コントロールコンプライアンス、PaCE 実行、および例外管理のための DevOps Accelerator
GRC: DevOps Accelerator は、顧客が DevOps ポリシーおよび GRC コントロール目標と Policy as a Code Engine (PaCE) とのコンプライアンスを評価できるようにするアプリケーションです。
GRC: DevOps Accelerator (com.sn_grc_devops) プラグインは、CIS コントロール、NIST 800-53、ISO 27002、PCI DSS などの規制、標準、フレームワークから導出されたコントロール目標を、DevOps Policy as a Code Engine (PaCE) にマッピングします。DevOps ポリシーは、DevOps Config Policy Content Pack によって提供されます。
この統合を使用すると、コンプライアンスステータスを評価できます。また、統合により、DevOps マネージャーはコントロールのコンプライアンスを監視し、PaCE 実行の証拠を可視化し、例外を管理できます。
DevOps Accelerator の前提条件
- PaCE 関連プラグインおよび CDM 関連プラグインの階層。
- PaCE が提供する DevOps Config Policy Content Pack。
- GRC プラグイン:GRC: Cybersecurity Controls Accelerator、GRC: Compliance UCF、GRC: Continuous Authorization and Monitoring
インスタンスからステージングテーブルへのコントロール目標と PaCE マッピングデータの入力
- アイテムに対するコントロール目標マッピングテーブル
- DevOps Accelerator の一部として、コントロール目標と PaCE ポリシーのマッピングが顧客に提供されます。関係は、アイテムに対するコントロール目標 [sn_compliance_control_objective_item] テーブルで取得されます。ここでは、[コントロール目標] 列と、PaCE ポリシーである、[アイテムレコード] 列にデータが一覧表示されます。
図 : 1. アイテムに対するコントロール目標テーブル - コントロール目標のステージングに対する DevOps ポリシーテーブル
図 : 2. DevOps Accelerator ステージングテーブル DevOps Accelerator の一部としてステージングテーブルがあります。これは、コントロール目標のステージングに対する DevOps ポリシー [sn_grc_devops_policy_control_objective_staging] テーブルです。コンプライアンス管理者ロールを持つユーザーがテーブルを表示できます。
CAM および CIS の場合、コントロール目標のシステム ID は DevOps ポリシーのシステム ID にマッピングされます。ただし、UCF の場合、共有リストからインポートされたコントロール目標のソース ID は、DevOps ポリシーのシステム ID にマッピングされます。
コントロール目標のステージングに対する DevOps ポリシー [sn_grc_devops_policy_control_objective_staging] テーブルのデータは [処理待ち] ステータスで出荷されます。データは、インスタンスにインストールされているアプリケーションに基づいてステージングテーブルに入力されます。コントロール目標と PaCE ポリシーがインスタンスに存在しない場合、データは処理されません。
ステージングからメインテーブルにデータを移動するジョブスケジュール
日次ジョブ (ステージングからのコントロール目標に対する DevOps ポリシーのマッピングのインポート) は、アプリケーションと DevOps Accelerator がインストールされた後で実行され、アイテムに対するコントロール目標 (sn_compliance_control_objective_item) テーブルにレコードが追加されます。レコードがマッピングテーブルに正常に追加されると、ステージングテーブルのレコードのステータスが [処理済み (Processed)] に移行します。アプリケーションでコントロール目標が設定されていないか、存在しない場合、レコードは処理されず、[処理待ち] ステータスになります。