连接 Security and Compliance Center Workload Protection
自 2025 年 6 月 16 日起,您不能在本产品的此版本中创建新实例。 Security and Compliance Center Workload Protection 的更新体验中提供了所有功能。 更多信息,请参阅 过渡文档。
当您将 Security and Compliance Center Workload Protection 与 Security and Compliance Center 集成时,您可以运行扫描,验证您是否符合特定预定义配置文件的要求。 然后,您可以在单个位置中查看所有结果以及这些结果的历史记录。
您可以通过将 Security and Compliance Center Workload Protection 的实例连接到服务,将多个环境(包括 Amazon Web Services 和 Microsoft Azure )中的结果提取到 Security and Compliance Center 中。 在 Security and Compliance Center Workload Protection 实例中,创建一个包含要查看的合规性数据的连接,以便在一个视图中同时查看 IBM Cloud 和 Security and Compliance Center Workload Protection 的结果。
要了解有关如何配置集成的更多信息,请查看下图。
- 注册 Cloud Object Storage 存储区以存储结果。
- 从 IBM Cloud 目录中创建 Security and Compliance Center Workload Protection 的实例。
- 在 Security and Compliance Center 实例中,注册 Security and Compliance Center Workload Protection 集成。
- 在作用域与概要文件之间创建附件。 作用域是要评估的资源集,概要文件包含要评估的控件。 对于 AWS 和 Azure,指定要获取细颗粒度结果的过滤器。
- 在 Security and Compliance Center UI 中浏览到仪表板以查看结果。
准备工作
开始之前,请确保满足以下先决条件:
-
IBM Cloud 帐户。 有关更多信息,请参阅 设置 IBM Cloud 帐户。
-
Security and Compliance Center 服务的实例。
-
用于存储结果的 Object Storage 存储区。 有关更多信息,请参阅 设置 Security and Compliance Center的数据存储和处理。
-
IBM Cloud Security and Compliance Center Workload Protection 的实例。 有关从 IBM Cloud 目录创建实例的更多信息,请参阅 Security and Compliance Center 入门 Workload Protection。
记下 Security and Compliance Center Workload Protection 实例中的资源值(如群集名称和区域)。
-
在 Security and Compliance Center中创建和管理集成所需的访问级别。 要从 Security and Compliance Center Workload Protection 提取结果,您必须拥有 Security and Compliance Center 服务的管理员平台角色或更高版本。 有关更多信息,请参阅 分配访问权。
您必须选择以另一环境为目标的概要文件。 例如,Azure Kubernetes Service (AKS) 概要文件或 Amazon Web Services (AWS) 概要文件。 如果要使用多个概要文件中的控件,那么可以创建仅包含要评估的控件的定制概要文件。
注册集成
注册与 Security and Compliance Center的集成。
-
在 IBM Cloud 控制台中,转到 Resource list 页面并选择 Security and Compliance Center 实例。
-
在 Security and Compliance Center 实例中,转到 Integrations 页面。
-
在 Security and Compliance Center Workload Protection 磁贴中,单击连接。
-
在连接您的 Security and Compliance Center Workload Protection 账户面板上,为您的连接提供一个名称。
-
设置服务对服务授权,允许 Security and Compliance Center 与 Security and Compliance Center Workload Protection 通信。
- 当系统提示您进行服务授权时,请单击 授权。
- 对于目标服务,请选择 Security and Compliance Center Workload Protection。Security and Compliance Center 是源服务。 将自动选择读者访问权。 点击回顾。
- 在“复审”页面上,确保目标服务和角色正确,然后单击 分配。
或者,也可以使用 IAM 创建一个授权,允许 Security and Compliance Center 服务实例访问 Security and Compliance Center Workload Protection 服务实例。
-
选择 Security and Compliance Center Workload Protection 实例,然后单击连接。
成功创建连接后,单击 已连接 选项卡。 如果要打开 Security and Compliance Center Workload Protection 实例仪表板,请单击仪表板 URL。
创建附件
要评估资源,请创建附件。 附件是要评估的一组资源与包含要评估的特定控件的概要文件之间的关联。 附件是将特定资源分组作为目标以针对特定概要文件进行评估的方式。
您必须已具有可用的 Object Storage 存储区。 请确保使用位于处理数据所在区域的存储区。
要创建附件,请完成以下步骤:
-
在 Security and Compliance Center UI 中,浏览到“附件”页面,然后单击 创建。 将显示帐户中所有附件的平面列表。
-
为附件提供名称和说明。 请确保尽可能具有描述性,以便团队的其他成员能够轻松地了解所评估的内容。 然后,单击下一步。
-
如果尚未配置 Cloud Object Storage 存储区,那么系统将提示您 连接 一个存储区。 您必须连接一个 Cloud Object Storage 桶来存储评估结果。 作为最佳实践,建议您使用位于处理数据的同一区域中的存储区。
-
选择要用于评估的 概要文件 和 概要文件版本。
您必须通过使用
wp-rule
评估来选择以其他环境为目标的概要文件,以便扫描其他云平台。 例如,Azure Kubernetes Service (AKS) 概要文件或 Amazon Web Services (AWS) 概要文件以其他环境为目标。 如果要使用多个概要文件中的控件,那么可以创建仅包含要评估的控件的定制概要文件。 -
通过编辑缺省参数以匹配特定用例,定制扫描中的底层评估。
-
通过定义作用域将要评估的资源作为目标。 如果您正在使用 IBM Cloud 资源,那么还可以指定要从作用域中排除的资源。 如果要使用其他环境中的资源,则必须 连接 Security and Compliance Center Workload Protection 服务实例,并提供所需的信息才能继续。
-
选择要评估附件的频率。 选项包括每天,每 7 天和每 30 天。 此外,如果需要,您可以暂停扫描。 然后,单击下一步。
-
指示在扫描期间评估失败时是否要通知您。 有关设置通知的更多信息,请参阅 创建附件。
-
复审您的设置,并确保所有配置都适用于您的目标作用域。 然后,单击创建。
根据您在连接中定义的时间表,Security and Compliance Center Workload Protection 将您账户中的数据提取到 Security and Compliance Center。
查看结果
要查看扫描结果,请转至您正在使用的 Security and Compliance Center 实例的 UI 中的仪表板。 有关结果中的详细信息的更多信息,请参阅 查看结果。