IBM Cloud Docs
Informazioni su IBM Cloud Security Posture Management (CSPM)

Informazioni su IBM Cloud Security Posture Management (CSPM)

In IBM Cloud, IBM Cloud® Security and Compliance Center Workload Protection automatizza i controlli di conformità per IBM Cloud Struttura per i servizi finanziari, Digital Operational Resilience Act (DORA), CIS IBM Cloud Foundations Benchmark, PCI e molti altri standard di settore o best practice. Con un inventario dettagliato delle risorse IBM Cloud e una prioritizzazione basata su un contesto completo, facilita la risoluzione e la gestione delle violazioni raccolte.

Il modulo di postura Workload Protection supporta la convalida della conformità su IBM Cloud, ambienti multi-cloud (Amazon Web Services, Azure e Google Cloud), host interni, macchine virtuali (VSI per VPC, VMware, PowerVS e IBM Z con Linux), Kubernetes e OpenShift.

Il modulo di postura offre molte funzionalità per il CSPM negli ambienti ibridi:

  • Visione unificata e centralizzata per gestire la sicurezza e la conformità delle applicazioni, dei carichi di lavoro e dell'infrastruttura in esecuzione su IBM Cloud, su altri cloud provider e on-premise, coprendo i servizi gestiti, gli host, le macchine virtuali e i container e i cluster Kubernetes o OpenShift.

  • Molti framework predefiniti, come Financial Services, PCI, DORA, CIS o NIST, consentono di implementare e convalidare i controlli necessari per soddisfare gli standard e le leggi del settore.

  • Inventario di tutte le risorse cloud (risorse di calcolo, servizi gestiti, identità e diritti) e degli host, delle macchine virtuali, dei cluster e di tutte le risorse Kubernetes o OpenShift, sia in cloud che on-premise.

  • Un flusso di accettazione del rischio per rimuovere la violazione dai controlli falliti con opzioni per il motivo e il periodo di scadenza dell'accettazione. Il rischio può essere accettato a livello di singola risorsa o globalmente per tutte le risorse da un unico controllo.

  • Istruzioni dettagliate per la correzione dei controlli non funzionanti.

  • Possibilità di creare criteri, controlli e parametri di controllo personalizzati.

Criteri predefiniti disponibili per IBM Cloud CSPM in Workload Protection

I seguenti criteri di postura sono disponibili per l'implementazione di CSPM per le risorse IBM Cloud:

