LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@Riku_Nitta(新田 陸)

IBM Cloud PowerVSへのSCCWPの導入方法

Last updated at Posted at 2025-05-20

はじめ

従来クラウド環境がコンプライアンスに準拠しているか確認するために、セキュリティチェックシートに記載することで確認する方法が一般的でしたが、近年新たなコンプライアンスチェックとしてCSPM(Cloud Security Posture Management)と呼ばれるクラウドリソース監視が登場しました。
特徴としてクラウド上のリソースをリアルタイムで自動的に監視、コンプライアンスチェックが可能です。

IBM CloudではCSPMのソリューションとしてSCCWP(IBM Cloud Security and Compliance Center Workload Protection)が2023年4月から利用可能になりました。

2025年1月よりPowerVSのAIX環境にも対応され、PowerVSのコンプライアンス管理も可能になりましたので、本稿ではPowerVSのAIX環境にSCCWPエージェントを導入方法について記載します。

本稿の手順はdocsを参考に作成しています。

SCCWPとは

IBM Cloud Security and Compliance Center Workload Protectionはソフトウェアの脆弱性の検出と優先順位付け、脅威の検出と対応、およびソースから実行までの構成、権限、およびコンプライアンスの管理を行うことができるIBM Cloudのソリューションです。

あらゆるプラットフォームにおいて、脆弱性の特定、コンプライアンスとパーミッションの検証、ランタイムの脅威のブロック、インシデントへの迅速な対応を容易にします。

対応プラットフォーム
クラウドまたはオンプレ、ホスト、VM、コンテナ、OpenShift/Kubernetes、PowerVS

また、SCCWPにはCSPM以外にも以下の機能が利用可能です。

  • 脆弱性管理
  • サーバーのエンドポイント検出と応答(EDR)
  • Kubernetes Workload Protection およびネットワーク・セグメンテーション (CWPP)
  • インシデントレスポンスとフォレンジック

より詳しい情報としてはこちらのdosを参照ください。

構成手順

本稿では以下の構成図の接続環境を想定しています。

スクリーンショット 2025-05-21 10.32.23.png

Private OnlyのPowerVSに対し、SCCWPエージェントをインストールし、SCCWPのダッシュボードから確認できることを目標に構築を実施します。

構成手順は以下のとおりです。

  1. PowerVSへのエージェントの導入
  2. SCCWPダッシュボードからPowerVSの確認

事前準備

事前に以下の環境はあるものとします。

  • PowerVSインスタンス(2core, 4GB, AIX, jp-tok, private only)
  • 踏み台サーバー(2core, 4GB, centOS, jp-tok)
  • SCCWPインスタンス(jp-tok)
  • Transit Gateway

また、PowerVSにエージェントを入れるためにはSCCWPのアクセスキーが必要になります。
アクセスキーはポータルのSCCWPメニュー右上のアクションから鍵の管理を選択することで確認可能です。

スクリーンショット_2025-05-20_14_50_48.png

アクセスキーがREACTEDと表示される場合は権限不足でアクセスキーが確認できていません。
こちらに従ってエージェント・インストールの非表示設定をオフにするか、操作するユーザーに管理者権限を付与してください。

スクリーンショット 2025-05-20 14.51.02.png

1. PowerVSへのエージェントの導入

ターミナルからSSHでPowerVSインスタンスにアクセスして操作を実施します。

1. エージェントのバイナリをダウンロード

SCCWPのエージェントインストールに必要なバイナリーをダウンロードします。

$ curl https://s3.us-east-1.amazonaws.com/download.draios.com/dependencies/kspm-analyzer/1.44.17/kspm-analyzer-aix-ppc64 -o /tmp/kspm-analyzer-aix-ppc64

curlが使用できない場合や外部アクセスができない場合はローカルPCもしくは踏み台サーバーにダウンロードし、SCPコマンド等でPowerVSインスタンスに転送してください。

2. サービスの構成

1でダウンロードしたバイナリを元にkspm_analyzerという名前でサービスを構成します。

$ mkssys -p /tmp/kspm-analyzer-aix-ppc64 -s kspm_analyzer -u 0 -e /tmp/kspm-analyzer.log -i /tmp/kspm-analyzer.log -o /tmp/kspm-analyzer.log
The kspm_analyzer Subsystem has been added.

