このページのトピック
カスタムルールとConformityルール
Trend Micro Cloud One™– Conformity は、次のルールを提供します。
- サポートされる Standards and Frameworks
- AWS、Azure、GCPで一般的に使用されているクラウドサービス
- 重大でリスクの高い脆弱性、および影響力の大きい脆弱性
ただし、組織によっては、標準ではConformityでサポートされていない特定の制御やポリシーが追加されている場合があります。いくつかの異なるメカニズムを使用して、独自のカスタムルールを開発および管理することができます。
カスタムRuleの種類
カスタムルールは、次の3つの方法で作成できます。
-
AWS Config Service (AWSアカウントのみ): AWS Configからの検出結果が取り込まれ、CS-001 - AWSカスタムRule を介してチェックとして表示されます。
-
Conformity Custom Checks API: 独自のカスタムコード関数を使用して、APIを介してチェックを直接作成および管理できます。
-
Conformity Custom Rules: Conformityには、Conformity検索と統合されたAPI管理のJSONカスタムルール機能が組み込まれています。 Conformityカスタムルールを使用すると、 Conformityによってすでに使用されているクラウドリソースデータに対してロジックをアサートするJSONスタイルのルールを作成できます。
比較
| Properties | Conformity Rules | AWS Config Rules | Custom Checks API | Conformity Custom Rules |
|---|---|---|---|---|
| 開発 | Conformityによって開発および管理されています。 | AWS Config Serviceを介してルールを管理します。 | Checks APIをトリガーするために、外部で操作される独自のコードを管理している | 独自のカスタムルールを管理し、API経由でConformityOrganizationに保存します。 |
| 実行 | Conformity Botによって実行されました。 | AWS Configによって実行されたルール、 Conformityによって取り込まれた検出結果 | 独自の外部コードによって完全に実行される | Conformity Bot によって実行され、「ドライラン」機能を使用して手動でテストできます。 |
| 設定 | ConformityRules settings ルール設定 | AWS Configサービス内で完全に管理 | 独自のコードを使用して完全に設定可能 | ConformityのJSONカスタムルールエンジンを使用して高度な設定が可能 |
| 動作 | 追加の設定を行うことなく、さまざまなクラウドのベストプラクティスの結果を迅速に生成します。 | AWS Config Serviceを使用すると、ルールをスクリプト化し、記録された設定を目的の属性に対して自動的に評価できます。スクリプト化されたAWS Configルールによって「Compliance Details」が生成されます。Conformityでは、これらの「Compliance Details」の「Evaluation Result」が使用され、各結果がチェックに変換されます。 詳細については、「 AWS Configルールの評価結果」を参照してください。 |
Conformityカスタムチェック (API経由) は、ユーザが開発した外部システムからConformityにプッシュされます。各チェックは、1つのカスタムルールに制限された「カスタム」ルールに属します。これらのカスタムルールには任意の名前またはサービスを付けることができますが、ルールIDは常にCUSTOM-で始まります。 詳細については、「ConformityカスタムチェックAPI 」を参照してください。 |
Conformiyカスタムルールは、JSONルールエンジンの実装を使用して柔軟なプラットフォームを提供し、 Conformityによってすでに使用されているクラウドリソースデータに対して実行されるカスタムロジックを作成します。任意のプロバイダまたはサービスに対してルールを作成できますが、ルールは、すでに有効なリソースデータに対してのみ実行できます。カスタムルールはAPI経由で管理します。 詳細については、「Conformityカスタムルールの概要」を参照してください。 |
| 実行コスト | 追加料金なし | 料金はAWS Service Configの料金設定 に基づきます。 | コストは、外部コードの性質によって異なります。 Conformityからの追加料金はありません | Conformityからの追加料金なし |
| メンテナンス工数 | 低 - 設定オプション | 中 - AWS Config内でルールセットを管理します。 | 高 - チェックをトリガーするコードを維持します。 | 中 - カスタムルールフレームワークは、高度なコーディングより簡単ですが、ConformityRule設定の管理よりも技術的です。 |
| 柔軟性 | 低 - ほとんどのルールは、標準の設定オプションですぐに実行できます。 | 中 - すべてのAWS Configルールオプションが使用可能 | 非常に高 - コードを実行するため、チェックの作成をトリガするプロセスに制限はありません。 | 中 - 利用可能なクラウドデータに基づいて、単一のリソースタイプに焦点を当てた柔軟なルールを作成します。 |