Politiche predefinite disponibili
Politica Descrizione
I controlli dell'intelligenza artificiale e delle TIC I guardrail AI ICT forniscono un elenco predefinito di controlli sull'infrastruttura e sui dati, necessari per gestire i carichi di lavoro AI e AI generativa (GenAI). Questi controlli includono elaborazioni specifiche per l'intelligenza artificiale in categorie di controllo come la gestione del rischio e della conformità, la sicurezza e le prestazioni dell'infrastruttura unificata, la protezione delle applicazioni e dei carichi di lavoro, la protezione dei dati, la gestione delle identità e degli accessi, la registrazione e il monitoraggio. Questo elenco di controlli deve essere utilizzato insieme alla linea di base della sicurezza dell'organizzazione.
Guardrail di sicurezza AI 2.0 L'AI Security Guardrails fornisce un elenco di controlli per l'intero stack, comprese le applicazioni AI, i modelli, i dati e i livelli infrastrutturali, necessari per gestire i carichi di lavoro AI e AI generativaGenAI). Questi controlli includono elaborazioni specifiche per l'intelligenza artificiale in categorie di controllo come l'AI Governance, l'AI App Protection, l'AI Model Lifecycle, la classificazione dei dati e la sicurezza dell'infrastruttura e la resilienza operativa.
Manuale di sicurezza delle informazioni del governo australiano (ISM) 2022 Il modello di matrice dei controlli per il cloud è destinato all'uso da parte dei valutatori dell'Infosec Registered Assessors Program (IRAP) per rilevare l'implementazione dei controlli del Manuale della sicurezza delle informazioni (ISM) da parte di un fornitore di servizi cloud (CSP). In questo modo, il modello CCM fornisce una guida indicativa sulla portata delle valutazioni di sicurezza; tuttavia, va notato che la guida non è definitiva e deve essere interpretata dai valutatori IRAP nel contesto dei servizi da valutare. Il modello di CCM prevede anche la possibilità per i consumatori di implementare controlli per i servizi basati sui servizi di un CSP, identificando i casi in cui sono responsabili della configurazione dei propri servizi in conformità con l'ISM.
Standard BSI 200-1: Gestione della sicurezza delle informazioni Il BSI-Standard 200-1, emesso dall'Ufficio federale tedesco per la sicurezza delle informazioni (BSI), fornisce linee guida complete per la creazione e il mantenimento di un efficace sistema di gestione della sicurezza delle informazioni (ISMS). Il documento delinea i principi e le pratiche fondamentali necessarie per identificare, gestire e ridurre i rischi per la sicurezza delle informazioni all'interno di un'organizzazione. Lo standard è strutturato in modo da essere applicabile in vari settori e industrie, garantendo che le organizzazioni possano proteggere efficacemente le proprie risorse informative, soddisfare i requisiti legali e normativi e migliorare la propria posizione di sicurezza complessiva.
C5:2020 (Catalogo dei criteri di conformità del cloud computing) Il Cloud Computing Compliance Controls Catalog (C5), creato dall'Ufficio federale tedesco per la sicurezza informatica (Bundesamt für Sicherheit in der Informationstechnik, o BSI), delinea i requisiti che i fornitori di servizi cloud devono soddisfare per fornire un livello minimo di sicurezza ai loro servizi.
CCPA (Legge sulla privacy dei consumatori della California) Il California Consumer Privacy Act (CCPA) è una legge sulla privacy dei dati che fornisce ai consumatori californiani una serie di tutele della privacy, tra cui il diritto di accesso, cancellazione e rinuncia alla "vendita" delle loro informazioni personali. A partire dal 1° gennaio 2020, le aziende che raccolgono informazioni personali dei residenti in California e che soddisfano determinate soglie (ad esempio, fatturato, volume di trattamento dei dati) dovranno conformarsi a questi obblighi.
CIS IBM Cloud Benchmark delle Fondazioni Verificate che le configurazioni delle risorse soddisfino i requisiti di base identificati dal Center for Internet Security.
Alleanza per la sicurezza del cloud (CSA) Matrice dei controlli del cloud (CCM) Il CSA Cloud Controls Matrix (CCM) è un quadro di controllo della cybersecurity per il cloud computing.It composto da 197 obiettivi di controllo strutturati in 17 domini che coprono tutti gli aspetti chiave della tecnologia cloud. Può essere utilizzato come strumento per la valutazione sistematica di un'implementazione del cloud e fornisce indicazioni su quali controlli di sicurezza devono essere implementati da quale attore all'interno della catena di fornitura del cloud. Il quadro dei controlli è allineato alla CSA Security Guidance for Cloud Computing ed è considerato uno standard de-facto per la garanzia e la conformità della sicurezza del cloud.
