月
- Security and Compliance Center 的一般可用性
- Security and Compliance Center 现在在 IBM Cloud上普遍可用!
在此版本中,Security and Compliance Center 提供了对配置文件的支持,您可以用它来监控账户的合规性,并配置规则来管理整个账户的资源使用。