關於IBM Cloud安全態勢管理 (CSPM)
在IBM Cloud中,IBM Cloud® Security and Compliance Center Workload Protection自動執行 IBM Cloud金融服務架構、數位營運彈性法案(DORA) 的合規性檢查)、CIS IBM Cloud Foundations Benchmark、PCI 和許多其他行業相關或最佳實踐標準。 透過詳細的IBM Cloud資源清單以及基於完整上下文的優先級,有助於解決和管理所收集的違規行為。
Workload Protection狀態模組支援對IBM Cloud、多雲環境( Amazon Web Services、Azure和Google Cloud )、內部主機、虛擬機器進行合規性驗證(適用於VPC、VMware、PowerVS和帶有LinuxIBM ZVSI)、Kubernetes和OpenShift。
姿勢模組為混合環境中的 CSPM 帶來了許多功能:
-
統一和集中的視圖,用於管理在IBM Cloud、其他雲端提供者和本地運行的應用程式、工作負載和基礎設施的安全性和合規性,涵蓋託管服務、主機、虛擬機器和容器以及Kubernetes或OpenShift叢集。
-
許多預先定義的框架(例如金融服務、PCI、DORA、CIS或 NIST)允許實施和驗證滿足行業標準和法律所需的控制措施。
-
盤點所有雲端資產(運算資源、主機服務、身分和權利)以及主機、虛擬機器、叢集以及所有Kubernetes或OpenShift資源,無論它們位於雲端或本機。
-
風險接受流程,用於從失敗的控制中刪除違規行為,並提供接受原因和到期期限的選項。 可以在一個資源層級接受風險,也可以從一個控制中全域接受所有資源的風險。
-
用於修復失敗控制的詳細修復說明。
-
能夠建立自訂策略、控制和控制參數。
Workload Protection中IBM Cloud CSPM 的可用預設策略
您可以使用以下狀態策略為您的IBM Cloud資源實作 CSPM:
| 原則 | 說明 |
|---|---|
| AI ICT護欄 | AI ICT 護欄提供了處理 AI 和產生 AI ( GenAI ) 工作負載所需的預先定義基礎設施和資料控制清單。 這些控制包括跨控制類別的人工智慧具體闡述,例如風險和合規性管理、統一基礎設施安全和效能、應用程式和工作負載保護、資料保護、身分和存取管理、日誌記錄和監控。 此控制清單將與組織的安全基線結合使用。 |
| 人工智慧安全護欄2.0 | AI Security Guardrails 提供了處理 AI 和產生 AI ( GenAI ) 工作負載所需的整個堆疊的控制列表,包括 AI 應用程式、模型、資料和基礎設施層。 這些控制措施包括跨控制類別的人工智慧具體闡述,例如人工智慧治理、人工智慧應用程式保護、人工智慧模型生命週期、資料分類以及基礎設施安全和營運彈性。 |
| 澳洲政府資訊安全手冊 (ISM) 2022 | 雲端控制矩陣範本旨在供 Infosec 註冊評估員計畫 (IRAP) 評估員使用,以捕獲雲端服務提供者 (CSP) 對資訊安全手冊 (ISM) 中控制措施的實施情況。 在此過程中,CCM 範本提供了有關安全評估範圍的指示性指南,但是,應該注意的是,該指南不是明確的,應由 IRAP 評估人員在所評估的服務的背景下進行解釋。 CCM 範本還捕捉了消費者透過識別消費者負責根據 ISM 配置自己的服務的位置來實現對基於 CSP 服務建構的服務的控制的能力。 |
| BSI-標準 200-1:資訊安全管理 | BSI-標準 200-1 由德國聯邦資訊安全辦公室 (BSI) 發布,為建立和維護有效的資訊安全管理系統 (ISMS) 提供了全面的指南。 它概述了識別、管理和減輕組織內資訊安全風險所需的基本原則和實踐。 此標準的結構適用於各個行業和部門,確保組織能夠有效保護其資訊資產,遵守法律和監管要求,並增強整體安全狀況。 |
| C5:2020 (雲端運算合規標準目錄) | 由德國聯邦資訊安全辦公室(Bundesamt für Sicherheit in der Informationstechnik,或 BSI)創建的雲端運算合規性控制目錄 ( C5 ) 概述了雲端服務提供者必須滿足的要求,以便為其服務提供最低安全等級。 |
