IBM Cloud Security and Compliance Center(SCC)を触ってみたの続きです。今回は、LinuxサーバーをSCCでスキャンしたいと思います。
#1. Credential情報を登録
ID/Password方式だけでなく、SSH秘密鍵を使ったアクセスもサポートされている。今回はLinuxにアクセスする際の秘密鍵をPEMファイルとして登録している。
#2. Scopeの設定
- 2020/10/1現在、Environmentとして
IBMを選んでもVSIのDiscoveryができない。近いうちにVPC上のVSIはDiscoveryできるようになるようだが、VPC/Classic Infrastrucutre含めて、現状構成するにはOnPremを選択する必要がある。
ここで、Scan対象のサーバーを定義するResource listとして以下のようなjsonファイルを指定する。IPアドレス部分のみを書き換えて利用する。当然このIPアドレスは、CollectorからIP reachableである必要がある。
dis.json
{
"data": [
{
"resource": "subnet",
"resource_type": "switch",
"facts": "",
"fact_status": {
"message": "",
"status": ""
},
"resource_category": "network_resource",
"children": [
{
"resource": "linux",
"resource_type": "os",
"facts": "",
"fact_status": {
"message": "",
"status": ""
},
"resource_category": "host",
"scope_id": "",
"discovery_status": {
"message": "",
"status": "PASS"
},
"resource_attributes": {},
"properties": {
"public_ip": "",
"OS": [
"Linux"
],
"category": [
"Host"
],
"env_type": "ONPREM",
"private_ip": "10.0.0.12",
"ports": {}
},
"object": "vm"
}
],
"scope_id": "10.0.0.0/24",
"discovery_status": {
"message": "",
"status": "PASS"
},
"resource_attributes": {},
"properties": "",
"object": "subnet"
}
]
}
- 以下のように無事登録が完了したら、
Update Scopeを選択して完了。
#3. ScopeにMapping Credentialを設定
DiscoveryされているIPアドレスに、どのCredentialを使ってアクセスするかを指定する。
- Mapping Credentialを選択
- Criteriaは
IP=xx.xx.xx.xxで指定。指定方法は以下のやり方がある。- IP=ipaddr
- IP=ipaddr1,ipadd2,ipaddrN
- IP=ipaddr1-endingAddress (i.e. IP=10.240.128.4-10)
- また、そのままcloseボタンを押すと保存されないので、必ず緑のチェックボックスを選択すること!
- 保存された状態。これでcloseする。
#4 スキャンの実施
前回はSchedule Scanを利用したが、今回は1回だけお試しでスキャンを実施する。
-
Validate Scopeを選択
- スキャン対象とするプロファイルを選択して、
Start Validationを実施
- Validationの実行中
- Validationの完了
#5 結果の確認(CIS - Linux Hardening)
#6 参考
同様の操作で他のプロファイルを使ってスキャンを試してみた。
- PCI-DSS 3.2のスキャン結果。
- GDPRのスキャン結果。
- NISTのスキャン結果。
- ISO27001のスキャン結果。
