IBM Cloud Docs
将 IBM Cloud Security and Compliance Center 工作负载保护与 VCF as a Service

将 IBM Cloud Security and Compliance Center 工作负载保护与 VCF as a Service

此架构模式介绍了如何将 IBM Cloud® Security and Compliance Center 工作负载保护与 IBM Cloud for VMware Cloud Foundation as a Service 实例结合使用。

此模式适用于在单租户或多租户实例中托管的工作负载。

Security and Compliance Center Workload Protection 提供的功能可保护您的 Microsoft Windows® 和 Linux® 虚拟机 (VM),这些虚拟机由 Broadcom 环境 VMware® 托管。 这些功能包括合规性,漏洞扫描和威胁检测。

虽然 Security and Compliance Center Workload Protection 为您的其他 IBM Cloud 服务提供功能,但在本模式中未讨论这些功能。 有关更多信息,请参阅 IBM Cloud Security and Compliance Center Workload Protection

IBM Cloud Security and Compliance Center Workload Protection 实现 Sysdig 安全功能。 Sysdig Secure 文档提供的信息也适用于工作负载保护。

配置 Security and Compliance Center Workload Protection 服务实例后,就可以在 Windows 或 Linux 虚拟机上部署 Host Shield 代理。 代理收集的数据用于入侵检测、态势管理和漏洞扫描功能。

针对 VMware by Broadcom 工作负载的 IBM Cloud Security and Compliance Center 工作负载保护概述

Security and Compliance Center 工作负载保护可为您的 by Broadcom 工作负载提供以下三种保护:VMware

  • 威胁检测 - 威胁检测通过定义策略进行管理,这些策略由规则组成,用于检测和响应 Windows 和 Linux 虚拟机中的安全违规、可疑行为或异常活动。 Security and Compliance Center 工作负载保护提供可定制的预建策略,这些策略由 Sysdig 的威胁研究团队创建和维护。 这些策略可以检测和预防各种安全威胁,例如:恶意软件、入侵和 DDoS 攻击。 这些政策的成果可在“活动”中查看。 如需了解更多信息,请参阅 活动信息反馈
  • 漏洞 - Security and Compliance Center Workload Protection 可高度准确地查看 Windows 和 Linux 虚拟机的漏洞风险。 这些视图包含有关漏洞风险的丰富详细信息,例如 :CVSS 向量,分数,修订时间以及来自多个专家订阅源 (包括 NIST National Vulnerability Database (NVD) 和 VulnDB) 的洞察。
  • 合规性-Posture 管理提供了一个框架,其中包含用于管理合规性的控制,准则,基准和标准。 借助 Security and Compliance Center Workload Protection,您可以根据多个 CIS 基准评估 Windows 和 Linux 虚拟机,如 CIS Distribution Independent Linux 基准和合规性策略或 CIS Windows Server 2019/2022 基准。 有关更多信息,请参阅 分析从检测到补救的合规性态势。 典型用例包括:
    • 根据预定义策略检查当前合规性状态,以了解合规性差距的大小。
    • 通过创建 VM 的合规性状态报告,向审计员演示特定时间点的合规性状态。

用于集成 Security and Compliance Center 工作负载保护的模式

下图显示了将 VMware Cloud Foundation (VCF) as a Service 实例与 Security and Compliance Center Workload Protection 集成的示例。

用于集成 Security and Compliance Center Workload Protection
Security and Compliance Center 工作负载保护

此体系结构模式概述如下:

  1. 代理安装在 Windows 或 Linux 虚拟机上,收集用于威胁检测、态势管理和漏洞扫描的数据。 有关更多信息,请参阅 Sysdig 代理程序

    Sysdig Host Shield 代理提供威胁检测、态势管理和漏洞扫描功能。 要获取更多信息,请参阅:

  2. DNS 服务器需要能够解析 Security and Compliance Center Workload Protection 端点 URL。 配置 DNS 服务器以使用 IBM Cloud DNS 解析器 (如果需要)。

  3. 防火墙规则允许从互联网下载代理,并允许 HTTPS 连接到 Security and Compliance Center 工作负载保护专用端点。 有关配置防火墙规则的更多信息,请参阅 添加 NSX Edge 网关防火墙规则

  4. 源网络地址转换(SNAT)规则允许将虚拟机的覆盖 IP 地址转换为可在互联网上使用的 IBM Cloud 提供的 IP 地址。 有关配置 SNAT 规则的更多信息,请参阅 向 NSX Edge 网关添加 SNAT 或 DNAT 规则

  5. IBM Cloud Security and Compliance Center 工作负载保护实例。 要获取更多信息,请参阅:

注意事项

设计或部署此体系结构模式时,请考虑以下信息:

  • 您在虚拟数据中心托管的所有虚拟机只需要一个 SNAT IP 地址即可与 Security and Compliance Center Workload Protection 实例通信。