| CCPA(加州消費者隱私權法) | 《加州消費者隱私法》(CCPA) 是一項資料隱私法,為加州消費者提供多項隱私權保護,包括存取、刪除和選擇不「出售」其個人資訊的權利。 從 2020 年 1 月 1 日開始,收集加州居民個人資訊並達到特定門檻(例如收入、資料處理量)的企業將需要遵守這些義務。 |
| CIS IBM Cloud基礎基準 | 驗證您的資源配置是否符合網際網路安全中心所確定的基準要求。 |
| 雲端安全聯盟 (CSA) 雲端控制矩陣 (CCM) | CSA雲端控制矩陣(CCM)是雲端computing.It的網路安全控制框架。 它可以用作對雲端實施進行系統評估的工具,並提供有關雲端供應鏈中的哪個參與者應實施哪些安全控制的指導。 此控制框架符合 CSA 雲端運算安全指南,被認為是雲端安全保證和合規性的事實上的標準。 |
| 數位營運彈性法案 (DORA)- 法規 (EU) 2022/2554 | 《數位營運彈性法案》(法規(EU)2022/2554)解決了歐盟金融監管中的一個重要問題。 在DORA之前,金融機構主要透過資本配置來管理主要類別的操作風險,但並未管理操作彈性的所有組成部分。 DORA 之後,他們還必須遵守針對 ICT 相關事件的保護、偵測、遏制、復原和修復能力的規則。 DORA 明確提及 ICT 風險,並就 ICT 風險管理、事件報告、營運彈性測試和 ICT 第三方風險監控制定規則。 該法規承認,即使傳統風險類別有足夠的資本,資訊通信技術事件和缺乏營運彈性也有可能危及整個金融體系的穩健性。 |
| DPDP(數位個人資料保護)法 | 一項規定以承認個人保護其個人資料的權利以及出於合法目的和與之相關或附帶的事項處理此類個人資料的需要的方式處理數位個人資料的法案。 |
| 國家安全學校 (ENS) 高中 | 根據西班牙法律的規定,西班牙公民擁有透過電子方式取得政府服務的合法權利。 Esquema Nacional de Seguridad (ENS)(國家安全框架)受皇家法令 3/2010 管轄,旨在製定電子媒體使用的安全政策。 ENS 包含雲端運算服務,定義了資訊保護的基本原則和最低要求。 |
| FedRAMP (聯邦風險和授權管理計劃)高基線 | 聯邦機構和雲端服務供應商 (CSP) 必須在雲端運算環境中實施這些安全控制、增強功能、參數和要求,以滿足FedRAMP要求。 安全控制和增強功能選自 NIST SP 800-53 第 4 版控制目錄。 所選控制和增強功能適用於聯邦資訊處理標準 (FIPS) 出版品 199 中定義的高影響資訊系統中指定的雲端系統。 高影響力資料通常存在於執法和緊急服務系統、金融系統、衛生系統以及任何其他系統中,在這些系統中,機密性、完整性或可用性的喪失可能會對組織運作、組織資產、組織產生嚴重或災難性的不利影響。 FedRAMP引入了高基線來解釋政府在雲端運算環境中最敏感的非機密數據,包括涉及生命保護和財務損失的數據。 |
| FedRAMP (聯邦風險和授權管理計劃) LI-SaaS基線 | 聯邦機構和雲端服務供應商 (CSP) 必須在雲端運算環境中實施這些安全控制、增強功能、參數和要求,以滿足FedRAMP要求。 安全控制和增強功能選自 NIST SP 800-53 第 4 版控制目錄。 所選控制和增強功能適用於聯邦資訊處理標準 (FIPS) 出版品 199 中定義的低影響資訊系統中指定的雲端系統。 FedRAMP Tailored 旨在支援機構部署和使用低風險、低成本的產業解決方案。 客製化的政策和要求為低影響軟體即服務 ( LI-SaaS ) 提供者提供了更有效的途徑。 LI-SaaS基線適用於低影響SaaS應用程序,這些應用程式不會儲存超出登入功能通常所需的個人識別資訊 (PII)(即使用者名稱、密碼和電子郵件地址)。 相對於標準的低基線授權,所需的安全文件得到了整合,並且需要測試和驗證的安全控制的必要數量也有所減少。 雖然FedRAMP低基準中確定的所有要求都是必需的,但FedRAMP Tailored 確定了LI-SaaS客戶或底層服務提供者通常滿足的那些要求,使提供者能夠僅關注相關要求。 此外,FedRAMP Tailored 允許機構僅獨立驗證這些要求中最重要的部分。 |
