3
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

IBM Cloud Security and Compliance Center(SCC): ガバナンスルールへの準拠状況を確認する

Last updated at Posted at 2020-10-06

(2021/03/18に最新情報に更新しました)

はじめに

IBM Cloud Security and Compliance Center(SCC)の利用例として、

を紹介しました。これは、現行環境が定められたセキュリティー・コンプライアンスに従っているかどうかをチェックするというものでした。
これとは別に、SCCにはあるルールを定め、そのルールに反しているリソースを検出し、またそのルールに反するリソースを作成しようとするとブロックしたりActivity Trackerにログを残すというガバナンスを効かせる機能があります。

https://cloud.ibm.com/docs/security-compliance?topic=security-compliance-overview#config-governance
image.png

ここで、ルールについてもう少し詳細に説明します。

  • JSONで記述する。
  • 以下の3要素から構成する
    • target: 対象のサービス・リソースを指定する。service_nameはCRNのネーミングに厳密に従う必要があるため、例えばibmcloud catalog service-marketplace -rc|awk '{print $2}'の名称と一致している必要がある。
    • required_config: 条件を指定する。
      • 一般的には、property(リソース構成変数)/operator(演算子)/value(値)からなる要素の真偽を判定する。
      • 利用可能なpropertyは対象サービスによって異なる。詳細はこちら
      • 利用可能なoperator一覧はこちら
      • 複数の条件をANDやORで書いたりネストして書いたりすることも可能。詳細はこちら
    • enforcement_actions: 定義した条件を満たさなかった場合のアクションを指定する。

image.png

以下では、IBM Cloud docsに記載の通りのconfigを実際に試してみたいと思います。

1. Ruleの作成

  • Configure rules -> Create
    image.png

  • Name, Description, Labelに適当なものを代入。
    image.png

  • ServiceとしてCloud Object Storageを選択すると、テンプレートが用意されるのでこれを修正して利用する。

    -image.png

snippet
{
  target: {
   service_name: 'cloud-object-storage',
   resource_kind: 'bucket',
   additional_target_attributes: []
 },
 required_config: {
   description: 'Check whether my bucket is accessible by using only private endpoints.',
   and: [
     {
       property: 'firewall.allowed_ip',
       operator: 'ips_in_range',
       value: ['10.0.0.0/8','172.16.0.0/12','118.7.75.0/24'] 
     }
   ]
 }
}
  • Enforcement Action(リソース作成・更新時のアクション)を設定。
    image.png

  • まとめ
    image.png

以上にてルールが作成された。

2. スコープの設定

このルールを適用するスコープを指定する。

  • Attachを押下
    image.png

  • Scopeを指定して、Attachを押下
    image.png

3. ガバナンス準拠状況の結果

  • 表示されない(24時間待つ・・・!?)
    image.png
  • 半日以上待った結果。このアカウントでのPublic access groupenabledなので、確かに設定したポリシーに反している。
    image.png
  • 結果の詳細
    image.png
  • リソース詳細(1)
    image.png
  • リソース詳細(2)
    image.png
  • history情報
    image.png

4. Enforcement actionsの確認

以下のように、Authorized IPを追加してみる。
image.png

10.212.0.0/24の追加 -> 成功
118.7.75.128/30の追加 -> 成功
192.168.0.0/24の追加 -> 失敗
image.png

残念ながら、2020/10/5時点ではSCC上の本機能は非常に限られており、

  • IBM Cloud上のリソースしか制御できない。
  • 1日に1回しかScanが発生しない(Scanタイミングも制御できない)
  • IAM Access Groupsでの検出できる構成は現状private_network_onlyのみ。またアカウント全体にしか適用できない(そもそも本設定にはリソースグループという概念がないので。影響範囲が大きいため、おいそれとはテストしづらい)。
    image.png
  • Certification Managerではリソースグループごとに適用でき、private_network_onlyのルールに遵守しているかどうかは検出できるが、許可・ブロックのアクションを強制させることができない。

という様々な制約があります。今後の拡充を期待したいところですが、何はともあれIAM Access Groupでのprivate_network_onlyの検出について試してみたいと思います。

Config Template

[root@syasudacentos7 ~]# ibmcloud resource service-instance "Cloud Object Storage-SYASUDA"
Retrieving service instance Cloud Object Storage-SYASUDA in all resource groups under account IBM as shiyasu@jp.ibm.com...
OK

Name:                  Cloud Object Storage-SYASUDA
ID:                    crn:v1:bluemix:public:cloud-object-storage:global:a/039dbe6794084c7cb514a276dd2345da:2c66d594-86d5-4a50-ba34-cedb18fe3126::
GUID:                  2c66d594-86d5-4a50-ba34-cedb18fe3126
Location:              global
Service Name:          cloud-object-storage
Service Plan Name:     standard
Resource Group Name:   yasuda
State:                 active
Type:                  service_instance
Sub Type:
Created at:            2019-03-27T13:40:04Z
Created by:            shiyasu@jp.ibm.com
Updated at:            2019-03-27T13:40:04Z


[root@syasudacentos7 ~]# ibmcloud cos buckets --ibm-service-instance-id crn:v1:bluemix:public:cloud-object-storage:global:a/039dbe6794084c7cb514a276dd2345da:2c66d594-86d5-4a50-ba34-cedb18fe3126::
OK
7 buckets found in your account:

Name                       Date Created
mybucket-ussouth-test002   Mar 19, 2021 at 02:07:15
mybucket102                Mar 27, 2019 at 13:42:38
mybucket103                Mar 28, 2019 at 04:15:53
mybucket104                Apr 11, 2019 at 04:14:02
mybucket105                Jun 27, 2019 at 00:00:19
mybucket106                Oct 02, 2019 at 02:39:06
mybucket107                Jun 20, 2020 at 06:49:17


3
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
3
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?