Legge sulla resilienza operativa digitale (DORA)- Regolamento (UE) 2022/2554 La legge sulla resilienza operativa digitale (Regolamento (UE) 2022/2554) risolve un problema importante nella regolamentazione finanziaria dell'UE. Prima del DORA, le istituzioni finanziarie gestivano le principali categorie di rischio operativo principalmente con l'allocazione del capitale, ma non gestivano tutte le componenti della resilienza operativa. Dopo il DORA, devono anche seguire le regole per le capacità di protezione, rilevamento, contenimento, recupero e riparazione contro gli incidenti legati alle TIC. La DORA fa esplicito riferimento al rischio ICT e stabilisce regole sulla gestione del rischio ICT, sulla segnalazione degli incidenti, sui test di resilienza operativa e sul monitoraggio del rischio ICT di terzi. Il presente regolamento riconosce che gli incidenti legati alle TIC e la mancanza di resilienza operativa possono compromettere la solidità dell'intero sistema finanziario, anche in presenza di un capitale adeguato per le categorie di rischio tradizionali.
Legge sulla protezione dei dati personali digitali (DPDP) Una legge che prevede il trattamento dei dati personali digitali in modo da riconoscere sia il diritto delle persone a proteggere i propri dati personali, sia la necessità di trattare tali dati personali per scopi leciti e per questioni connesse o accessorie.
Esquema Nacional de Seguridad (ENS) Alto In base a una legge spagnola, i cittadini spagnoli hanno il diritto legale di accedere ai servizi governativi per via elettronica. Regolato dal Real Decreto 3/2010, l'Esquema Nacional de Seguridad (ENS) (Quadro Nazionale di Sicurezza) mira a stabilire una politica di sicurezza per l'uso dei media elettronici. Compresi i servizi di cloud computing, l'ENS definisce i principi di base e i requisiti minimi per la protezione delle informazioni.
FedRAMP (Programma federale di gestione dei rischi e delle autorizzazioni) High Baseline Le agenzie federali e i fornitori di servizi cloud (CSP) devono implementare questi controlli di sicurezza, miglioramenti, parametri e requisiti in un ambiente di cloud computing per soddisfare i requisiti FedRAMP. I controlli di sicurezza e i miglioramenti sono stati selezionati dal catalogo dei controlli del NIST SP 800-53 Revisione 4. I controlli e i miglioramenti selezionati riguardano i sistemi cloud designati come sistemi informativi ad alto impatto, come definito nella pubblicazione 199 dei Federal Information Processing Standards (FIPS). I dati ad alto impatto si trovano solitamente nei sistemi delle forze dell'ordine e dei servizi di emergenza, nei sistemi finanziari, nei sistemi sanitari e in qualsiasi altro sistema in cui la perdita di riservatezza, integrità o disponibilità potrebbe avere un effetto negativo grave o catastrofico sulle operazioni dell'organizzazione, sui beni dell'organizzazione o sulle persone. FedRAMP ha introdotto la High Baseline per tenere conto dei dati governativi più sensibili e non classificati negli ambienti di cloud computing, compresi quelli che riguardano la protezione della vita e della rovina finanziaria.
FedRAMP (Programma federale di gestione dei rischi e delle autorizzazioni) LI-SaaS Baseline Le agenzie federali e i fornitori di servizi cloud (CSP) devono implementare questi controlli di sicurezza, miglioramenti, parametri e requisiti in un ambiente di cloud computing per soddisfare i requisiti FedRAMP. I controlli di sicurezza e i miglioramenti sono stati selezionati dal catalogo dei controlli del NIST SP 800-53 Revisione 4. I controlli e i miglioramenti selezionati riguardano i sistemi cloud designati come sistemi informativi a basso impatto, come definito nella pubblicazione 199 dei Federal Information Processing Standards (FIPS). FedRAMP Tailored è stato sviluppato per supportare le soluzioni del settore che sono a basso rischio e a basso costo per le agenzie da implementare e utilizzare. Politiche e requisiti personalizzati forniscono un percorso più efficiente per i fornitori di software a basso impatto come servizioLI-SaaS). La linea di base LI-SaaS riguarda le applicazioni SaaS a basso impatto che non memorizzano informazioni personali identificabili (PII) al di là di quelle generalmente richieste per l'accesso (ad esempio, nome utente, password e indirizzo e-mail). La documentazione di sicurezza richiesta viene consolidata e il numero richiesto di controlli di sicurezza da testare e verificare viene ridotto rispetto a un'autorizzazione standard Low Baseline. Mentre tutti i requisiti identificati nella FedRAMP Low Baseline sono obbligatori, FedRAMP Tailored identifica i requisiti tipicamente soddisfatti da un cliente LI-SaaS, o dal fornitore di servizi sottostante, permettendo al fornitore di concentrarsi solo sui requisiti rilevanti. Inoltre, FedRAMP Tailored consente alle agenzie di convalidare in modo indipendente solo i requisiti più importanti.
