使用 IBM Cloud CSPM 的工作负载保护的最佳实践
IBM Cloud® Security and Compliance Center Workload Protection 现在支持针对 IBM Cloud 资源的 IBM Cloud 金融服务框架、数字运营弹性法案 (DORA)、CIS IBM Cloud 基础基准、PCI 和其他受监管的行业标准。
管理态势策略
在 Workload Protection 中,态势策略是用于评估合规性的控制集合。 您可以使用预定义策略或创建自定义策略。
预定义的合规政策
随着金融服务框架(IBM CloudFramework for Financial Services)、数字运营弹性法案(DORA)、CIS IBM Cloud Foundations Benchmark、PCI 标准等合规计划的不断更新,预定义策略也会定期更新,并添加新的参数和检查。
当您开始为 IBM Cloud 实施 CSPM 时,将根据所有可用的 IBM Cloud 控制(所有态势结果)和 CIS IBM Cloud 基础基准,您可以应用下一步所述的其他策略。
应用态势策略
默认情况下,Workload Protection 会在名为 Entire Infrastructure 的区域中为所有连接的 IBM Cloud 服务、群集和工作负载创建一个范围。 您可以将新的态势策略应用到此区域,或创建一个新区域来划分资源范围。
要将策略应用到区域,请转到 Policies / Zones 并将策略链接到区域:
创建自定义态势策略
如果您想控制态势策略的控制、要求或名称,可使用 Workload Protection 根据现有或自定义控制创建自定义策略。
- 了解如何从头开始创建自己的策略 创建自定义策略。
- 了解如何从现有态势策略开始创建自己的策略 从模板创建自定义策略。
查看态势结果并下载报告
当您开始为 IBM Cloud 实施 CSPM 时,您的服务将根据所有可用的 IBM Cloud 控制和 CIS IBM Cloud 基础基准,您可以应用前几节所述的其他策略。
第一次扫描完成后(整合后可能需要几分钟),姿势结果将显示在 Posture / Compliance 下:
- 选择要审查的政策。
- 选择要分析的需求。
- 单击显示控件和显示结果。
- 您将看到列出受该特定控件影响的所有资源。
- 点击 查看补救,您将获得补救该控件的步骤。
- 在同一视图中,您可以 Accept Risk 从该资源的失败控制中删除违规。 选择风险原因和有效期(可选),完成接受风险创建。
在特定策略结果视图中,您可以单击 下载报告来下载报告,该报告将生成包含所选策略控件所有结果的 CSV。
查看清单中的所有连接资源
为您的 IBM Cloud 账户实施 CSPM 后,您的所有 IBM Cloud 资源(以及任何其他连接的数据源,例如 Kubernetes/OpenShift 资源或多云环境)将列在 Inventory 下。
使用 Feature Filters 快速筛选最常用的筛选器类型。 它可让您缩小范围,找到最普遍和最危险的资源,包括资源计数和风险指标。
对于每个资源,单击资源卡可访问 Posture 和 Configuration 选项卡:
- Posture 选项卡显示失败策略的数量。 选择失败的策略,查看要补救的相关控制。 每项政策中的控制按要求分组。
- 配置选项卡包含其他元数据和配置详细信息,包括上次扫描资源的时间戳。
自定义控件
Workload Protection 通过添加在态势控制中定义的参数,逐步增加自定义态势控制的功能。
您可以在“策略”>“控制”下查看所有可用的 姿势控制。 选择要自定义的控件,并选择 参数,然后单击 自定义,并根据您的要求更改参数。
除了修改现有控件的参数外,您还可以复制和编辑任何控件,如 自定义控件 所述。
整理账户和资源
默认情况下,Workload Protection 会在名为 Entire Infrastructure 的区域中为所有连接的 IBM Cloud 服务、群集和工作负载创建一个范围。 您可以将新的态势策略应用到此区域,或创建一个新区域来划分资源范围。
您可以 根据区域或帐户 ID 创建自己的作用域。 在不久的将来,资源标签也将用于定义范围。
后续步骤
要充分利用 Workload Protection 启用 CSPM,请按照 使用 UI 和 CLI 为 IBM Cloud实施 CSPM(云安全态势管理)中所述的步骤进行。