Caratteristiche principali di IBM Cloud® Security and Compliance Center Workload Protection
IBM Cloud® Security and Compliance Center Workload Protection vi aiuta ad accelerare l'adozione del cloud ibrido affrontando la sicurezza e la conformità normativa. Identificate facilmente le vulnerabilità, convalidate la conformità e le autorizzazioni, bloccate le minacce runtime e rispondete più rapidamente agli incidenti su qualsiasi piattaforma: Cloud o on-prem, host o macchine virtuali e container o OpenShift/Kubernetes. Una piattaforma di protezione delle applicazioni cloud-native (CNAPP) alimentata da approfondimenti in fase di esecuzione.
CSPM (Cloud Security Posture Management)
-
Fornisce una piattaforma unificata e centralizzata per gestire la sicurezza e la conformità di applicazioni, carichi di lavoro e infrastrutture eseguite su IBM Cloud, in altri cloud e on-prem, che coprono servizi gestiti, host o macchine virtuali e container, OpenShift o Kubernetes.
-
I documenti dei framework out-of-the-box come Financial Services, PCI, DORA, CIS o NIST consentono di implementare e convalidare i controlli richiesti per soddisfare gli standard e le leggi del settore.
-
Cloud Security Posture Management (CSPM) per aiutarvi a identificare le configurazioni errate e a convalidare la conformità nel cloud tra IBM Cloud, AWS, Azure e GCP o all'interno di host, VM e Kubernetes, compresi VPC, VMware o PowerVS e IBM Z con Linux.
-
Istruzioni di rimedio assistite per rimediare ai controlli carenti o alla capacità di accettare i rischi noti.
-
Offre un inventario di tutti gli asset Cloud (risorse di calcolo, servizi gestiti, identità e diritti) e di host, macchine virtuali e cluster, sia nel Cloud che on-prem.
-
Priorità di rischio avanzata che mette in relazione configurazioni errate, esposizione pubblica, contesto in uso (vulnerabilità, autorizzazioni attive) e rilevamento di minacce ad alta affidabilità. Visualizzazione dei rischi attraverso una mappa vettoriale delle correlazioni che fornisce ai team di sicurezza una consapevolezza completa della situazione, al di là della semplice valutazione statica della postura.
-
Ottenete visibilità sulle identità cloud e gestite le autorizzazioni attraverso le funzionalità di Cloud Infrastructure Entitlement Management (CIEM): identificate gli utenti inattivi o con autorizzazioni eccessive. Ottimizzate i criteri di accesso per concedere i privilegi necessari a utenti, gruppi, ruoli e identità delle macchine.
-
Cloud Detection and Response (CDR) per indagare sulle attività sospette di utenti troppo privilegiati che accedono a dati sensibili. Ottenete visibilità in tempo reale monitorando i controlli di sicurezza del cloud, rilevando le modifiche alla configurazione e prevenendo le derive tra gli account del cloud.
-
Analizzare la postura di sicurezza dell'infrastruttura come codice (IaC), compresi Terraform, CloudFormation, Helm grafici o manifesti YAML.
Gestione delle vulnerabilità
-
Scansione delle vulnerabilità sui pacchetti del sistema operativo e sulle librerie di 3rd-party come Java, Python, Golang, Javascript o Ruby.
-
Implementate la scansione in tutto il ciclo di vita dell'applicazione, dalla pipeline CI/CD, dal registro delle immagini dei container o durante l'esecuzione in host, macchine virtuali o cluster Kubernetes/OpenShift.
-
Aggiunge un contesto di runtime in uso per filtrare le vulnerabilità esposte nelle applicazioni in esecuzione, riducendo in media dell'85% le vulnerabilità da correggere immediatamente.
-
Filtri aggiuntivi per la definizione delle priorità, come ad esempio exploit disponibile, correzione disponibile, ecc.
