IBM Cloud Docs
IBM CloudCSPMにおけるワークロード保護機能のベストプラクティス

IBM CloudCSPMにおけるワークロード保護機能のベストプラクティス

IBM Cloud® Security and Compliance Center Workload Protection は現在、IBM Cloud リソースのクラウド セキュリティ姿勢管理 (CSPM) を、IBM Cloud Framework for Financial Services、Digital Operational Resilience Act (DORA)、CIS IBM Cloud Foundations Benchmark、PCI、およびその他の規制された業界標準。

姿勢ポリシーの管理

Workload Protectionにおいて、ポスチャポリシーは、コンプライアンスを評価するために使用するコントロールのコレクションです。 定義済みのポリシーを使用することも、カスタムポリシーを作成することもできます。

定義済みのコンプライアンス・ポリシー

IBM Cloud Framework for Financial Services、Digital Operational Resilience Act (DORA)、CIS IBM CloudのFoundations Benchmark、PCI標準、その他多くの定義済みポリシーは更新され、新しいパラメータやチェック項目が定期的に追加されます。

IBM CloudのCSPMの実装を開始すると、サービスは利用可能なすべてのIBM Cloud コントロール (All Posture Findings) と CIS IBM Cloud Foundations Benchmark に対して評価され、次に説明するように他のポリシーを適用できます。

姿勢ポリシーの適用

デフォルトでは、Workload Protection は、接続されているすべての IBM Cloud サービス、クラスタ、ワークロードのスコープを Entire Infrastructure というゾーンに作成します。 このゾーンに新しいポスチャー・ポリシーを適用したり、リソースをスコープする新しいゾーンを作成したりすることができます。

ポリシーをゾーンに適用するには、ポリシー / ゾーンに進み、ポリシーをゾーンにリンクします:

カスタム姿勢ポリシーの作成

Workload Protectionで、姿勢ポリシーのコントロール、要件、または名前を制御したい場合、既存のコントロールまたはカスタマイズされたコントロールに基づいてカスタムポリシーを作成できます。

ポスチャー結果の確認とレポートのダウンロード

IBM CloudのCSPMの実装を開始すると、サービスは利用可能なすべてのIBM Cloud コントロールと CIS IBM Cloud Foundations Benchmark に対して評価され、前のセクションで説明したように他のポリシーを適用できます。

最初のスキャンが完了すると(統合後数分かかります)、姿勢/コンプライアンスの下に姿勢の結果が表示されます:

  1. 確認したいポリシーを選択します。
  2. 分析する要件を選択します。
  3. コントロールを表示結果を表示をクリックする。
  4. そのコントロールによって影響を受けるすべてのリソースが表示されます。
  5. View Remediation をクリックすると、そのコントロールを修復する手順が表示されます。
  6. この同じビューで、リスクを受け入れるは、そのリソースの失敗したコントロールから違反を取り除くことができます。 リスクの理由と(オプションの)有効期限を選択し、リスクの作成を完了します。

特定のポリシーの結果ビューから、Download Report をクリックしてレポートをダウンロードすることができます。

インベントリで接続されているすべてのリソースを確認する

IBM Cloud アカウントに CSPM を実装すると、すべての IBM Cloud リソース (および Kubernetes/OpenShift リソースやマルチクラウド環境などの他の接続データソース) は、Inventory の下に表示されます。

機能フィルターを使用すると、最もよく使用されるフィルタータイプで素早くフィルターをかけることができます。 リソースのカウントやリスク指標など、最も一般的でリスクのあるリソースを絞り込むことができます。

各リソースについて、リソースカードをクリックして、姿勢コンフィギュレーションタブにアクセスします:

  • Posture タブには、失敗したポリシーの数が表示されます。 失敗したポリシーを選択すると、修復される関連コントロールが表示されます。 コントロールは、各ポリシー内の要件ごとにグループ化されています。
  • 設定タブには、リソースが最後にスキャンされたタイムスタンプを含む、追加のメタデータと設定の詳細が含まれます。

コントロールのカスタマイズ

Workload Protectionは、姿勢制御内で定義されたパラメータを追加することで、姿勢制御をカスタマイズする機能を段階的に追加します。

利用可能なすべての 姿勢コントロール は、「ポリシー」>「コントロール」で確認できます。 カスタマイズしたいコントロールを選択し、パラメータを選択し、カスタマイズをクリックし、要件に基づいてパラメータを変更します。

既存のコントロールのパラメータを変更するだけでなく、カスタムコントロール で説明したように、任意のコントロールを複製して編集することもできます。

アカウントとリソースの整理

デフォルトでは、Workload Protection は、接続されているすべての IBM Cloud サービス、クラスタ、ワークロードのスコープを Entire Infrastructure というゾーンに作成します。 このゾーンに新しいポスチャー・ポリシーを適用したり、リソースをスコープする新しいゾーンを作成したりすることができます。

地域またはアカウントIDに基づいて独自のスコープ を作成できます。 近い将来、スコープを定義するためのリソースラベルも利用できるようになる。

次のステップ

Workload Protection を最大限に活用するには、IBM Cloud の CSPM(クラウド セキュリティ姿勢管理)の実装 で説明されている手順に従って、UI と CLI を使用して CSPM を有効にします。