FedRAMP (Programma federale di gestione dei rischi e delle autorizzazioni) Low Baseline Le agenzie federali e i fornitori di servizi cloud (CSP) devono implementare questi controlli di sicurezza, miglioramenti, parametri e requisiti in un ambiente di cloud computing per soddisfare i requisiti FedRAMP. I controlli di sicurezza e i miglioramenti sono stati selezionati dal catalogo dei controlli del NIST SP 800-53 Revisione 4. I controlli e i miglioramenti selezionati riguardano i sistemi cloud designati come sistemi informativi a basso impatto, come definito nella pubblicazione 199 dei Federal Information Processing Standards (FIPS). Impatto basso è più appropriato per le CSO in cui la perdita di riservatezza, integrità e disponibilità comporterebbe effetti negativi limitati sulle operazioni, i beni o le persone di un'agenzia. FedRAMP ha attualmente due linee di base per i sistemi con dati a basso impatto: LI-SaaS Baseline e Low Baseline.
FedRAMP (Programma federale di gestione dei rischi e delle autorizzazioni) Linea di base moderata Le agenzie federali e i fornitori di servizi cloud (CSP) devono implementare questi controlli di sicurezza, miglioramenti, parametri e requisiti in un ambiente di cloud computing per soddisfare i requisiti FedRAMP. I controlli di sicurezza e i miglioramenti sono stati selezionati dal catalogo dei controlli del NIST SP 800-53 Revisione 4. I controlli e i miglioramenti selezionati riguardano i sistemi cloud designati come sistemi informativi a impatto moderato, come definito nella pubblicazione 199 dei Federal Information Processing Standards (FIPS). I sistemi a impatto moderato rappresentano quasi l'80% delle applicazioni CSP che ricevono l'autorizzazione FedRAMP e sono più appropriati per i CSO in cui la perdita di riservatezza, integrità e disponibilità comporterebbe gravi effetti negativi sulle operazioni, i beni o le persone di un'agenzia. Gli effetti negativi gravi potrebbero includere danni operativi significativi ai beni dell'agenzia, perdite finanziarie o danni individuali che non siano la perdita di vite umane o fisiche.
Regolamento generale sulla protezione dei dati GDPR Benvenuti su gdpr-info.eu. Qui potete trovare il PDF ufficiale del Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati) nella versione attuale della GU L 119 del 04.05.2016; cor. GU L 127 del 23.5.2018 come sito web ordinato. Tutti gli articoli del GDPR sono collegati ad appositi considerando. Il Regolamento Europeo sulla Protezione dei Dati è applicabile dal 25th maggio 2018 in tutti gli Stati membri per armonizzare le leggi sulla privacy dei dati in tutta Europa. Se trovate la pagina utile, non esitate a sostenerci condividendo il progetto.
Regola di sicurezza HIPAA (Health Insurance Portability and Accountability Act) La norma sulla sicurezza dell'Health Insurance Portability and Accountability Act (HIPAA) riguarda specificamente le informazioni sanitarie elettroniche protette (EPHI). Il documento definisce tre tipi di misure di sicurezza necessarie per la conformità: amministrative, fisiche e tecniche. Per ciascuno di questi tipi, la norma identifica vari standard di sicurezza e, per ciascuno di essi, indica le specifiche di implementazione necessarie e quelle che possono essere affrontate. Le specifiche richieste devono essere adottate e gestite come previsto dalla norma. Le specifiche indirizzabili sono più flessibili. Le singole entità coperte possono valutare la propria situazione e determinare il modo migliore per implementare le specifiche indirizzabili.
HITRUST CSF (Quadro comune di sicurezza) Il CSF HITRUST fornisce la struttura, la trasparenza, la guida e i riferimenti incrociati a fonti autorevoli di cui le organizzazioni di tutto il mondo hanno bisogno per essere certe della loro conformità alla protezione dei dati. Lo sviluppo iniziale del CSF HITRUST si è basato su normative, standard e framework di sicurezza e privacy riconosciuti a livello nazionale e internazionale, tra cui ISO, NIST, PCI, HIPAA e GDPR, per garantire un insieme completo di controlli di sicurezza e privacy, e incorpora continuamente ulteriori fonti autorevoli. Il CSF HITRUST standardizza questi requisiti, fornendo chiarezza e coerenza e riducendo l'onere della conformità.
IBM Cloud Struttura per i servizi finanziari IBM Cloud for Financial Services™ è una piattaforma aperta che riunisce fornitori di software indipendenti (ISV), fornitori di Software as a Service (SaaS) e istituzioni di servizi finanziari in un unico ecosistema. In questa piattaforma cloud sicura, potete sviluppare e condividere rapidamente applicazioni, API, dati e contenuti innovativi per soddisfare le esigenze aziendali uniche del vostro istituto finanziario.

