カスタムルールとConformityルール
Trend Micro Cloud One™– Conformity は、次のルールを提供します。
- サポートされる Standards and Frameworks
- よく使用されるクラウドサービス
- AWSのセキュリティとガバナンスのベストプラクティスの一般かつ広範囲にわたる説明
- 重大でリスクの高い脆弱性、および影響力の大きい脆弱性
リストは常に拡大していますが、組織によっては、 Conformityでまだサポートされていない特定の制御やポリシーを使用している場合があります。このようなインスタンスについては、独自のカスタムルールを開発、ホスト、および管理して、 Conformityにインポートすることができます。
カスタムルールは次の方法で作成できます。
-
AWS Config サービス
-
Conformity Custom Checks APIを使用したカスタムLambda関数
-
Conformity カスタムルール
カスタムルールと Conformity ルール
| 違い | カスタムルール | Conformity Rules |
|---|---|---|
| 開発ライフサイクルの視点 | 自分で開発し、それらのルールのメンテナンスと有効性を管理する必要があります。 | Conformityによって開発および管理されています。 |
| 実行 | Conformity 環境外で実行されます(AWSアカウントの Lambda関数 、またはEC2インスタンスで実行されているアプリケーションなど)。 | Conformity AWS環境内の Conformity Bot で実行されます。 |
| 鮮度 | Conformity の外部で制御され、いつでも更新できます。 | Conformity Bot の実行ごとに実行します。 |
| コスト | コストは、 AWS Service Configの料金 、または独自のカスタムルールの実装方法と実行方法に基づいています。 | 顧客に追加のコストを追加しません。 |
Conformity で新しいルールをサポートする場合は、「 カスタムルールの概要」を参照してください。
AWS Config サービスと Conformity Custom Checks API
| 違い | AWS Config サービス | Conformity Custom Checks API |
|---|---|---|
| 挙動 | AWS Config サービス を使用すると、ルールのスクリプトを作成し、目的の属性に対する記録された設定の評価を自動化できます。スクリプト化された AWS Config ルールにより、「Compliance Details」が生成されます。Conformity は、これらの「Compliance Details」から「Evaluation Result」を取得し、それぞれをチェックに変換します。 詳細については、AWS Config Rulesの評価結果を参照してください。 |
クラウド Conformity カスタム Checks (API経由)は、ユーザが開発した外部システムから Conformity にプッシュされます。各チェックは「カスタム」ルールに属しており、複数のカスタムルールを設定できます。これらのカスタムルールには任意の名前またはサービスを使用できますが、ルールIDは常に ** CUSTOM-**で始まります。 詳細については、「 Conformity Custom Checks API」を参照してください。 |
| 環境 | AWSインフラストラクチャ内にある場合、ルールをスクリプト化して実行できます。 | AWSインフラストラクチャ内にある場合、ルールをスクリプト化して実行できます。 |
| 複雑さ | ルールは、クロスリソースタイプまたはクロスアカウントロジックに対応するように構築されていません。 | ルールはリソースをまたがる種類またはアカウントをまたぐロジックをサポート |
| 実行コスト | AWS Config サービスは、ユースケースやアカウント数によっては、多数のアカウントを持つ小規模な組織では非常に高額になることがあります。 | 顧客に追加コストはかかりません。 |
| メンテナンスコスト | AWS Config サービスルールはAWS管理の環境内で実行されるため、追加のメンテナンスコストはかかりません。 | API経由で作成されたカスタムルールには追加のメンテナンスコストはかかりません。 |