| FedRAMP (聯邦風險和授權管理計劃)低基線 | 聯邦機構和雲端服務供應商 (CSP) 必須在雲端運算環境中實施這些安全控制、增強功能、參數和要求,以滿足FedRAMP要求。 安全控制和增強功能選自 NIST SP 800-53 第 4 版控制目錄。 所選控制和增強功能適用於聯邦資訊處理標準 (FIPS) 出版品 199 中定義的低影響資訊系統中指定的雲端系統。 低影響最適合公民社會組織,因為保密、完整性和可用性的喪失將對機構的運作、資產或個人造成有限的不利影響。 FedRAMP目前針對具有低影響資料的系統有兩個基線:LI-SaaS基線和低基線。 |
| FedRAMP (聯邦風險和授權管理計劃)中等基線 | 聯邦機構和雲端服務供應商 (CSP) 必須在雲端運算環境中實施這些安全控制、增強功能、參數和要求,以滿足FedRAMP要求。 安全控制和增強功能選自 NIST SP 800-53 第 4 版控制目錄。 所選控制和增強功能適用於聯邦資訊處理標準 (FIPS) 出版品 199 中定義的中等影響資訊系統指定的雲端系統。 中等影響系統佔FedRAMP授權的 CSP 應用程式的近 80%,最適合機密性、完整性和可用性喪失將對機構的營運、資產或個人造成嚴重不利影響的 CSO。 嚴重的不利影響可能包括對機構資產的重大營運損害、財務損失或非生命或身體損失的個人傷害。 |
| 一般資料保護規範 GDPR | 歡迎來到gdpr-info.eu。 您可以在此處找到最新版本 OJ L 119 04.05.2016中法規 (EU) 2016/679(一般資料保護法規)的官方 PDF 版本;科。 OJ L 127, 23.5.2018作為一個排列整齊的網站。 GDPR 的所有條款均附有適當的說明。 《歐洲資料保護條例》自 2018 年 5 月25th起在所有成員國適用,以協調整個歐洲的資料隱私法。 如果您發現該頁面有用,請隨時透過分享該項目來支持我們。 |
| HIPAA(健康保險流通與責任法案)安全規則 | 健康保險流通與責任法案 (HIPAA) 安全規則專門涉及受保護的電子健康資訊 (EPHI)。 它列出了合規性所需的三種類型的安全保障措施:管理、實體和技術。 對於每種類型,該規則都標識了各種安全標準,並且對於每種標準,它都指定了所需的和可尋址的實作規範。 必須依照規則的規定採用和管理所需的規範。 可尋址規格更加靈活。 各個涵蓋的實體可以評估自己的情況並確定實施可尋址規範的最佳方式。 |
| HITRUST CSF(通用安全框架) | HITRUST CSF 為全球組織提供確定其資料保護合規性所需的結構、透明度、指導和交叉引用。 HITRUST CSF 的初始開發利用了國內和國際公認的安全和隱私相關法規、標準和框架(包括ISO、NIST、PCI、HIPAA 和GDPR),以確保一套全面的安全和隱私控制,並不斷納入額外的內容權威來源。 HITRUST CSF 對這些要求進行了標準化,提供了清晰度和一致性,並減輕了合規負擔。 |
| IBM Cloud金融服務框架 | IBM Cloud for Financial Services™ 是一個開放平台,將獨立軟體供應商 (ISV)、軟體即服務 ( SaaS ) 供應商和金融服務機構聚集在一個生態系統中。 在這個安全的雲端平台中,您可以快速開發和分享創新應用程式、API、資料和內容,以滿足金融機構的獨特業務需求。
透過 IBM Cloud Framework for Financial Services,您可以存取一組統一的安全性和合規性控制,該控制是專門為金融服務業構建的。 為了滿足金融機構不斷變化的需求, IBM不斷與來自主要銀行、保險提供者和監管顧問的全球 CSO、CTO 和 CIO 委員會驗證這些控制措施。 金融服務設定檔的IBM Cloud為您提供了一組對應到 IBM Cloud Framework for Financial Services控制要求 的預先設定自動化目標。 當您使用金融服務IBM Cloud的 參考架構 之一時,這些測驗的結果可協助您驗證合規性。 |
| ISMAP(資訊系統安全管理和評估計劃) | 資訊系統安全管理和評估計畫(ISMAP)旨在透過提前評估和註冊符合政府安全要求的雲端服務,確保政府雲端服務採購的安全水平,從而有助於雲端服務的順利引入。 |
| MITRE ATT&CK 企業版 | MITRE ATT&CK® 是一個全球可訪問的基於現實世界觀察的對手戰術和技術知識庫。 ATT&CK 知識庫被用作私營部門、政府以及網路安全產品和服務社群開發特定威脅模型和方法的基礎。 |
