关于IBM Cloud安全态势管理 (CSPM)
在 IBM Cloud 中,IBM Cloud® Security and Compliance Center Workload Protection 自动检查 IBM Cloud 金融服务框架、数字运营弹性法案 (DORA)、CIS IBM Cloud 基础基准、PCI 和许多其他行业相关标准或最佳实践标准。 IBM Cloud资源的详细清单以及基于完整上下文的优先级排序,有助于解决和管理收集到的违规行为。
Workload Protection 态势模块支持对 IBM Cloud、多云环境(Amazon Web Services、Azure 和 Google Cloud)、内部主机、虚拟机(VPC 的 VSI、VMware, PowerVS 和 IBM Z 与 Linux), Kubernetes,和 OpenShift.
态势模块为混合环境中的 CSPM 带来了许多功能:
-
统一的集中视图可管理 IBM Cloud、其他云提供商和企业内部运行的应用程序、工作负载和基础架构的安全性和合规性,涵盖托管服务、主机、虚拟机和容器以及 Kubernetes 或 OpenShift 集群。
-
许多预定义框架,如金融服务、PCI、DORA、CIS或 NIST,都允许实施和验证符合行业标准和法律所需的控制措施。
-
清点您的所有云资产(计算资源、托管服务、身份和权限)以及主机、虚拟机、群集和所有 Kubernetes 或 OpenShift 资源,无论它们是在云中还是在企业内部。
-
从失效控制中删除违规行为的风险验收流程,可选择验收原因和失效期。 风险可以在一个资源级别上接受,也可以从一个控制中对所有资源进行全局性接受。
-
修复失效控制的详细补救说明。
-
能够创建自定义策略、控制和控制参数。
Workload Protection 中 IBM Cloud CSPM 的可用预定义策略
以下态势策略可供您用于为 IBM Cloud 资源实施 CSPM:
| 策略 | 描述 |
|---|---|
| 人工智能信息和通信技术防护栏 | 人工智能 ICT 护栏提供了处理人工智能和生成式人工智能(GenAI)工作负载所需的基础设施和数据控制的预定义列表。 这些控制措施包括对风险与合规性管理、统一基础架构安全与性能、应用程序与工作负载保护、数据保护、身份与访问管理、日志记录和监控等控制类别的人工智能特定阐述。 该控制清单应与组织的安全基线结合使用。 |
| 人工智能安全护栏2.0 | AI Security Guardrails 提供了处理 AI 和生成式 AIGenAI)工作负载所需的全栈控制列表,包括 AI 应用程序、模型、数据和基础架构层。 这些控制措施包括人工智能治理、人工智能应用程序保护、人工智能模型生命周期、数据分类以及基础架构安全性和运营弹性等控制类别中的人工智能特定阐述。 |
| 澳大利亚政府信息安全手册 (ISM) 2022 | 云控制矩阵模板供 Infosec 注册评估师计划 (IRAP) 评估师使用,以记录云服务提供商 (CSP) 对信息安全手册 (ISM) 中控制措施的实施情况。 在此过程中,CCM 模板为安全评估的范围界定提供了指示性指导,但应注意的是,该指导并不是最终的,应由 IRAP 评估人员根据所评估的服务进行解释。 CCM 模板还通过确定消费者在哪些方面负责根据 ISM 配置自己的服务,体现了消费者对建立在 CSP 服务基础上的服务实施控制的能力。 |
| BSI 标准 200-1:信息安全管理 | 德国联邦信息安全办公室(BSI)发布的 BSI 标准 200-1 为建立和维护有效的信息安全管理系统(ISMS)提供了全面的指导。 它概述了识别、管理和降低组织内信息安全风险所必需的基本原则和做法。 该标准的结构设计适用于各行各业,确保各组织能够有效保护其信息资产,遵守法律和监管要求,并增强其整体安全态势。 |
| C5:2020(云计算合规标准目录) | 德国联邦信息安全办公室(Bundesamt für Sicherheit in der Informationstechnik,简称 BSI)制定的《云计算合规性控制目录》(C5)概述了云服务提供商必须满足的要求,以便为其服务提供最低安全级别。 |
