IBM Cloud Docs
IBM Cloud Security and Compliance Center Workload Protection と VMware Cloud Foundation デプロイメントを Classic で統合するためのアーキテクチャパターン

IBM Cloud Security and Compliance Center Workload Protection と VMware Cloud Foundation デプロイメントを Classic で統合するためのアーキテクチャパターン

このアーキテクチャ パターンでは、IBM Cloud® Security and Compliance Center Workload Protection を VMware Cloud Foundation for Classic - Automated、IBM Cloud クラシック インフラストラクチャ上の NSX-T インスタンスによるワークロード保護。

Security and Compliance Center Workload Protection は、Microsoft Windows® および Linux® 仮想マシン (VM) を保護する機能を提供し、VMware® 環境上でホストされます。 これらの機能には、コンプライアンス、脆弱性スキャン、脅威検出が含まれる。

Security and Compliance Center Workload Protection は他の IBM Cloud サービス用の機能を提供しますが、これらの機能についてはこのパターンでは説明しません。 詳細については、IBM Cloud Security and Compliance Center Workload Protection を参照してください。

IBM Cloud Security and Compliance Center ワークロード保護は Sysdig Secure の機能を実装している。 Sysdig Secure の文書で提供される情報は、ワークロード保護にも適用されます。

Security and Compliance Center Workload Protection サービスのインスタンスをプロビジョニングした後、Host Shield Agent を Windows または Linux VM に配備できます。 エージェントは、侵入検知、姿勢管理、脆弱性スキャン機能に使用されるデータを収集する。

Security and Compliance Center Workload Protection for VMware ワークロードの概要

Security and Compliance Center Workload Protection は、VMware ワークロードに対して次の 3 つのプラクティスを可能にします:

  • 脅威の検出 - 脅威の検出は、Windows および Linux VM 内のセキュリティ違反、不審な動作、または異常なアクティビティを検出して対応するためのルールで構成されるポリシーを定義することで管理されます。 Security and Compliance Center Workload Protection は、Sysdig の脅威研究チームによって作成および保守される、カスタマイズ可能な組み込みポリシーを提供します。 これらのポリシーは、マルウェア、侵入、DDoS攻撃など、さまざまなセキュリティ脅威を検出して防止することができます。 これらの政策の結果は「イベント」で見ることができる。 詳しくは、イベント・フィードをご覧ください。
  • 脆弱性 - Security and Compliance Center Workload Protection は、Windows および Linux VM の脆弱性リスクを非常に正確に表示します。 ビューには、次のような脆弱性リスクに関する豊富な詳細が含まれています:CVSS ベクトル、スコア、修正年数、および NIST National Vulnerability Database (NVD) や VulnDB を含む複数のエキスパート フィードからの洞察です。
  • コンプライアンス - 姿勢管理は、コンプライアンスを管理するための統制、ガイドライン、ベンチマーク、基準を含む枠組みを提供する。 Security and Compliance Center Workload Protection を使用すると、 CIS Distribution Independent Linux Benchmark やコンプライアンスポリシー、 CIS Windows Server 2019/2022 Benchmarks など、いくつかの CIS ベンチマークに対して Windows および Linux VM を評価できます。 詳細については、検出から修復までのコンプライアンス態勢の分析 を参照してください。 典型的な使用例は以下の通り:
    • 事前に定義されたポリシーに照らして現在のコンプライアンス状況を確認し、コンプライアンスギャップの大きさを把握する。
    • VM のコンプライアンス状況のレポートを作成することで、特定の時点でのコンプライアンス状況を監査人に示す。

Security and Compliance Center ワークロード保護を統合するパターン

次の図は、vCenter サーバーと IBM Cloud クラシック インフラストラクチャ上の NSX-T インスタンスを、IBM Cloud Security and Compliance Center Workload Protection と統合する例を示しています。

Security and Compliance Center Workload Protectionを統合するパターン
Security and Compliance Center ワークロード保護

このアーキテクチャー・パターンをまとめると以下のようになる:

  1. Windowsまたは Linux VMにインストールされるエージェントは、脅威検出、姿勢管理、脆弱性スキャンに使用されるデータを収集する。 詳細については、Sysdigエージェントを参照してください。 Sysdig Host Shield Agentsは、脅威検出、姿勢管理、脆弱性スキャンを提供します。 詳しくは、以下を参照してください。
  2. DNS サーバーは、Security and Compliance Center Workload Protection エンドポイントの URL を解決できる必要があります。 必要に応じて、IBM Cloud DNSリゾルバを使用するようにDNSサーバを設定します。
  3. ファイアウォールルールにより、インターネットからのエージェントのダウンロードと、 HTTPS から Security and Compliance Center のワークロードプロテクションのプライベートエンドポイントへの接続が可能になります。 ファイアウォールルールの構成の詳細については、ゲートウェイファイアウォールポリシーとルールの追加を参照してください。
  4. ソース・ネットワーク・アドレス変換(SNAT)ルールにより、VMのオーバーレイIPアドレスは、インターネット上で使用できるIBM Cloud提供IPアドレスに変換されます。 SNATルールの設定については、NAT/DNAT/SNATなし/DNATなし/リフレクティブNATを設定するを参照してください。
  5. IBM Cloud Security and Compliance Center Workload Protectionインスタンス。 詳しくは、以下を参照してください。

考慮事項

このアーキテクチャ・パターンを設計または展開する際には、以下の情報を考慮すること:

  • Security and Compliance Center Workload Protection インスタンスと通信するために、仮想データ センターでホストされているすべての VM に必要な SNAT IP アドレスは 1 つだけです。
  • このパターンでは、T0に設定されたファイアウォール・ポリシーとSNATについて説明します。 T1の使用も可能である。
  • このパターンは分散ファイアウォールを使用しない。 分散ファイアウォールの設定の詳細については、FQDNフィルタリングを参照してください。