| 斜接防禦 | 在贊助商的專案工作中,我們多次遇到需要一個可以精確指定網路安全對策元件和功能的模型。 此外,從業者不僅需要知道一種能力聲稱要解決哪些威脅,還需要具體了解如何從工程角度解決這些威脅,以及該解決方案在什麼情況下有效。 這些知識對於評估操作適用性、識別優勢和劣勢以及開發包含多種功能的企業解決方案至關重要。 為了在短期內滿足這一反覆出現的需求,我們創建了D3FEND,這是一個框架,我們在其中編碼對策知識庫,但更具體地說,是知識圖。 該圖包含語義上嚴格的類型和關係,定義了網路安全對策領域中的關鍵概念以及將這些概念相互連結所需的關係。 我們將每個概念和關係都基於網路安全文獻中的特定參考文獻。 |
| NIS2指令(關於整個聯盟高共同水平網路安全措施的指示) | 歐洲議會和理事會於2022 年12 月14 日發布的關於在整個聯盟內實現高水平共同網路安全措施的指令(EU) 2022/2555,修訂了(EU) No 910/2014 號法規和指令(EU ) 2018/1972,並廢除指令 (EU) 2016/1148(NIS 2 指令)。 |
| NIST 網路安全框架 (CSF) | 本出版品是產業、學術界和政府持續合作的成果。 美國國家標準與技術研究院 (NIST) 於 2013 年召集私營和公共部門組織和個人啟動了該計畫。 該《改善關鍵基礎設施網路安全框架》於2014 年發布,並於2017 年和2018 年進行修訂,依賴於八次公共研討會、多次徵求意見或信息,以及與美國各部門和許多部門的利益相關者進行的數千次直接互動。 |
| NIST SP 800-53(資訊系統和組織的安全和隱私控制) | 合規政策為資訊系統和組織提供一系列安全和隱私控制,以保護組織運作和資產、個人、其他組織和國家免受各種威脅和風險,包括敵對攻擊、人為錯誤、自然災害、結構性故障、外國情報實體和隱私風險。 這些控制措施靈活且可定制,並作為組織範圍內風險管理流程的一部分實施。 這些控制措施滿足來自任務和業務需求、法律、行政命令、指令、法規、政策、標準和指南的各種要求。 最後,綜合控制目錄從功能角度(即,控制提供的功能和機制的強度)和保證角度(即,對控制提供的安全或隱私能力的置信度衡量)解決安全和隱私問題。 解決功能和保證問題有助於確保資訊科技產品和依賴這些產品的系統足夠值得信賴。 |
| PCI DSS(支付卡產業資料安全標準) v4.0.0 | 支付卡產業資料安全標準 (PCI DSS) 的製定旨在鼓勵和增強支付卡帳戶資料安全性,並促進全球廣泛採用一致的資料安全措施。 PCI DSS 提供了旨在保護帳戶資料的技術和操作要求基準。 雖然 PCI DSS 專門設計用於關注具有支付卡帳戶資料的環境,但它也可用於防範威脅並保護支付生態系統中的其他元素。 |
| 打點框架 | 銀行及其成員對資訊科技的使用迅速增長,現已成為銀行營運策略的一個組成部分。 儲備銀行提供了有關資訊安全、電子銀行、技術風險管理和網路詐欺的指南( G.Gopalakrishna委員會),請參閱 4 月的 Circular DBS.CO.ITC.BC.No.6/31.02.008/2010-11 2011年2月29日,其中指出,建議實施的措施不能是靜態的,銀行需要根據新的發展和新出現的問題主動制定/微調/修改其政策、程序和技術。 |
| SEBI(印度證券交易委員會)法 | 規定設立董事會以保護證券投資者的利益、促進證券市場的發展和規範證券市場以及處理與之相關或附帶事項的法案。 |
| SOC 2 | SOC 2 是服務組織的自願合規標準,由美國註冊會計師協會 (AICPA) 制定。 其目的是確保用戶資料的安全和隱私。 它概述了客戶資料的安全性、可用性、處理完整性、機密性和隱私性的五項信任服務原則,作為保護資料的框架。 SOC 2 適用於任何處理或儲存客戶資料的技術服務提供者或SaaS公司。 第三方供應商、其他合作夥伴或與這些公司合作的支援組織也應保持 SOC 2 合規性,以確保其資料系統和保護措施的完整性。 |
所有其他狀態策略適用於其他環境,例如AWS、Azure、GCP、Kubernetes、OpenShift,或主機。
下一步
若要充分利用Workload Protection請依照 使用 UI 和 CLI 為IBM Cloud實作 CSPM(雲端安全狀態管理) 中所述的步驟啟用 CSPM。