| CCPA(《加州消费者隐私法) | 加州消费者隐私法》(California Consumer Privacy Act,CCPA)是一部数据隐私法,为加州消费者提供一系列隐私保护,包括访问、删除和选择不“出售”其个人信息的权利。 从 2020 年 1 月 1 日起,收集加州居民个人信息并达到一定门槛(如收入、数据处理量)的企业将需要遵守这些义务。 |
| CIS IBM Cloud 基础基准 | 验证您的资源配置是否符合互联网安全中心确定的基准要求。 |
| 云安全联盟 (CSA) 云控制矩阵 (CCM) | CSA 云控制矩阵 (CCM) 是针对computing.It的网络安全控制框架,由 197 个控制目标组成,分 17 个领域,涵盖云技术的所有关键方面。 它可用作系统评估云实施情况的工具,并为云供应链中的哪些行为者应实施哪些安全控制措施提供指导。 控制框架与 CSA 《云计算安全指南》保持一致,被视为云安全保证和合规性的事实标准。 |
| 数字运行复原力法》(DORA)--第(EU)2022/2554 号法规 | 数字运行复原力法》(第 2022/2554 号法规(欧盟))解决了欧盟金融监管中的一个重要问题。 在 DORA 之前,金融机构主要通过资本分配来管理主要类别的操作风险,但并没有管理操作弹性的所有组成部分。 在 DORA 之后,它们还必须遵守保护、检测、遏制、恢复和修复能力方面的规则,以应对与信息和通信技术相关的事件。 DORA 明确提及信息和通信技术风险,并制定了关于信息和通信技术风险管理、事故报告、业务复原力测试和信息和通信技术第三方风险监测的规则。 该条例承认,信息和通信技术事故以及缺乏业务复原力有可能危及整个金融体系的稳健性,即使传统的风险类别有足够的资本。 |
| 数字个人数据保护法 | 该法案规定,处理数字个人数据的方式既要承认个人保护其个人数据的权利,又要承认出于合法目的以及与此相关或附带的事项处理此类个人数据的必要性。 |
| 国家安全调查局(ENS) 高 | 西班牙法律规定,西班牙公民享有通过电子方式获取政府服务的合法权利。 Esquema Nacional de Seguridad (ENS)(国家安全框架)受第 3/2010 号敕令管辖,旨在为电子媒体的使用制定安全政策。 ENS 规定了信息保护的基本原则和最低要求,包括云计算服务。 |
| FedRAMP(联邦风险与授权管理计划)高基线 | 联邦机构和云服务提供商 (CSP) 必须在云计算环境中实施这些安全控制、增强功能、参数和要求,以满足FedRAMP的要求。 安全控制和增强措施是从 NIST SP 800-53 修订版 4 的控制目录中选择的。 所选控制措施和增强措施针对的是联邦信息处理标准 (FIPS) 第 199 号出版物所定义的高影响信息系统。 高影响数据通常存在于执法和应急服务系统、金融系统、卫生系统以及任何其他系统中,在这些系统中,如果丢失保密性、完整性或可用性,预计会对组织运营、组织资产或个人造成严重或灾难性的不利影响。 FedRAMP推出了“高基准线”,以保护云计算环境中政府最敏感的非机密数据,包括涉及保护生命和经济损失的数据。 |
| FedRAMP(联邦风险与授权管理计划)LI-SaaS基线 | 联邦机构和云服务提供商 (CSP) 必须在云计算环境中实施这些安全控制、增强功能、参数和要求,以满足FedRAMP的要求。 安全控制和增强措施是从 NIST SP 800-53 修订版 4 的控制目录中选择的。 所选控制措施和增强措施针对的是联邦信息处理标准 (FIPS) 第 199 号出版物中定义为低影响信息系统的云系统。 FedRAMPTailored 的开发旨在为机构部署和使用低风险、低成本的行业解决方案提供支持。 量身定制的政策和要求为低影响软件即服务LI-SaaS)提供商提供了更有效的途径。 LI-SaaS基准线适用于低影响SaaS应用程序,这些应用程序除了一般登录功能所需的信息(即用户名、密码和电子邮件地址)外,不存储其他个人身份信息 (PII)。 与标准低基线授权相比,所需的安全文档得到整合,需要测试和验证的安全控制的必要数量减少。 FedRAMPLow Baseline 中确定的所有要求都是必需的,而FedRAMPTailored 则确定了那些通常由LI-SaaS客户或基础服务提供商满足的要求,使提供商只需关注相关要求。 此外,FedRAMPTailored 允许各机构只对其中最重要的要求进行独立验证。 |
