【CSPM】Prisma Cloud のカスタムポリシーを解説

今回は、Prisma Cloudでのカスタムポリシー作成について詳しく解説します。セキュリティやコンプライアンスのニーズに合わせたポリシーを作成する方法を知っておくと、より効果的なクラウドリソースの管理が可能になります。この記事では、カスタムポリシーの基本から具体的な手順までをわかりやすく説明します。

カスタムポリシーとは？
カスタムポリシーの種類
カスタムポリシーの作成手順
まとめ

カスタムポリシーとは？

カスタムポリシーは、組織の特定の要件やニーズに応じて利用者側で作成するセキュリティルールです。Prisma Cloudでは予め用意されているポリシーが存在しますが、カスタムポリシーを作成することでよりニーズに合ったクラウドリソースの監視やコンプライアンスの確保が容易になります。Prisma Cloudでは、RQL（Resource Query Language）を使ってクエリを作成するか、保存済み検索を利用してクラウドリソースを照合することができます。

カスタムポリシーの種類

Prisma Cloudで作成できるカスタムポリシーには、以下のような種類があります。

Attack Path(攻撃経路)ポリシー

このポリシーは、高リスクの攻撃経路を監視します。侵害の可能性がある経路を特定し、適切な対応を促します。
Attack Pathポリシーの詳細についてはこちらの記事でも説明しています。

Audit Event(監査イベント)ポリシー

監査データを調査し、特権アクティビティや疑わしいアクティビティまたは類似したアクティビティを監視します。
Prisma CloudがAWS、Azure、およびGCPクラウドサービスから取り込んだ、各種サービスおよび関連するユーザー/イベントデータから、クラウド環境内のコンソールおよびAPIアクセスの調査、特権アクティビティの監視とアカウント不正利用や不審なユーザー行動の検出などを行うことができます。

Config(設定)ポリシー

リソース設定を監視し、ポリシー違反の可能性をチェックします。BuildとRunの2種類のサブタイプがあり、BuildポリシーはIaCテンプレート内のセキュリティの設定誤りをチェックして、それらの問題がプロダクション環境に持ち込まれないようにします。Runポリシーはデプロイされたクラウドリソースを監視し、潜在的な問題をチェックします。

IAMポリシー

クラウド環境のID（認証情報）を監視し、過剰または未使用の権限を確認します。

Network(ネットワーク)ポリシー

ネットワーク活動を監視し、リスクを検出します。
取り込まれたネットワークトラフィックデータの異常を機械学習で特定し、インターネットに公開されているサービス、疑わしい IP との通信などを検出します。

カスタムポリシーの作成手順

では、実際にカスタムポリシーを作成する手順を見ていきます。
今回はConfigポリシーを作成します。

ガバナンスを選択

Prisma Cloud の管理コンソールで、まず[ガバナンス]を選択します。

ポリシーを追加

次に、[Add Policy（ポリシーを追加）] > [設定]を順に選択します。

ポリシー名と説明を入力

ポリシー名を入力し、必要に応じて説明やラベルを追加します。

サブタイプの選択

サブタイプで[実行]を選択します。
※サブタイプ[実行]はデプロイ済みのリソースのスキャンを、サブタイプ[ビルド]はコードリポジトリやIaCテンプレートのスキャンを行います。

重大度の選択

ポリシーの重大度を選択し、[Next（次へ）]をクリックします。

クエリの作成

RQLを使ってポリシーのクエリを作成します。保存済み検索を使用する場合、事前定義オプションを選択してクエリを自動記入できます。
今回は、インスタンスタイプに「large」を含むEC2インスタンスを検出するRQLを入力しました。
[検索]を押下し、検索欄左のマークが緑色であることを確認して[次へ]をクリックします。