IBM Cloud Security and Compliance Center Workload Protection 概説
コンテナやマイクロサービスに重点を置いたアーキテクチャでは、 IBM Cloud® Security and Compliance Center Workload Protection を使用して、ソフトウェアの脆弱性の発見と優先順位付け、脅威の検出と対応、ソースから実行までの構成、権限、コンプライアンスの管理を行うことができる。
開始前に
-
IBM Cloud アカウントのメンバーまたは所有者であるユーザー ID が必要です。 IBM Cloud、ユーザーIDを取得してください: 登録
-
サービスが使用可能なリージョンを確認します。 詳細はこちらをご覧ください。 サポートされているどの地域でも、手順を完了することができます。
ステップ 1. ユーザーのアクセス権限の管理
ご使用のアカウント内の IBM Cloud Security and Compliance Center Workload Protection サービスにアクセスするすべてのユーザーには、IAM ユーザー役割が定義されたアクセス・ポリシーを割り当てる必要があります。 ポリシーは、選択したサービスまたはインスタンスのコンテキスト内でユーザーが実行できるアクションを決定します。 許可されるアクションはカスタマイズされ、サービス上で実行が許可される操作として定義される。 その後、操作は IAM ユーザー役割にマップされます。 詳しくは、IBM Cloud でのユーザー・アクセスの管理を参照してください。
IBM Cloud で IBM Cloud Security and Compliance Center Workload Protection サービスを使用するための権限がユーザーに付与されると、このユーザーにはサービス役割が自動的に付与されます。 この役割によって、ユーザーが実行する権限を持つアクションが決まります。 詳しくは、IAM を介したアクセスの制御を参照してください。
インスタンスをプロビジョンする前に、以下を理解する必要があります。
- アカウント所有者は、IBM Cloud でサービスのインスタンスを作成、表示、および削除できます。また、IBM Cloud Security and Compliance Center Workload Protection サービスを使用するための権限を他のユーザーに付与できます。
- デフォルト のリソース・グループのリソースを作成するための権限が必要です。
administratorまたはeditor権限を持つ他の IBM Cloud ユーザーは、 IBM Cloud で IBM Cloud Security and Compliance Center Workload Protection サービスを管理できる。 また、これらのユーザーには、インスタンスをプロビジョンする予定のリソース・グループのコンテキスト内でリソースを作成するためのプラットフォーム権限も必要です。
ユーザーにサービスの管理者役割を付与し、アカウント内のリソース・グループ内のインスタンスを管理するには、そのユーザーが IBM Cloud Security and Compliance Center Workload Protection サービスの IAM ポリシーを持っている必要があります。 詳しくは、 IBM Cloud Security and Compliance Center Workload Protection サービスを使用するための権限の付与 を参照してください。
デフォルトでは、ユーザーは IBM Cloud Security and Compliance Center Workload Protection インスタンスごとに事前定義された Secure Operations チームのメンバーとして自動的に追加されます。 ユーザーには、Web UI のすべてのデータを表示する完全な権限があります。
ステップ 2 インスタンスをプロビジョンする
IBM Cloud Security and Compliance Center Workload Protection で、モニタリング機能を IBM Cloudに追加するには、IBM Cloud Security and Compliance Center Workload Protection サービスのインスタンスをプロビジョンする必要があります。
インスタンスはリソースグループのコンテキスト内でプロビジョニングされる。 リソースグループは、アクセス制御と課金目的でサービスを整理します。 IBM Cloud Security and Compliance Center Workload Protection インスタンスは、デフォルト・リソース・グループまたはカスタム・リソース・グループにプロビジョンできます。
IBM Cloud UI を使用してインスタンスをプロビジョンするには、以下の手順を実行します。
-
IBM Cloud アカウントにログインします。
IBM Cloud ダッシュボードを開きます。
ユーザー ID とパスワードを使用してログインすると、IBM Cloud UI が開きます。
-
**「カタログ」**をクリックします。 IBM Cloud で使用可能なサービスのリストが開きます。
-
表示されるサービスのリストをフィルタリングするには、 セキュリティ・ カテゴリーを選択します。
-
**「IBM Cloud Security and Compliance Center Workload Protection」**タイルをクリックします。
-
ロケーションを選択します。
-
サービス・プランを選択します。
サービス・プランについて詳しくは、『サービス・プラン』を参照してください。
-
サービス名を入力してください。
-
リソース・グループを選択します。 デフォルトでは、**「デフォルト」**リソース・グループが設定されています。
-
**「作成」**をクリックして、インスタンスをプロビジョンします。
サービス UI が開きます。
CLI を使用してインスタンスをプロビジョンするには、IBM Cloud CLI によるモニタリング・インスタンスのプロビジョニングを参照してください。
ステップ 3。 エージェントを設定してデータソースを接続する
IBM Cloudで IBM Cloud Security and Compliance Center Workload Protection サービスのインスタンスをプロビジョンした後、クラスター上にエージェントをデプロイできます。 エージェントは、侵入検出、ポスチャー管理、脆弱性スキャン、およびインシデント対応の各機能に使用できるデータを収集します。
次のオプションのいずれかを選択してください。
ステップ 4: Web UI の起動
IBM Cloud Security and Compliance Center Workload Protection サービスのインスタンスをプロビジョニングし、ノードのモニタリング・エージェントを設定すると、サービスのウェブ UI からデータを表示、モニタリング、管理できるようになります。
IBM Cloud UIから、 IBM Cloud Security and Compliance Center Workload Protection インスタンスのコンテキスト内でウェブUIを起動します。
モニタリング UI を起動するには、以下のステップを実行します。
-
IBM Cloud アカウントにログインします。
IBM Cloud ダッシュボード をクリックして、 IBM Cloud ダッシュボードを起動します。
ユーザー ID とパスワードを使用してログインすると、IBM Cloud ダッシュボードが開きます。
-
ナビゲーションメニューで、 リソースリストを選択する。
-
セキュリティーを選択する。
IBM Cloud で使用可能なインスタンスのリストが表示されます。
-
インスタンスを 1 つ選択します。 次に、**「ダッシュボードを開く」**をクリックします。
Web UI が開きます。
ステップ 5. 環境の保護
以下の表で、環境を保護するために実行可能なタスクについて確認してください。
| アクション | 説明 |
|---|---|
| CI/CD パイプラインへのスキャンの統合 | CI/CD パイプラインにスキャンを組み込み、CI/CD のワーカー・ノードにあるイメージを分析できます。 |
| 通知チャネルの構成 | 注意が必要なイベント、異常、またはセキュリティー・インシデントについて通知を受け取るように通知チャネルを構成できます。 |
| ルールの構成 | Detection Rule 、異常なランタイム・アクティビティを検出して対応することができる。使用できる画像のバージョンを指定するルールを作成できます。 |
| コンプライアンス結果の確認 | コンプライアンス・モジュールは、インベントリー内のリソースの永続化に依存しています。この拡張されたリソースの可視性とフル・コンテキストの優先順位付けにより、違反の修復と解決が促進されます。 |