2022年5月17日、Conformity—2022年5月17日のConformityの最新リリースで以下の更新と機能が利用可能になりました。
新機能
- メインダッシュボードのコンプライアンスレベル比較セクションの下にある注記を更新し、比較に含まれる未完了およびオンボードされたアカウントの数を明確に表示しました。
バグ修正
- RTMでRead OnlyユーザーがConfigure Rulesボタンを表示できるバグを修正しました。このボタンは、認可されたユーザーのみが表示できるようになりました。
- Azureチェックの抑制が成功した後にエラーを返すバグを修正しました。
カスタムポリシーの更新
新しい展開によるカスタムポリシーの変更はありません。現在のカスタムポリシーのバージョンは1.37です。
新しいルール
GCP
- CloudSQL-017: SQL Serverデータベースインスタンスの「リモートアクセス」フラグを無効にする: このルールは「リモートアクセス」SQL Serverフラグが「オフ」に設定されていることを確認します。
- CloudSQL-018: PostgreSQLデータベースインスタンスのlog_statement_statsフラグを無効にする: このルールは、PostgreSQLデータベースフラグlog_statement_statsがOffに設定されていることを確認します。
- CloudSQL-019: SQL Serverデータベースインスタンスの「external scripts enabled」フラグを無効にする: このルールは、SQL Serverの「external scripts enabled」フラグが`Off`に設定されていることを確認します。
- BigQuery-002: Customer-Managed KeysによるBigQuery暗号化の有効化: このルールは、BigQueryデータセットテーブルがCustomer-Managed Keys (CMKs) を使用して暗号化されることを保証します。
- ComputeEngine-009: "プロジェクト全体のSSHキーをブロック"機能を有効にする: このルールは、すべての仮想マシンインスタンスでプロジェクト全体のSSHキーをブロックする機能が有効になっていることを確認します。
- CloudLogging-001: バケット権限変更の監視を有効にする: このルールは、各Google Cloud Platform (GCP) プロジェクトが、Google Cloud Storageバケットの権限変更が行われるたびにトリガーされるGPCアラートポリシーを設定していることを確認します。
- CloudLogging-002: VPCネットワーク変更監視を有効にする: このルールは、アラートポリシーを使用してVPCネットワークルートの変更が監視されていることを保証します。
- CloudLogging-003: VPCネットワーク変更監視の有効化 このルールは、ログメトリクスとアラートポリシーを使用してGoogle Cloud VPCネットワークの変更が監視されていることを保証します。
- CloudLogging-004: カスタムロール変更の監視を有効にする: このルールは、カスタムIAMロールの変更がアラートポリシーを使用して監視されていることを保証します。
- CloudLogging-005: SQLインスタンス構成変更の監視を有効にする: このルールは、アラートポリシーを使用してSQLインスタンス構成の変更が監視されていることを保証します。
- CloudLogging-006: ファイアウォールルールの変更の監視を有効にする: このルールは、各Google Cloud Platform (GCP) プロジェクトが、仮想プライベートクラウド (VPC) ネットワークのファイアウォールルールが変更されるたびにトリガーされるGCPアラートポリシーを設定していることを保証します。
- CloudLogging-007: 監査設定変更の監視を有効にする: このルールは、GCPプロジェクトの監査設定変更がアラートポリシーを使用して監視されていることを保証します。
- CloudLogging-009: すべてのログエントリをシンクを使用してエクスポート: このルールは、Google Cloudプロジェクトで生成されたすべてのログエントリがシンクを使用してエクスポートされることを保証します。
Azure
- SecurityCenter-028: Microsoft Defender for Cloudのデフォルトポリシーのすべてのパラメーター: このルールは、Microsoft Defender for Cloudのデフォルトポリシーでサポートされているすべてのパラメーターが有効であることを保証します。
- SecurityCenter-030: Microsoft Defender for CloudでDefender for Endpointの統合を有効にする: このルールはDefender for EndpointとDefender for Cloudの統合が有効であることを確認します。
- SecurityCenter-031: DefenderMicrosoft Defender for Cloud Apps統合を有効にする: このルールは、Microsoft Defender for Cloud Apps統合が有効になっていることを確認します。
- SecurityCenter-032: Azure Defenderを仮想マシンサーバー用に有効化: このルールは、Azure仮想マシン (VM) サーバーに対してAzure Defenderが有効になっていることを確認します。
- SecurityCenter-033 Azure App Serviceインスタンスに対してMicrosoft Defender for Cloudを有効にする: このルールは、Azure App Serviceインスタンスに対してMicrosoft Defender for Cloudが有効になっていることを確認します。
- SecurityCenter-034: Key Vault用のMicrosoft Defender for Cloudを有効にする: このルールは、Azureキーコンテナーリソースに対してMicrosoft Defender for Cloudが有効になっていることを確認します。
ルールアップデート
- IAM-013: コンソールパスワードを持つIAMユーザーのMFA: このルールは現在、MFAイベントをサポートしています。
- VirtualMachine-001: ブートディスクボリュームの暗号化を有効にする, VirtualMachine-002: 非ブートディスクボリュームの暗号化を有効にする, VirtualMachine-003: 未接続ディスクボリュームの暗号化を有効にする:
Azure Disk Encryptionでの暗号化を明確にするためにルール名を更新し、リスクレベルを高から中に変更しました。
ルールのバグ修正
- EC2-030: EC2インスタンス終了保護: EC2-030がAuto Scalingグループの一部であるEC2インスタンスに対してチェックを返していたバグを修正しました。
- CT-002: CloudTrail S3バケットログ記録が有効, CT-003: CloudTrailバケットが公開アクセス可能, CT-004: CloudTrailバケットMFA削除が有効:
AWS CloudTrailリソースデータの処理方法を修正し、AWSルールCT-002、CT-003、CT-004の誤ったチェック結果に対処しました。また、CT-002とCT-004の評価方法を改善し、古いチェックが削除され再作成されることがあります。
- 一部のリソースにおいて、リソース別表示タブでリソースタイプが正しく表示されないバグを修正しました。