-i, -o オプションによってログの出力を/tmp/kspm-analyzer.logに指定しています。

3. ファイルの権限変更

/tmp/kspm-analyzer-aix-ppc64の権限を変更し、ファイルを実行できるようにします。

$ chmod +x /tmp/kspm-analyzer-aix-ppc64

4. サービスの開始

2で構成したサービスを開始します。

$ startsrc -s kspm_analyzer -e 'NODE_NAME=<HOSTNAME> API_ENDPOINT=<REGION>.security-compliance-secure.cloud.ibm.com ACCESS_KEY=<ACCESS KEY>'
The kspm_analyzer Subsystem has been started. Subsystem PID is xxxxxx

-e オプションによって環境を指定します。NODE_NAMEはSCCWPで表示されるインスタンス名となり、API_ENDPOINTは文字通りSCCWPのあるリージョンのAPI Endpointを入力します。
ACCESS_KEYでは事前準備で入手したSCCWPのアクセスキーを入力します。

例として東京リージョンにPVS_TESTという名前で表示するには以下のコマンドを実行します。

$ startsrc -s kspm_analyzer -e 'NODE_NAME=PVS_TEST API_ENDPOINT=private.jp-tok.security-compliance-secure.cloud.ibm.com ACCESS_KEY=<ACCESS KEY>'

パブリックエンドポイントを利用する場合は以下のコマンドです。

$ startsrc -s kspm_analyzer -e 'NODE_NAME=PVS_TEST API_ENDPOINT=jp-tok.security-compliance-secure.cloud.ibm.com ACCESS_KEY=<ACCESS KEY>'

各リージョンのAPI Endpointはこちらからご確認ください。

5. サービスの起動時設定の構築

サーバーを再起動した後にもエージェントが動くように設定します。

$ mkitab "fkcmd:2:respawn:startsrc -s kspm_analyzer -e 'NODE_NAME=<HOSTNAME> API_ENDPOINT=private.<REGION>.security-compliance-secure.cloud.ibm.com ACCESS_KEY=<ACCESSKEY>'"

パブリックエンドポイントを利用する場合はこちらです。

$ mkitab "fkcmd:2:respawn:startsrc -s kspm_analyzer -e 'NODE_NAME=<HOSTNAME> API_ENDPOINT=<REGION>.security-compliance-secure.cloud.ibm.com ACCESS_KEY=<ACCESSKEY>'"

6. サービスの実行確認

最後にサービスが動いているか確認するために2で設定したログファイルを確認します。

$ cat /tmp/kspm-analyzer.log
{"level":"info","ts":"2025-05-19T03:34:18.158-0500","msg":"Serving requests","addr":":12000"}
{"level":"info","ts":"2025-05-19T03:34:18.871-0500","msg":"Starting up","agent":"nodeanalyzer","sourceName":"PVS_TEST","sourceType":"host","node":"PVS_TEST","buildVersion":"","platform":"AIX ()","nodeName":"PVS_TEST","namespace":"sysdig","natsURL":"wss://private.jp-tok.security-compliance-secure.cloud.ibm.com:443","runtime":"aix/ppc64"}
...

ログを見ると4で設定したNODE NAMEなどが確認できます。

2. SCCWPダッシュボードからPowerVSの確認

実際にSCCWPのダッシュボードからPowerVSの環境が見れるか確認します。
まずSCCWPのダッシュボードを開き、左側のInventoryを選択します。

スクリーンショット_2025-05-20_17_48_17.png

InventoryにはSCCWPで監視しているリソースが一覧で表示されます。

この中からエージェントを追加したPowerVSを探します。
左側のFeatured FiltersからAIXを選択、もしくは上側のAdd FilterでNode Nameを検索(今回はPVS_TEST)することでリソースをフィルターすることができます。

スクリーンショット_2025-05-20_17_48_28.png

エージェントを追加したリソースを見つけたら選択してみると、PowerVSの構成やポリシーに準拠しているか等を確認することができます。

スクリーンショット_2025-05-20_17_55_09.png

スクリーンショット_2025-05-20_17_55_27.png

注意
Inventoryは1日ごとに更新されるため、すぐに反映されません。

まとめ

本稿ではSCCWPで新しく利用可能となったPowerVS環境にエージェントを入れる手順を記載しました。

まだ、他の対応サービス(IKS, VSI for VPC等)に比べると機能自体は少ないですが、近いうちに機能が追加されるかと思います。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?