首页 > 其他分享> > 使用IBM Cloud Security and Compliance Center 保障安全合规性（上篇）

使用IBM Cloud Security and Compliance Center 保障安全合规性（上篇）

2020-12-22 13:01:03 作者：互联网

IBM Cloud® Security and Compliance Center安全和合规中心是IBM Cloud的平台级服务，提供3方面功能：
1 Security and compliance posture monitoring可用于IBM Cloud、Amazon Web Services、Microsoft Azure、Google云平台和内部部署环境。
2 资源治理Configuration governance：适用于IBM Cloud。
3 Gain Insight：由IBM Cloud Security Advisor提供。
在这里插入图片描述

IBM SCC主要模块与基本工作原理：
在这里插入图片描述

本文介绍使用IBM SCC对IBM Cloud用户使用的服务进行扫描和资源治理。
文中描述的各项操作需要如下先决条件：

IBM Cloud 账户：Pay-As-You-Go 或 Subscription类型账户，当前用户是owner 或具备完全的
Administrator 权限。
需要进行安全合规性扫描和评估的对象，比如对象存储、VSI、k8s集群；
准备虚机用以安装Collector：2vCPU 4GB RAM，Boot volume有 50 GB 以上可用空间。可以是 Red Hat Enterprise Linux, CentOS, 或 Ubuntu 18.x任一，本文使用Ubuntu 18.04。Profile: cx2-2x4 (2 vCPUs, 4 GB RAM, and 4GBPS)。

1. 配置访问权限

IBM Cloud® Security and Compliance Center安全和合规中心的访问由Cloud Identity and Access Management（IAM）控制。必须为每个访问SCC的IAM用户分配角色(role)和访问策略（Access Policy），以确定用户可以执行哪些操作。
策略允许在不同级别授予访问权限，例如：

管理Profiles和Controls
查看安全性和合规性状态与报告
管理资源使用规则

各项操作所需要的权限在官方文档中有具体介绍：
https://cloud.ibm.com/docs/security-compliance?topic=security-compliance-access-management

在这里插入图片描述

2. 配置Credential

在这里插入图片描述
设定名称和简要描述，目前支持如下Credential类型：

AWS Cloud
Azure Cloud
GCP Cloud
IBM Cloud
Database
Username - password
Username - PEM
Windows authentication

选择Purpose时需要注意，Discovery/Collection是对目标环境进行扫描、采集各类配置数据，目前支持Remediation目前只支持AWS和MS Azure，在创建连接到其它云或者私有数据中心环境的Credential时可以忽略。
在此我们连接到IBM Cloud，选择Discovery/Collection：
在这里插入图片描述
填写用于扫描环境的用户 IBM API key，创建：

回到 Settings > Credentials 界面，可以观察到Credential已创建完成：

3. 安装配置Collector

Collector是用于采集被管理环境中配置和validation数据的程序，安装在虚拟机上，每个subnet需要安装一个。
Collector和SCC服务器之间的通信基于TLS 1.2+加密，collector每分钟发送heartbeat，作为回复，SCC服务器将发送需要collector执行的操作，比如discovery扫描。
Collector采用多种方法（包括API调用、SSH、Shell命令和Windows PowerShell）来连接到被采集数据的对象，使用我们在SCC UI上指定的具有读权限的Credential采集数据。对于私有云环境，Collector使用Nmap扫描和发现资源，此时使用SSH或等效工具连接到资源并查询配置。
采收集到数据后，Collector会验证控件，之后将结果发送到SCC存储和产生报告。
目前IBM Cloud Collector支持VPC Gen2虚机的数据采集，如果需要对Virtual Server for Classic infrastructure进行采集，需要安装on-prem collector。

创建Collector：
在这里插入图片描述
点击Collector名称，在弹出内容中，点击下载initiate_collector.sh文件。
记录Registration key，在安装Collector时需要用到。

SSH登录上文准备工作中创建的Linux虚机工作站，本文使用Ubuntu 18.04：
确保OS是Ubuntu最近版本：

# apt-get update
# yum install docker
# systemctl start docker
# apt-get install docker-compose

*（可选）如Collector是用于扫描内外环境，需要安装Nmap 7.6：[sudo] apt-get install nmap

上传initiate_collector.sh到虚机，增加执行权限，运行脚本安装collector：

# chmod +x initiate_collector.sh
# ./initiate_collector.sh

需要输入3个参数：

data文件夹，输入上文创建的目录名：/root/data
nmap validation 用于扫描防火墙后的数据源，如果有这类数据要采集请务必填y，否则填n。本文选n。
Registration Key来自上文Collector创建时拷贝保存的字符串：

在这里插入图片描述验证安装：

# docker ps

在这里插入图片描述
回到IBM Cloud console，Security and Compliance Center，Settings中显示出Collector的安装信息，状态已由“Ready to install”变为“Approval required”：
点击“Approval required“，Collector状态将顺序切换为Downloading>Inactive>Active，需等待时长有些许差异，本次测试大约是半分钟。
在这里插入图片描述

4. 创建Scope

在这里插入图片描述
设置环境访问参数，即上文配置的Collector和Credential：

系统扫描列出所有资源，选择需要进行安全合规性扫描的对象：

在这里插入图片描述

5. 扫描

扫描也需要Editor 或以上platform role。扫描类型包括：
在这里插入图片描述

可以从Scopes页面启动On-demand Scan：
在这里插入图片描述或Schedule定期扫描：

6. 查看扫描结果

扫描结果可以在Scopes、Scan页面，或Dashboard 上查看到。
针对Goal的结果可能是Pass, Failure, Unable to perform, Not applicable。
错误级别则有 Critical, High, Medium, 和 Low。
Dashboard上的评分Score是SCC按照各个扫描的重要性自动计算得出。

在这里插入图片描述
根据扫描结果，可以对资源的安全性设置进行相应调整。
下一篇将讨论 IBM SCC 其它的功能。

标签：Center,collector,Compliance,扫描,SCC,Security,Collector,Cloud,IBM
来源： https://blog.csdn.net/weixin_46707197/article/details/111522581