其他分享
首页 > 其他分享> > 使用IBM Cloud Security and Compliance Center 保障安全合规性(上篇)

使用IBM Cloud Security and Compliance Center 保障安全合规性(上篇)

作者:互联网

IBM Cloud® Security and Compliance Center安全和合规中心是IBM Cloud的平台级服务,提供3方面功能:
1 Security and compliance posture monitoring可用于IBM Cloud、Amazon Web Services、Microsoft Azure、Google云平台和内部部署环境。
2 资源治理Configuration governance:适用于IBM Cloud。
3 Gain Insight:由IBM Cloud Security Advisor提供。
在这里插入图片描述
在这里插入图片描述

IBM SCC主要模块与基本工作原理:
在这里插入图片描述
在这里插入图片描述
本文介绍使用IBM SCC对IBM Cloud用户使用的服务进行扫描和资源治理。
文中描述的各项操作需要如下先决条件:

1. 配置访问权限

IBM Cloud® Security and Compliance Center安全和合规中心的访问由Cloud Identity and Access Management(IAM)控制。必须为每个访问SCC的IAM用户分配角色(role)和访问策略(Access Policy),以确定用户可以执行哪些操作。
策略允许在不同级别授予访问权限,例如:

各项操作所需要的权限在官方文档中有具体介绍:
https://cloud.ibm.com/docs/security-compliance?topic=security-compliance-access-management

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2. 配置Credential

在这里插入图片描述
设定名称和简要描述,目前支持如下Credential类型:

选择Purpose时需要注意,Discovery/Collection是对目标环境进行扫描、采集各类配置数据,目前支持Remediation目前只支持AWS和MS Azure,在创建连接到其它云或者私有数据中心环境的Credential时可以忽略。
在此我们连接到IBM Cloud,选择Discovery/Collection:
在这里插入图片描述
填写用于扫描环境的用户 IBM API key,创建:
在这里插入图片描述
回到 Settings > Credentials 界面,可以观察到Credential已创建完成:
在这里插入图片描述

3. 安装配置Collector

Collector是用于采集被管理环境中配置和validation数据的程序,安装在虚拟机上,每个subnet需要安装一个。
Collector和SCC服务器之间的通信基于TLS 1.2+加密,collector每分钟发送heartbeat,作为回复,SCC服务器将发送需要collector执行的操作,比如discovery扫描。
Collector采用多种方法(包括API调用、SSH、Shell命令和Windows PowerShell)来连接到被采集数据的对象,使用我们在SCC UI上指定的具有读权限的Credential采集数据。对于私有云环境,Collector使用Nmap扫描和发现资源,此时使用SSH或等效工具连接到资源并查询配置。
采收集到数据后,Collector会验证控件,之后将结果发送到SCC存储和产生报告。
目前IBM Cloud Collector支持VPC Gen2虚机的数据采集,如果需要对Virtual Server for Classic infrastructure进行采集,需要安装on-prem collector。

创建Collector:
在这里插入图片描述
在这里插入图片描述在这里插入图片描述点击Collector名称,在弹出内容中,点击下载initiate_collector.sh文件。
记录Registration key,在安装Collector时需要用到。

SSH登录上文准备工作中创建的Linux虚机工作站,本文使用Ubuntu 18.04:
确保OS是Ubuntu最近版本:

# apt-get update
# yum install docker
# systemctl start docker
# apt-get install docker-compose

*(可选)如Collector是用于扫描内外环境,需要安装Nmap 7.6:[sudo] apt-get install nmap

上传initiate_collector.sh到虚机,增加执行权限,运行脚本安装collector:

# chmod +x initiate_collector.sh
# ./initiate_collector.sh

需要输入3个参数:

在这里插入图片描述验证安装:

# docker ps

在这里插入图片描述
回到IBM Cloud console,Security and Compliance Center,Settings中显示出Collector的安装信息,状态已由“Ready to install”变为“Approval required”:
在这里插入图片描述点击“Approval required“,Collector状态将顺序切换为Downloading>Inactive>Active,需等待时长有些许差异,本次测试大约是半分钟。
在这里插入图片描述

4. 创建Scope

在这里插入图片描述
设置环境访问参数,即上文配置的Collector和Credential:
在这里插入图片描述
系统扫描列出所有资源,选择需要进行安全合规性扫描的对象:

在这里插入图片描述
在这里插入图片描述

5. 扫描

扫描也需要Editor 或以上platform role。扫描类型包括:
在这里插入图片描述

可以从Scopes页面启动On-demand Scan:
在这里插入图片描述或Schedule定期扫描:
在这里插入图片描述在这里插入图片描述

6. 查看扫描结果

扫描结果可以在Scopes、Scan页面,或Dashboard 上查看到。
针对Goal的结果可能是Pass, Failure, Unable to perform, Not applicable。
错误级别则有 Critical, High, Medium, 和 Low。
Dashboard上的评分Score是SCC按照各个扫描的重要性自动计算得出。

在这里插入图片描述
在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述根据扫描结果,可以对资源的安全性设置进行相应调整。
下一篇将讨论 IBM SCC 其它的功能。

标签:Center,collector,Compliance,扫描,SCC,Security,Collector,Cloud,IBM
来源: https://blog.csdn.net/weixin_46707197/article/details/111522581