| FedRAMP(联邦风险与授权管理计划)低基线 | 联邦机构和云服务提供商 (CSP) 必须在云计算环境中实施这些安全控制、增强功能、参数和要求,以满足FedRAMP的要求。 安全控制和增强措施是从 NIST SP 800-53 修订版 4 的控制目录中选择的。 所选控制措施和增强措施针对的是联邦信息处理标准 (FIPS) 第 199 号出版物中定义为低影响信息系统的云系统。 低度影响最适合机密性、完整性和可用性丢失会对机构业务、资产或个人造成有限不利影响的 CSO。 FedRAMP目前有两条针对低影响数据系统的基线:LI-SaaS基准线和低基准线。 |
| FedRAMP(联邦风险与授权管理计划)中度基线 | 联邦机构和云服务提供商 (CSP) 必须在云计算环境中实施这些安全控制、增强功能、参数和要求,以满足FedRAMP的要求。 安全控制和增强措施是从 NIST SP 800-53 修订版 4 的控制目录中选择的。 所选控制措施和增强措施针对的是联邦信息处理标准 (FIPS) 第 199 号出版物所定义的中度影响信息系统。 中度影响系统占获得FedRAMP授权的 CSP 应用程序的近 80%,最适用于丧失保密性、完整性和可用性会对机构的运营、资产或个人造成严重不利影响的 CSO。 严重的负面影响可能包括对机构资产造成的重大业务损害、财务损失或非生命或身体损失的个人伤害。 |
| 一般数据保护条例 GDPR | 欢迎访问gdpr-info.eu。 您可在此找到《条例》(欧盟)2016/679(《通用数据保护条例》)的官方 PDF 文件,当前版本为 OJ L 119,04.05.2016; Cor. OJ L 127,23.5.2018日,作为一个排列整齐的网站。 GDPR 的所有条款都与适当的序言相关联。 欧洲数据保护条例》自 2018 年 5 月25th适用于所有成员国,以统一整个欧洲的数据隐私法律。 如果您觉得本页有用,请随时通过分享项目来支持我们。 |
| HIPAA(《健康保险便携性和责任法案》)安全规则 | 健康保险可携性与责任法案》(HIPAA)安全规则专门涉及受保护的电子健康信息(EPHI)。 它规定了合规所需的三类安全保障措施:管理、物理和技术。 对于每种类型,《规则》都确定了各种安全标准,并为每种标准列出了所需和可解决的实施规范。 必须按照《规则》的规定采用和管理所需的规格。 可寻址规格更加灵活。 各承保实体可评估自身情况,确定实施可寻址规范的最佳方式。 |
| HITRUST CSF(通用安全框架) | HITRUST CSF 提供了全球组织所需的结构、透明度、指导和对权威来源的交叉引用,以确保其数据保护合规性。 HITRUST CSF 的初步开发利用了国内和国际公认的安全和隐私相关法规、标准和框架,包括 ISO、NIST、PCI、HIPAA 和 GDPR,以确保提供一套全面的安全和隐私控制措施,并不断纳入更多权威来源。 HITRUST CSF 将这些要求标准化,提供了清晰度和一致性,减轻了合规负担。 |
| IBM Cloud 金融服务框架 | IBM Cloud金融服务™ 是一个开放式平台,它将独立软件供应商(ISV)、软件即服务(SaaS)提供商和金融服务机构汇集在一个生态系统中。 In this secure cloud platform, you can rapidly develop and share innovative
applications, APIs, data, and content to meet the unique business needs of your financial institution.