-
Cruscotto generale di gestione delle vulnerabilità, reportistica avanzata e personalizzabile, avviso di nuove vulnerabilità o immagini non scansionate e instradamento verso i sistemi di ticketing.
-
Criteri avanzati per personalizzare i criteri di vulnerabilità e il blocco per ambiente o per qualsiasi ambito.
-
Valutazione del file Docker per rilevare segreti o configurazioni errate durante la compilazione.
-
Kubernetes Admission Controller per bloccare la distribuzione delle vulnerabilità nei cluster.
Rilevamento e risposta dei punti terminali del server (EDR)
-
Strumenta host, macchine virtuali e cluster Kubernetes/OpenShift attraverso eBPF per ispezionare tutte le attività di sistema attraverso le chiamate di sistema con un impatto minimo sulle prestazioni.
-
Molte migliaia di politiche OOTB aggiornate settimanalmente dal nostro team di ricerca sulle minacce. Le regole possono essere personalizzate o create nuove utilizzando il linguaggio Falco. Falco è lo standard cloud-nativo open source per la sicurezza del runtime.
-
Oltre alle regole, l'analisi comportamentale consente di rilevare minacce e malware comuni, come le attività di crypto mining, e la profilazione del carico di lavoro per definire automaticamente il comportamento atteso può estendere le capacità di rilevamento.
-
Blocco preventivo, che impedisce l'esecuzione di binari dannosi o inseriti nella lista nera, compresi i binari identificati come malware o quelli che hanno subito una deriva nell'immagine di un container.
-
Bonifica avanzata, che consente di eseguire automaticamente le azioni correttive, tra cui l'interruzione dei processi, l'interruzione o la messa in pausa dei contenitori, ecc.
-
Regole di rilevamento FIM (File Integrity Monitoring) che possono essere definite per ambito (percorso, nome file, cmd, utente, ecc.) e rilevano alla fonte tutte le possibili attività (lettura, scrittura di un file, scrittura di una directory, ecc.).
Kubernetes Workload Protection e Network Segmentation (CWPP)
-
IBM Cloud Security and Compliance Center Workload Protection è una piattaforma completa di protezione del carico di lavoro Kubernetes che include la scansione delle vulnerabilità, il rilevamento/prevenzione di host e container, la postura e la conformità (KSPM), il tutto costruito per Kubernetes e OpenShift.
-
Verifica e rilevamento di attività anomale o vietate a livello di orchestrazione, grazie all'integrazione con gli eventi di verifica di Kubernetes.
-
Ottenere visibilità sulla comunicazione di rete tra i pod, per generare e convalidare i criteri di sicurezza di rete a privilegio minimo per la segmentazione della rete.
Risposta agli incidenti e scienze forensi
-
Automatizza la raccolta e la correlazione di eventi, posture e vulnerabilità alle identità tra host, macchine virtuali, container e attività cloud.
-
Attack Path Analysis fornisce la visualizzazione della catena di attacco e consente agli analisti della sicurezza di comprendere rapidamente le relazioni tra le risorse e le loro implicazioni per la catena di attacco in qualsiasi ambiente cloud.
-
Comprendere i comportamenti sospetti delle identità, come login insoliti, scenari di viaggio impossibili e indirizzi IP dannosi. Grazie a questo contesto, i team possono capire rapidamente chi, cosa, dove e come si muovono gli attori delle minacce nella loro infrastruttura.
-
Registra a fini di audit e di indagine tutti i comandi eseguiti (e l'albero dei processi), le modifiche ai file o le connessioni di rete, tra gli host e i container.
-
Attivare l'acquisizione di tutte le attività di sistema (SCAP) in caso di violazione dei criteri, per eseguire indagini approfondite e ricostruire l'attività dell'aggressore, anche se il contenitore è scomparso da tempo.
-
Inoltrare gli eventi di sicurezza al SIEM o ad altri strumenti di risposta e di allarme per la sicurezza.