最近公司加强了在公有云上使用服务中的合规性要求,借此机会测试了一下 IBM Cloud 平台上提供的服务 Security and Compliance Center 安全和合规中心的功能。
先说说整体感觉,功能上比较全面,安全合规的模型、各种云资源,比如对象存储,docker image 等等,应该检查什么,基本上都有默认的参数集,能看出 IBM 在企业安全合规性方面的积累,已经包装呈现在了共有云平台上。很多配置参数也可以自定义。然后,这个服务是免费的,呵呵,最美不过白薅。
IBM Cloud Security and Compliance Center 的平台级服务,提供3方面功能:
1 Security and compliance posture monitoring可用于IBM Cloud、Amazon Web Services、Microsoft Azure、Google云平台和传统私有云部署环境。
2 资源治理Configuration governance:适用于IBM Cloud资源集的检查条件自定义。
3 Gain Insight:由IBM Cloud Security Advisor提供。
本文分上下两篇分享我的试用,上篇描述第1项主要功能,即对账号下指定的资源集进行扫描;下篇介绍其它主要功能,包括 IBM SCC 常用的配置和自定义,以及安全合规性Insight检查。
IBM SCC主要模块与基本工作原理:
本文介绍使用IBM SCC对IBM Cloud用户使用的服务进行扫描和资源治理。
文中描述的各项操作需要如下先决条件:
- IBM Cloud 账户:Pay-As-You-Go 或 Subscription类型账户,当前用户是owner 或具备完全的
Administrator 权限。 - 需要进行安全合规性扫描和评估的对象,比如对象存储、VSI、k8s集群;
- 准备虚机用以安装Collector:2vCPU 4GB RAM,Boot volume有 50 GB 以上可用空间。可以是 Red Hat Enterprise Linux, CentOS, 或 Ubuntu 18.x任一,本文使用Ubuntu 18.04。Profile: cx2-2x4 (2 vCPUs, 4 GB RAM, and 4GBPS)。