Sicherheit bei Scan nach Sicherheitslücken

Dieses Thema enthält Sicherheitsinformationen und Empfehlungen für Oracle Cloud Infrastructure Vulnerability Scanning Service.

Vulnerability Scanning trägt zu einer Verbesserung Ihres Sicherheitsstatus in Oracle Cloud bei, indem Hosts regelmäßig auf potenzielle Sicherheitslücken geprüft werden.

Sicherheitszuständigkeiten

Um Vulnerability Scanning sicher zu verwenden, informieren Sie sich über Ihre Sicherheits- und Compliance-Zuständigkeiten.

Im Allgemeinen bietet Oracle Sicherheit für Cloud-Infrastruktur und -Vorgänge, wie Zugriffskontrollen für Cloud-Benutzer und Infrastruktursicherheits-Patching. Sie sind für die sichere Konfiguration Ihrer Cloud-Ressourcen verantwortlich. Für die Sicherheit in der Cloud sind Sie und Oracle gleichermaßen verantwortlich.

Oracle ist für die folgenden Sicherheitsanforderungen verantwortlich:

Physische Sicherheit: Oracle ist für den Schutz der globalen Infrastruktur verantwortlich, auf der alle in Oracle Cloud Infrastructure angebotenen Services ausgeführt werden. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die Oracle Cloud Infrastructure-Services ausführen.
Datenbanksicherheit: Oracle ist für das Sichern und Patchen der Datenbank verantwortlich, in der Vulnerability Scanning-Ressourcen gespeichert werden, einschließlich Scanrezepte, Scanziele und Scanergebnisse.

Ihre Sicherheitszuständigkeiten sind auf dieser Seite beschrieben. Sie umfassen die folgenden Bereiche:

Zugriffskontrolle: Beschränken Sie Berechtigungen so weit wie möglich. Benutzern sollte nur der erforderliche Zugriff zum Ausführen ihrer Aufgaben erteilt werden.

Erste Sicherheitsaufgaben

Mit dieser Checkliste können Sie die Aufgaben identifizieren, die zum Sichern von Vulnerability Scanning in einem neuen Oracle Cloud Infrastructure-Mandanten ausgeführt werden.

Aufgabe	Weitere Informationen
Mit IAM-Policys können Sie steuern, wer Vulnerability Scanning konfigurieren kann und wer die Scanergebnisse anzeigen kann.	IAM-Policys
Konfigurieren Sie ein Servicegateway, um Compute-Instanzen zu scannen, die keine öffentlichen IP-Adressen haben.	Netzwerksicherheit

Routinemäßige Sicherheitsaufgaben

Nachdem Sie die ersten Schritte mit Vulnerability Scanning ausgeführt haben, ermitteln Sie anhand dieser Checkliste, welche Sicherheitsaufgaben Sie regelmäßig ausführen sollten.

Aufgabe	Weitere Informationen
Auf Sicherheitslücken in Scanberichten reagieren	Berichte über Hostsicherheitslücken Mit Cloud Guard scannen
Sicherheitsaudit ausführen	Prüfen

IAM-Policys

Verwenden Sie Policys, um den Zugriff auf Vulnerability Scanning einzuschränken.

In einer Policy ist definiert, wer wie auf Oracle Cloud Infrastructure-Ressourcen zugreifen kann. Weitere Informationen finden Sie unter Funktionsweise von Policys.

Weisen Sie einer Gruppe jeweils nur die geringsten Berechtigungen zu, die diese Gruppe benötigt, um ihre Zuständigkeiten ausführen zu können. Jede Policy enthält ein Verb, das beschreibt, welche Aktionen die Gruppe ausführen darf. Folgende Verben sind verfügbar (sortiert nach Berechtigung): inspect, read, use und manage.

Beachten Sie die folgenden organisatorischen Fragen, wenn Sie Policys für Vulnerability Scanning erstellen.

Gibt es eine dedizierte Gruppe, die für die Konfiguration von Vulnerability Scanning über Ressourcen in allen Compartments hinweg verantwortlich ist?
Sind Compartment-Administratoren für die Konfiguration von Vulnerability Scanning für Ressourcen in ihren einzelnen Compartments verantwortlich?
Gibt es eine dedizierte Gruppe, die die Scanergebnisse für Ressourcen in allen Compartments überwacht und diese Ergebnisse dann an Compartment-Eigentümer oder Ressourceneigentümer kommuniziert?
Überwachen Compartment-Administratoren die Scanergebnisse für Ressourcen in ihren einzelnen Compartments und kommunizieren diese Ergebnisse dann an Ressourceneigentümer?
Benötigen Ressourceneigentümer Zugriff auf die Scanergebnisse?

Um Agent-basiertes Scannen für Compute-Instanzen (Hosts) zu verwenden, müssen Sie dem Vulnerability Scanning-Service auch die Berechtigung erteilen, den Oracle Cloud Agent auf den Zielinstanzen bereitzustellen.

