ビュー:
2021年10月8日、Conformity—以下の機能と更新が2021年10月8日にConformityにリリースされました。
Google Cloud Platform (GCP) のプレビューが利用可能になりました!
Google Cloud ProjectsをConformityにクラウドアカウントとしてオンボードし、スキャンしてチェックを生成できるようになりました。プレビュー期間中にConformityにオンボードされたすべてのGCPプロジェクトは無料で監視されます。プレビューリリースに含まれるルールについては、以下のルールセクションを参照してください。詳細は、GCPアカウントの追加を参照してください。
標準とコンプライアンスレポート
  • CIS AWS Foundations v1.3コンプライアンス標準レポートをExcelバージョンを含めてサポートするようになりました。
  • Azure向けのNISTサイバーセキュリティフレームワーク準拠報告も追加しました。
新しいルール開始日
組織設定とアカウント設定の両方で新しいルール開始日をカスタマイズできるようになりました。この設定日以降にリリースされたルールは、新しいルールとして扱われます。
レポート概要をPNGとしてダウンロード
ダッシュボード > 概要からレポートサマリーをPNG画像としてダウンロードできます。設定済みレポートの横にある三点リーダーをクリックし、PNGをエクスポートします。
CSVレポートの更新
CSVレポートにはチェックIDとリソースへのリンクフィールドが含まれるようになります。
チェックAPIの更新
Checks APIに`consistentPagination`パラメーターが追加されました。これをfalseに設定すると、ページネーション時の一貫性を犠牲にしてパフォーマンスを向上させることができます。
サービスAPIでRTMルールをフィルタリング
v1/services APIを更新して、RTMでサポートされているルールを示しました。v1/servicesエンドポイントの応答を解析してRTMルールをフィルタリングするための'jq'コマンドの使用例を以下に示します。
```
curl https://ap-southeast-2.cloudconformity.com/v1/services > conformityservices.json
cat conformityservices.json | jq '.included[] | select(.attributes.rtm==true)' > rtmrules.json
```
脅威監視セクションで監視されていないすべてのアカウントを表示
Conformityは、以前は最大10アカウントのみを表示していましたが、現在はThreat MonitoringセクションでRTMによって監視されていないすべてのアカウントを表示します。
カスタムポリシーの更新
Conformity Botの更新
  • 顧客リソースの変更なしでスロットリングによる重複通知や誤検知を防ぐために、Conformity Botを改善しました。この改善を、EC2、Route-53、VPC、IAM、KMS、CWL、Inspector、Trusted Advisor、Sheild、EMR、WAF、Lambda、Organisations、Cloud Conformity、Secrets Manager、BackUp、Well-ArchitectedのいくつかのAWSルールに適用しました。
新しいルール
次の新しいルールは、Google Cloud PlatformのConformityへのプレビューリリースで利用可能になります。
  • CloudSQL-002: Cloud SQLデータベースインスタンスの自動バックアップを有効にする: このルールは、Cloud SQLデータベースインスタンスが自動バックアップで構成されていることを保証します。
  • CloudSQL-003: Cloud SQLデータベースインスタンスの高可用性を有効にする: このルールは、選択されたクラウドリージョン内の別のゾーンに自動的にフェイルオーバーするように、運用SQLデータベースインスタンスが設定されていることを保証します。
  • BigQuery-001: 公開アクセス可能なBigQueryデータセットの確認: このルールは、公開アクセス可能なGoogle Cloud BigQueryデータセットを確認します。
  • CloudStorage-001: 公開アクセス可能なクラウドストレージバケットの確認: このルールは、Google Cloud Platform (GCP) アカウント内に公開アクセス可能なクラウドストレージバケットがないことを確認します。
  • CloudVPC-001: 無制限のRDPアクセスをチェック: このルールは、TCPポート3389 (RDP) への無制限のインバウンドアクセスを許可するVPCファイアウォールルールがないことを確認します。
  • CloudVPC-002: 無制限のSSHアクセスをチェック: このルールは、VPCファイアウォールルールがTCPポート22 (SSH) で無制限のインバウンドアクセスを許可しないことを保証します。
  • CloudVPC-003: VPCサブネットのVPCフローログを有効にする: このルールは、すべてのVPCネットワークサブネットでVPCフローログ機能が有効になっていることを確認します。
  • CloudIAM-001: サービスアカウントの管理者アクセスを制限: このルールは、ユーザー管理のサービスアカウントが管理者ベースのロールを使用していないことを保証します。
  • ComputeEngine-001: パブリックIPアドレスを持つ仮想マシンインスタンスのチェック: このルールは、Google Compute Engineインスタンスが外部IPアドレスを持たないように構成されていることを確認し、インターネットへの露出を最小限に抑えることを保証します。
  • CloudKMS-001: 公開アクセス可能なCloud KMSキーのチェック: このルールは、Google Cloudアカウント内で公開アクセス可能なKMS暗号鍵が存在しないことを確認します。
ルールアップデート
  • RTM-009: VPCネットワーク構成の変更: このルールは、ARNに基づいてユーザーの許可リストをサポートするようになり、このリストに追加されたユーザーに対してチェックが生成されません。サポートされているユーザータイプはIAMUser、AssumedRole、FederatedUserです。
  • VPC-015: 無効なネットワークACLのDENYルール: より高い優先度のALLOWルールによってDENY NACLルールが無効になる場合、ルールの失敗を生成するようにこのルールを更新しました。
  • Route53-003: Route 53ドメイン転送ロック: このルールは、以下のトップレベルドメインに対してAWSが転送ロックをサポートしていないため、これらのドメインの転送ロック状態をチェックしないように更新されました。
  • ".ch"
  • “.co.nz”
  • “.co.za”
  • “.com.ar”
  • “.com.au”
  • “.de”
  • ".es"
  • ".eu"
  • ".fi"
  • 1“.fr”
  • “.jp”
  • “.net.au”
  • ".net.nz"
  • “.nl”
  • “.it”
  • ".org.nz"
  • ".qa"
  • ".ru"
  • “.se”
  • ".uk"
  • 新規とラベル付けされたルールは最近追加に更新されました。
ルールのバグ修正
  • 以下のVPCネットワークACLルールは、共有VPCをスキャンせず、チェックを生成しなくなります
  • VPC-010: ネットワークACLの送信トラフィックが無制限
  • VPC-011: ネットワークACLの受信トラフィックが無制限
  • VPC-015: 無効なネットワークACLのDENYルール
  • VPC-017: リモートサーバー管理ポートへの無制限の受信トラフィック
  • 以下のルールに対して誤検知が発生しないようにバグを修正しました。
  • SNS-006 - SNSトピックが暗号化されました
  • SNS-007 - SNSトピックがKMSカスタマーマスターキーで暗号化されています