使用IBM Cloud Security and Compliance Center 保障安全合规性(上篇)
作者:互联网
IBM Cloud® Security and Compliance Center安全和合规中心是IBM Cloud的平台级服务,提供3方面功能:
1 Security and compliance posture monitoring可用于IBM Cloud、Amazon Web Services、Microsoft Azure、Google云平台和内部部署环境。
2 资源治理Configuration governance:适用于IBM Cloud。
3 Gain Insight:由IBM Cloud Security Advisor提供。
IBM SCC主要模块与基本工作原理:
本文介绍使用IBM SCC对IBM Cloud用户使用的服务进行扫描和资源治理。
文中描述的各项操作需要如下先决条件:
- IBM Cloud 账户:Pay-As-You-Go 或 Subscription类型账户,当前用户是owner 或具备完全的
Administrator 权限。 - 需要进行安全合规性扫描和评估的对象,比如对象存储、VSI、k8s集群;
- 准备虚机用以安装Collector:2vCPU 4GB RAM,Boot volume有 50 GB 以上可用空间。可以是 Red Hat Enterprise Linux, CentOS, 或 Ubuntu 18.x任一,本文使用Ubuntu 18.04。Profile: cx2-2x4 (2 vCPUs, 4 GB RAM, and 4GBPS)。
1. 配置访问权限
IBM Cloud® Security and Compliance Center安全和合规中心的访问由Cloud Identity and Access Management(IAM)控制。必须为每个访问SCC的IAM用户分配角色(role)和访问策略(Access Policy),以确定用户可以执行哪些操作。
策略允许在不同级别授予访问权限,例如:
- 管理Profiles和Controls
- 查看安全性和合规性状态与报告
- 管理资源使用规则
各项操作所需要的权限在官方文档中有具体介绍:
https://cloud.ibm.com/docs/security-compliance?topic=security-compliance-access-management
2. 配置Credential
设定名称和简要描述,目前支持如下Credential类型:
- AWS Cloud
- Azure Cloud
- GCP Cloud
- IBM Cloud
- Database
- Username - password
- Username - PEM
- Windows authentication
选择Purpose时需要注意,Discovery/Collection是对目标环境进行扫描、采集各类配置数据,目前支持Remediation目前只支持AWS和MS Azure,在创建连接到其它云或者私有数据中心环境的Credential时可以忽略。
在此我们连接到IBM Cloud,选择Discovery/Collection:
填写用于扫描环境的用户 IBM API key,创建:
回到 Settings > Credentials 界面,可以观察到Credential已创建完成:
3. 安装配置Collector
Collector是用于采集被管理环境中配置和validation数据的程序,安装在虚拟机上,每个subnet需要安装一个。
Collector和SCC服务器之间的通信基于TLS 1.2+加密,collector每分钟发送heartbeat,作为回复,SCC服务器将发送需要collector执行的操作,比如discovery扫描。
Collector采用多种方法(包括API调用、SSH、Shell命令和Windows PowerShell)来连接到被采集数据的对象,使用我们在SCC UI上指定的具有读权限的Credential采集数据。对于私有云环境,Collector使用Nmap扫描和发现资源,此时使用SSH或等效工具连接到资源并查询配置。
采收集到数据后,Collector会验证控件,之后将结果发送到SCC存储和产生报告。
目前IBM Cloud Collector支持VPC Gen2虚机的数据采集,如果需要对Virtual Server for Classic infrastructure进行采集,需要安装on-prem collector。
创建Collector:
点击Collector名称,在弹出内容中,点击下载initiate_collector.sh文件。
记录Registration key,在安装Collector时需要用到。
SSH登录上文准备工作中创建的Linux虚机工作站,本文使用Ubuntu 18.04:
确保OS是Ubuntu最近版本:
# apt-get update
# yum install docker
# systemctl start docker
# apt-get install docker-compose
*(可选)如Collector是用于扫描内外环境,需要安装Nmap 7.6:[sudo] apt-get install nmap
上传initiate_collector.sh到虚机,增加执行权限,运行脚本安装collector:
# chmod +x initiate_collector.sh
# ./initiate_collector.sh
需要输入3个参数:
- data文件夹,输入上文创建的目录名:/root/data
- nmap validation 用于扫描防火墙后的数据源,如果有这类数据要采集请务必填y,否则填n。本文选n。
- Registration Key来自上文Collector创建时拷贝保存的字符串:
验证安装:
# docker ps
回到IBM Cloud console,Security and Compliance Center,Settings中显示出Collector的安装信息,状态已由“Ready to install”变为“Approval required”:
点击“Approval required“,Collector状态将顺序切换为Downloading>Inactive>Active,需等待时长有些许差异,本次测试大约是半分钟。
4. 创建Scope
设置环境访问参数,即上文配置的Collector和Credential:
系统扫描列出所有资源,选择需要进行安全合规性扫描的对象:
5. 扫描
扫描也需要Editor 或以上platform role。扫描类型包括:
可以从Scopes页面启动On-demand Scan:
或Schedule定期扫描:
6. 查看扫描结果
扫描结果可以在Scopes、Scan页面,或Dashboard 上查看到。
针对Goal的结果可能是Pass, Failure, Unable to perform, Not applicable。
错误级别则有 Critical, High, Medium, 和 Low。
Dashboard上的评分Score是SCC按照各个扫描的重要性自动计算得出。
根据扫描结果,可以对资源的安全性设置进行相应调整。
下一篇将讨论 IBM SCC 其它的功能。
标签:Center,collector,Compliance,扫描,SCC,Security,Collector,Cloud,IBM 来源: https://blog.csdn.net/weixin_46707197/article/details/111522581