Es wird empfohlen, einem Mindestset von IAM-Benutzern und -Gruppen DELETE-Berechtigungen zu erteilen. Diese Vorgehensweise minimiert den Datenverlust durch versehentliches Löschen durch autorisierte Benutzer oder durch böswillige Akteure. Erteilen Sie DELETE-Berechtigungen nur Mandanten- und Compartment-Administratoren.

Benutzern in der Gruppe SecurityAdmins das Scannen von Ressourcen im gesamten Mandanten erlauben

Eine dedizierte Gruppe ist für die Konfiguration von Vulnerability Scanning über Ressourcen in allen Compartments hinweg verantwortlich.

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Benutzern in der Gruppe SalesAdmins das Scannen von Ressourcen im Compartment SalesApps erlauben

Compartment-Administratoren sind für die Konfiguration von Vulnerability Scanning für Ressourcen in ihren einzelnen Compartments verantwortlich.

Allow group SalesAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesApps
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesApps

Benutzern in der Gruppe SecurityAuditors das Anzeigen der Scanergebnisse für den gesamten Mandanten erlauben

Eine dedizierte Gruppe überwacht die Ergebnisse des Vulnerability Scans auf Ressourcen in allen Compartments.

Allow group SecurityAuditors to read vss-family in tenancy

Benutzern in der Gruppe SalesAuditors das Anzeigen der Scanergebnisse im Compartment SalesApps erlauben

Compartment-Administratoren überwachen die Scanergebnisse auf Ressourcen in ihren einzelnen Compartments.

Allow group SalesAuditors to read vss-family in compartment SalesApps

Weitere Informationen zu Vulnerability Scanning-Policys und zum Anzeigen weiterer Beispiele finden Sie unter IAM-Policys scannen.

Netzwerksicherheit

Mit Vulnerability Scanning können Sie Ressourcen scannen, die sich in privaten Subnetzen befinden oder keine öffentlichen IP-Adressen haben.

Eine Compute-Instanz ist mit einem VCN (virtuelles Cloud-Netzwerk) und einem Subnetz verknüpft. Wenn Sie ein Subnetz in einem VCN erstellen, wird das Subnetz standardmäßig als öffentlich betrachtet, und die Internetkommunikation ist zulässig. Wenn sich eine zu scannende Instanz in einem privaten Subnetz befindet oder keine öffentliche IP-Adresse aufweist, muss das VCN ein Servicegateway und eine Routingregel für das Servicegateway enthalten. Siehe Zugriff auf Oracle-Services: Servicegateway.

Prüfen

Suchen Sie Zugriffslogs und andere Sicherheitsdaten für Vulnerability Scanning.

Der Audit-Service zeichnet automatisch alle API-Aufrufe an Oracle Cloud Infrastructure-Ressourcen auf. Sie können Ihre Sicherheits- und Complianceziele erreichen, indem Sie mit dem Audit-Service alle Benutzeraktivitäten in Ihrem Mandanten überwachen. Da alle Konsolen-, SDK- und Befehlszeilenaufrufe über unsere APIs laufen, werden alle Aktivitäten aus diesen Quellen einbezogen. Auditdatensätze sind über eine authentifizierte, filterbare Abfrage-API verfügbar, oder sie können als in Batches verwendete Dateien aus Object Storage abgerufen werden. Zu den Inhalten des Auditlogs gehören die aufgetretenen Aktivitäten, der Benutzer, der diese initiiert hat, Datum und Uhrzeit der Anforderung sowie Quell-IP, Benutzer-Agent und HTTP-Header der Anforderung. Siehe Auditlogereignisse anzeigen.

Beispiel: Sie können alle API-Aktivitäten im Zusammenhang mit dem Erstellen, Aktualisieren und Löschen von Scanzielen routinemäßig auditieren. Sie können den Audit-Service nach folgenden Ereignissen durchsuchen:

CreateHostScanTarget
UpdateHostScanTarget
DeleteHostScanTarget

Beispiel für ein Auditlog

Ein Auszug aus einem CreateHostScanTarget-Ereignis im Audit-Service.

{
  "eventType": "com.oraclecloud.vulnerabilityScanning.CreateHostScanTarget.begin",
  "cloudEventsVersion": "0.1",
  "eventTypeVersion": "2.0",
  "source": "vulnerabilityScanning",
  "eventId": "<unique_ID>",
  "eventTime": "2021-09-20T13:19:20.046Z",
  "contentType": "application/json",
  "data": {
    "eventGroupingId": "<unique_ID>",
    "eventName": "CreateHostScanTarget",
    "compartmentId": "<unique_ID>",
    "compartmentName": "MyCompartment",
    "resourceName": "MyScanTarget",
    "resourceId": "<unique_ID>",
    "availabilityDomain": "AD3",
    "freeformTags": {},
    "definedTags": {},
    "identity": {
      "principalName": "myuser",
      "principalId": "<unique_ID>",
      "authType": "natv",
      "callerName": null,
      "callerId": null,
      "tenantId": "<unique_ID>",
      "ipAddress": "<IP_address>",
      "credentials": "<credentials>",
      "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36",
      "consoleSessionId": "<unique_ID>"
    },
    ...
  }
}

Eine Liste aller Vulnerability Scanning-Ereignisse finden Sie unter Scanning-Ereignisse.