IBM CloudCSPMにおけるワークロード保護機能のベストプラクティス
IBM Cloud® Security and Compliance Center Workload Protection は現在、IBM Cloud リソースのクラウド セキュリティ姿勢管理 (CSPM) を、IBM Cloud Framework for Financial Services、Digital Operational Resilience Act (DORA)、CIS IBM Cloud Foundations Benchmark、PCI、およびその他の規制された業界標準。
姿勢ポリシーの管理
Workload Protectionにおいて、ポスチャポリシーは、コンプライアンスを評価するために使用するコントロールのコレクションです。 定義済みのポリシーを使用することも、カスタムポリシーを作成することもできます。
定義済みのコンプライアンス・ポリシー
IBM Cloud Framework for Financial Services、Digital Operational Resilience Act (DORA)、CIS IBM CloudのFoundations Benchmark、PCI標準、その他多くの定義済みポリシーは更新され、新しいパラメータやチェック項目が定期的に追加されます。
IBM CloudのCSPMの実装を開始すると、サービスは利用可能なすべてのIBM Cloud コントロール (All Posture Findings) と CIS IBM Cloud Foundations Benchmark に対して評価され、次に説明するように他のポリシーを適用できます。
姿勢ポリシーの適用
デフォルトでは、Workload Protection は、接続されているすべての IBM Cloud サービス、クラスタ、ワークロードのスコープを Entire Infrastructure というゾーンに作成します。 このゾーンに新しいポスチャー・ポリシーを適用したり、リソースをスコープする新しいゾーンを作成したりすることができます。
ポリシーをゾーンに適用するには、ポリシー / ゾーンに進み、ポリシーをゾーンにリンクします:
- ゾーンが存在する場合は、ポリシーをゾーンにリンク することでポリシーを追加します。
- ゾーンが存在しない場合は、ゾーンを作成して設定し、ポリシーをゾーンにリンクしてポリシーを追加します。
カスタム姿勢ポリシーの作成
Workload Protectionで、姿勢ポリシーのコントロール、要件、または名前を制御したい場合、既存のコントロールまたはカスタマイズされたコントロールに基づいてカスタムポリシーを作成できます。
- 独自のポリシーをゼロから作成する方法を学ぶ カスタムポリシーの作成.
- 既存の姿勢ポリシーから独自のポリシーを作成する方法を学ぶ テンプレートからカスタムポリシーを作成する.
ポスチャー結果の確認とレポートのダウンロード
IBM CloudのCSPMの実装を開始すると、サービスは利用可能なすべてのIBM Cloud コントロールと CIS IBM Cloud Foundations Benchmark に対して評価され、前のセクションで説明したように他のポリシーを適用できます。
最初のスキャンが完了すると(統合後数分かかります)、姿勢/コンプライアンスの下に姿勢の結果が表示されます:
- 確認したいポリシーを選択します。
- 分析する要件を選択します。
- コントロールを表示と結果を表示をクリックする。
- そのコントロールによって影響を受けるすべてのリソースが表示されます。
- View Remediation をクリックすると、そのコントロールを修復する手順が表示されます。
- この同じビューで、リスクを受け入れるは、そのリソースの失敗したコントロールから違反を取り除くことができます。 リスクの理由と(オプションの)有効期限を選択し、リスクの作成を完了します。
特定のポリシーの結果ビューから、Download Report をクリックしてレポートをダウンロードすることができます。
インベントリで接続されているすべてのリソースを確認する
IBM Cloud アカウントに CSPM を実装すると、すべての IBM Cloud リソース (および Kubernetes/OpenShift リソースやマルチクラウド環境などの他の接続データソース) は、Inventory の下に表示されます。
機能フィルターを使用すると、最もよく使用されるフィルタータイプで素早くフィルターをかけることができます。 リソースのカウントやリスク指標など、最も一般的でリスクのあるリソースを絞り込むことができます。
各リソースについて、リソースカードをクリックして、姿勢とコンフィギュレーションタブにアクセスします:
- Posture タブには、失敗したポリシーの数が表示されます。 失敗したポリシーを選択すると、修復される関連コントロールが表示されます。 コントロールは、各ポリシー内の要件ごとにグループ化されています。
- 設定タブには、リソースが最後にスキャンされたタイムスタンプを含む、追加のメタデータと設定の詳細が含まれます。
コントロールのカスタマイズ
Workload Protectionは、姿勢制御内で定義されたパラメータを追加することで、姿勢制御をカスタマイズする機能を段階的に追加します。
利用可能なすべての 姿勢コントロール は、「ポリシー」>「コントロール」で確認できます。 カスタマイズしたいコントロールを選択し、パラメータを選択し、カスタマイズをクリックし、要件に基づいてパラメータを変更します。
既存のコントロールのパラメータを変更するだけでなく、カスタムコントロール で説明したように、任意のコントロールを複製して編集することもできます。
アカウントとリソースの整理
デフォルトでは、Workload Protection は、接続されているすべての IBM Cloud サービス、クラスタ、ワークロードのスコープを Entire Infrastructure というゾーンに作成します。 このゾーンに新しいポスチャー・ポリシーを適用したり、リソースをスコープする新しいゾーンを作成したりすることができます。
地域またはアカウントIDに基づいて独自のスコープ を作成できます。 近い将来、スコープを定義するためのリソースラベルも利用できるようになる。
次のステップ
Workload Protection を最大限に活用するには、IBM Cloud の CSPM(クラウド セキュリティ姿勢管理)の実装 で説明されている手順に従って、UI と CLI を使用して CSPM を有効にします。