Grazie a IBM Cloud Framework for Financial Services, è possibile accedere a un insieme unificato di controlli di sicurezza e conformità, costruito appositamente per e con il settore dei servizi finanziari. Per rispondere alle vostre esigenze in evoluzione come istituto finanziario, IBM convalida continuamente questi controlli con i consigli globali di CSO, CTO e CIO delle principali banche, fornitori di assicurazioni e consulenti normativi.

Il profilo IBM Cloud per i servizi finanziari fornisce una serie di obiettivi automatici preconfigurati, mappati sul profilo IBM Cloud Framework for Financial Services requisiti di controllo. I risultati di questi test aiutano a convalidare la conformità quando si utilizza una delle architetture di riferimento per il IBM Cloud per i Servizi finanziari.

ISMAP (Programma di gestione e valutazione della sicurezza dei sistemi informativi) Il programma di gestione e valutazione della sicurezza dei sistemi informativi (ISMAP) mira a garantire il livello di sicurezza dell'approvvigionamento di servizi cloud del governo, valutando e registrando in anticipo i servizi cloud che soddisfano i requisiti di sicurezza del governo, contribuendo così all'introduzione senza problemi dei servizi cloud.
MITRE ATT&CK per le imprese MITRE ATT&CK® è una base di conoscenza accessibile a livello globale delle tattiche e delle tecniche avversarie, basata su osservazioni reali. La base di conoscenze ATT&CK viene utilizzata come fondamento per lo sviluppo di modelli e metodologie di minacce specifiche nel settore privato, nel governo e nella comunità dei prodotti e dei servizi di cybersecurity.
MITRE DEFEND Nel lavoro di progetto per i nostri sponsor, abbiamo riscontrato più volte la necessità di un modello in grado di specificare con precisione i componenti e le capacità delle contromisure di cybersecurity. Inoltre, è necessario che gli operatori sappiano non solo quali sono le minacce che una capacità dichiara di affrontare, ma anche come queste minacce vengono affrontate dal punto di vista ingegneristico e in quali circostanze la soluzione funzionerebbe. Questa conoscenza è essenziale per stimare l'applicabilità operativa, identificare i punti di forza e di debolezza e sviluppare soluzioni aziendali che comprendano più capacità. Per rispondere a questa esigenza ricorrente nel breve termine, abbiamo creato D3FEND, un framework in cui codifichiamo una base di conoscenza delle contromisure, ma più precisamente un grafo di conoscenza. Il grafo contiene tipi e relazioni semanticamente rigorosi che definiscono sia i concetti chiave nel dominio delle contromisure di cybersecurity sia le relazioni necessarie per collegare tali concetti tra loro. Ogni concetto e relazione viene ricondotto a particolari riferimenti nella letteratura sulla cybersecurity.
Direttiva NIS2 (Direttiva sulle misure per un elevato livello comune di cibersicurezza nell'Unione) Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un elevato livello comune di cibersicurezza nell'Unione, che modifica il regolamento (UE) n. 910/2014 e la direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2).
Quadro di riferimento per la sicurezza informatica (CSF) del NIST Questa pubblicazione è il risultato di una collaborazione costante tra industria, università e governo. Il National Institute of Standards and Technology (NIST) ha lanciato il progetto riunendo organizzazioni e individui del settore pubblico e privato nel 2013. Pubblicato nel 2014 e rivisto nel corso del 2017 e del 2018, questo Framework for Improving Critical Infrastructure Cybersecurity si è basato su otto workshop pubblici, molteplici richieste di commenti o informazioni e migliaia di interazioni dirette con le parti interessate di tutti i settori degli Stati Uniti e di molti settori di tutto il mondo.