通过 IBM Cloud Framework for Financial Services,您可以访问一套统一的安全和合规控制,该控制专为金融服务行业而建,并与金融服务行业共同使用。 To address your evolving needs as a financial institution, IBM continuously validates these controls with global Councils of CSOs, CTOs, and CIOs from major banks, insurance providers, and regulatory advisors. 金融服务配置文件的 IBM Cloud 可为您提供一组预先配置的自动化目标,这些目标与 IBM Cloud Framework for Financial Services 控制要求相对应。 当您使用金融服务 IBM Cloud 的 参考架构 时,这些测试结果可帮助您验证合规性。 |
| 信息系统安全管理和评估计划(ISMAP) | 信息系统安全管理和评估计划(ISMAP)旨在通过事先评估和注册符合政府安全要求的云服务,确保政府采购云服务的安全级别,从而促进云服务的顺利引进。 |
| 企业版 MITRE ATT&CK | MITRE ATT&CK® 是一个可在全球访问的知识库,其中包含基于真实世界观察的对手战术和技术。 ATT&CK 知识库是私营部门、政府以及网络安全产品和服务社区开发特定威胁模型和方法的基础。 |
| MITRE DEFEND | 在为我们的赞助商开展的项目工作中,我们多次遇到需要一个能够精确指定网络安全对策组件和能力的模型。 此外,从业人员不仅有必要了解某项能力声称要应对哪些威胁,而且有必要从工程学角度具体了解如何应对这些威胁,以及在什么情况下该解决方案会奏效。 这些知识对于估计业务适用性、确定优缺点以及开发由多种能力组成的企业解决方案至关重要。 为了在短期内满足这一反复出现的需求,我们创建了D3FEND,在这个框架中,我们编码了一个对策知识库,但更具体地说,是一个知识图谱。 该图包含语义严谨的类型和关系,既定义了网络安全对策领域的关键概念,也定义了将这些概念相互连接的必要关系。 我们根据网络安全文献中的特定参考文献来确定每个概念和关系。 |
| NIS2指令(关于在欧盟范围内实现高度共同网络安全的措施的指令) | 2022 年 12 月 14 日欧洲议会和欧盟理事会关于在欧盟范围内实现高度共同网络安全的措施的第 2022/2555 号指令(欧盟),修订了第 910/2014 号条例(欧盟)和第 2018/1972 号指令(欧盟),并废除了第 2016/1148 号指令(欧盟)(NIS 2 号指令)。 |
| NIST 网络安全框架 (CSF) | 该出版物是工业界、学术界和政府持续合作的成果。 美国国家标准与技术研究院(NIST)于 2013 年召集私营和公共部门的组织和个人启动了该项目。 改进关键基础设施网络安全框架》于 2014 年发布,并于 2017 年和 2018 年进行了修订,该框架依靠的是八次公开研讨会、多次征求意见或信息,以及与来自美国各行各业和世界各地许多行业的利益相关者进行的数千次直接互动。 |
| NIST SP 800-53(信息系统和组织的安全与隐私控制) | 合规政策为信息系统和组织提供安全和隐私控制目录,以保护组织运营和资产、个人、其他组织和国家免受各种威胁和风险,包括敌对攻击、人为失误、自然灾害、结构性故障、外国情报实体和隐私风险。 这些控制措施具有灵活性和可定制性,是全组织风险管理流程的一部分。 这些控制措施可满足源自任务和业务需求、法律、行政命令、指令、法规、政策、标准和准则的各种要求。 最后,综合控制目录从功能角度(即控制提供的功能和机制的强度)和保证角度(即对控制提供的安全或隐私能力的信任度)来处理安全和隐私问题。 解决功能和保证问题有助于确保信息技术产品和依赖这些产品的系统具有足够的可信度。 |
| PCI DSS(支付卡行业数据安全标准) v4.0.0 | 制定支付卡行业数据安全标准(PCI DSS)的目的是鼓励和加强支付卡账户数据安全,促进全球广泛采用一致的数据安全措施。 PCI DSS 提供了旨在保护账户数据的技术和操作要求基准。 虽然 PCI DSS 专门针对支付卡账户数据环境而设计,但也可用于防范威胁和保护支付生态系统中的其他要素。 |
| RBI 框架 | 银行及其服务对象对信息技术的使用增长迅速,现已成为银行运营战略不可分割的一部分。 储备银行在 2011 年 4 月 29 日的DBS.CO.ITC.BC.No.6/31.02.008/2010-11通知中提供了关于信息安全、电子银行、技术风险管理和网络欺诈G.Gopalakrishna委员会)的指导方针,其中指出,建议实施的措施不能一成不变,银行需要根据新的发展和新出现的问题,积极制定/微调/修改其政策、程序和技术。 |
| SEBI(印度证券交易委员会)法案 | 本法案旨在规定设立一个委员会,以保护证券投资者的利益,促进证券市场的发展并对其进行监管,以及处理与此相关或附带的事项。 |
| SOC 2 | SOC 2 是由美国注册会计师协会 (AICPA) 制定的服务机构自愿合规标准。 其目的是确保用户数据的安全和隐私。 它概述了客户数据的安全性、可用性、处理完整性、保密性和隐私性五项信任服务原则,作为保护数据的框架。 SOC 2 适用于处理或存储客户数据的任何技术服务提供商或 SaaS 公司。 与这些公司合作的第三方供应商、其他合作伙伴或支持机构也应保持 SOC 2 合规性,以确保其数据系统和保障措施的完整性。 |
所有其他态势策略适用于其他环境,如 AWS、Azure、GCP、Kubernetes、OpenShift, 或主机。
后续步骤
要充分利用 Workload Protection 启用 CSPM,请按照 使用 UI 和 CLI 为 IBM Cloud实施 CSPM(云安全态势管理)中所述的步骤进行。