NIST SP 800-53 (Controlli di sicurezza e privacy per sistemi e organizzazioni informatiche) Una politica di conformità che fornisce un catalogo di controlli di sicurezza e privacy per i sistemi informativi e le organizzazioni per proteggere le operazioni e i beni dell'organizzazione, gli individui, le altre organizzazioni e la Nazione da una serie di minacce e rischi diversi, tra cui attacchi ostili, errori umani, disastri naturali, guasti strutturali, entità di intelligence straniere e rischi per la privacy. I controlli sono flessibili e personalizzabili e vengono implementati come parte di un processo di gestione del rischio a livello organizzativo. I controlli rispondono a diversi requisiti derivanti dalla missione e dalle esigenze aziendali, dalle leggi, dagli ordini esecutivi, dalle direttive, dai regolamenti, dalle politiche, dagli standard e dalle linee guida. Infine, il catalogo consolidato dei controlli affronta il tema della sicurezza e della privacy dal punto di vista della funzionalità (cioè la forza delle funzioni e dei meccanismi forniti dai controlli) e dal punto di vista della garanzia (cioè la misura della fiducia nella capacità di sicurezza o privacy fornita dai controlli). Affrontare la funzionalità e la garanzia aiuta a garantire che i prodotti informatici e i sistemi che si basano su tali prodotti siano sufficientemente affidabili.
PCI DSS (Payment Card Industry Data Security Standard) v4.0.0 Il Payment Card Industry Data Security Standard (PCI DSS) è stato sviluppato per incoraggiare e migliorare la sicurezza dei dati dei conti delle carte di pagamento e facilitare l'ampia adozione di misure di sicurezza dei dati coerenti a livello globale. Gli standard PCI DSS forniscono una serie di requisiti tecnici e operativi per la protezione dei dati degli account. Sebbene sia stato progettato specificamente per concentrarsi sugli ambienti in cui sono presenti i dati dei conti delle carte di pagamento, gli standard PCI DSS possono essere utilizzati anche per proteggere dalle minacce e proteggere altri elementi dell'ecosistema dei pagamenti.
Quadro RBI L'uso dell'Information Technology da parte delle banche e dei loro clienti è cresciuto rapidamente ed è ora parte integrante delle strategie operative delle banche. La Reserve Bank ha fornito linee guida sulla sicurezza delle informazioni, sul sistema bancario elettronico, sulla gestione del rischio tecnologico e sulle frodi informatiche (comitatoG.Gopalakrishna ) con la circolare " DBS.CO.ITC.BC.No.6/31.02.008/2010-11 del 29 aprile 2011, in cui si indicava che le misure suggerite per l'attuazione non possono essere statiche e che le banche devono creare, perfezionare e modificare in modo proattivo le proprie politiche, procedure e tecnologie in base ai nuovi sviluppi e ai problemi emergenti.
Legge SEBI (Securities and Exchange Board of India) Una legge che prevede l'istituzione di un Consiglio per proteggere gli interessi degli investitori in titoli e per promuovere lo sviluppo e la regolamentazione del mercato dei titoli e per questioni connesse o accessorie.
SOC 2 Il SOC 2 è uno standard di conformità volontario per le organizzazioni di servizi, sviluppato dall'American Institute of CPAs (AICPA). Il suo scopo è quello di garantire la sicurezza e la privacy dei dati degli utenti. Il documento delinea i cinque principi del servizio fiduciario: sicurezza, disponibilità, integrità del trattamento, riservatezza e privacy dei dati dei clienti come quadro di riferimento per la salvaguardia dei dati. Il SOC 2 si applica a qualsiasi fornitore di servizi tecnologici o società SaaS che gestisce o archivia i dati dei clienti. Anche i fornitori terzi, gli altri partner o le organizzazioni di supporto con cui queste aziende lavorano devono mantenere la conformità SOC 2 per garantire l'integrità dei loro sistemi di dati e delle loro protezioni.

Tutti gli altri criteri di postura si applicano ad altri ambienti come AWS, Azure, GCP, Kubernetes, OpenShift, o host.

Passi successivi

Per ottenere il massimo da Workload Protection abilitare CSPM seguendo i passaggi descritti in Implementazione di CSPM(Cloud Security Posture Management)per IBM Cloud utilizzando l'interfaccia utente e la CLI.