Oracle Cloud Infrastructure-Dokumentation

Designrichtlinien für SIEM-Integration

Eine der Säulen des Cloud Adoption Frameworks ist die Sicherheit. Wenn Sie Worklads migrieren oder Workloads aus der Cloud erstellen, implementieren sie verschiedene Sicherheitslayer, um das Risiko von Angriffen zu reduzieren. Oracle Cloud Infrastructure (OCI) nutzt das Defense-in-Depth-(DiD-)Framework, um die Cloud-Infrastruktur auf verschiedenen Ebenen zu schützen. OCI wendet auch den Zero Trust Security-Ansatz an. Weitere Informationen finden Sie unter Zero Trust Security mit Oracle Cloud Infrastructure erreichen.

Was ist Defense in Depth und warum ist es wichtig?

Defense in Depth ist ein Sicherheitsansatz mit mehreren Layern, der Daten mit verschiedenen Arten von Sicherheitsmaßnahmen schützt. Wenn ein Verteidigungslayer ausfällt oder kompromittiert ist, mindern andere Arten von Schutzmaßnahmen den Angriff und werden aktiviert. Beispiel: Wenn Sie Ihre Daten in mehreren Safes mit verschiedenen Verteidigungstypen wie biometrische Daten, Netzwerkzugriff und Authentifizierung speichern, erhöht jeder Sicherheitslayer die Sicherheit Ihrer Daten. Für jeden Layer gibt es ein potenzielles Monitoringsystem, das einen vollständigen Überblick über den Sicherheitsstatus für Ihren Safe bietet.

Ebenso schützt der Defense-in-Depth-Ansatz bei der Anwendung dieses Konzepts auf die Verteidigung von IT-Systemen alle Layer Ihrer Systeme. Beispiel: Das DiD-Framework bietet Schutz für Laptoprechner der Mitarbeiter, Benutzer und deren Identitäten, Netzwerke, die Systeme verbinden, und Anwendungen, die Ihre Daten schützen.

Elemente von Defense in Depth

Defense in Depth konzentriert sich auf die folgenden Kontrollbereiche:

  • Physische Kontrollen: Verhindern des Zugriffs auf physische Systeme. In der Regel wird dieses Steuerelement durch Sicherheitspersonal anstelle von biometrischen Systemen oder Sicherheitstüren dargestellt.
  • Technische Kontrollen: Verhindern des Zugriffs auf IT-Systeme, einschließlich Hardware und Software. Diese Kontrolle umfasst Firewall- und Angriffserkennungssysteme, Webscanner, Just-in-Time-Zugriff, Netzwerksegmentierung und Datenverschlüsselung. Diese Kontrolle wird auch implementiert, indem Ihre eigenen Systeme mit Security Information and Event Management-(SIEM-)Plattformen und mit Security-, Orchestrierungs-, Automatisierungs- und Response-(SOAR-)Plattformen überwacht werden.
  • Administrative Kontrollen: Messen und Prüfen der Sicherheit durch die Implementierung von Sicherheitsrichtlinien, die Risikobewertung der Cybersicherheit und das Management von Mitarbeitern und Anbietern.

Weitere Informationen finden Sie unter Daten in und außerhalb der Cloud sichern: Defense In-Depth.

SIEM-Integrationsmuster

Eine SIEM-Plattform ist erforderlich, um die Reaktionsfähigkeit auf Sicherheitsangriffe zu erhöhen. Über SIEM-Systeme können Sie Sicherheitsereignisse aus verschiedenen Quellen wie Netzwerken, Geräten und Identitäten überwachen. Sie können diese Signale auch in Echtzeit analysieren, indem Sie maschinelles Lernen verwenden, um verschiedene Signale zu korrelieren und drohende Hacking-Aktivitäten und unregelmäßige Sicherheitsereignisse zu identifizieren, die das Netzwerk passieren. Es sind mehrere SIEMs von Drittanbietern für die Integration mit Logs und Ereignissen, die in OCI erzeugt wurden, verfügbar. Wenn Ihre SIEM-Plattform nicht aufgeführt ist, sollten Sie sich an Ihren zuständigen Oracle-Vertreter wenden.

Servicelogkonsolidierung

Wenn Sie Monitoringsysteme mit OCI integrieren, können Sie die in OCI Logging generierten Logs konsolidieren. Logging bietet Zugriff auf alle Logs aus OCI-Ressourcen, verwaltet alle Logs in Ihrem Mandanten vollständig und ist hoch skalierbar. Die Logs enthalten wichtige Diagnoseinformationen, welche die Performance von Ressourcen und den Zugriff auf sie beschreiben.

Folgende Logtypen sind verfügbar:

  • Auditlogs: Logs zu Ereignissen, die vom OCI Audit-Service ausgegeben werden.
  • Servicelogs:: Logs, die von OCI-nativen Services wie API Gateway, Events, Functions, Load Balancing, Object Storage und VCN-Flowlogs ausgegeben werden. Jeder dieser unterstützten Services verfügt über vordefinierte Loggingkategorien, die Sie für Ihre jeweiligen Ressourcen aktivieren oder deaktivieren können.
  • Benutzerdefinierte Logs: Logs, die Diagnoseinformationen von benutzerdefinierten Anwendungen, anderen Cloud-Providern oder einer On-Premise-Umgebung enthalten. Benutzerdefinierte Logs können über die API oder durch Konfiguration des Unified Monitoring Agent aufgenommen werden. Sie können eine OCI-Compute-Instanz konfigurieren, um benutzerdefinierte Logs direkt über Unified Monitoring Agent hochzuladen. Benutzerdefinierte Logs werden in Virtual-Machine- und in Bare-Metal-Szenarios unterstützt.

Weitere Informationen zum Konsolidieren von Logs mit Logging und OCI Service Connector Hub finden Sie unter Sicherheitslogkonsolidierung in CIS-OCI-Landing-Zone.

Als Best Practice sollten Sie auch Ereignisse erfassen, die von Cloud Guard generiert wurden, um genügend detaillierte Daten zu erhalten, die an Ihre SIEM-Plattform gesendet werden. Mit diesem Prozess können Sie sich auf potenzielle Sicherheitsprobleme vorbereiten.

Informationen zum Exportieren der von Cloud Guard generierten Ereignisse finden Sie unter Oracle Cloud Guard mit OCI Events und Functions mit externen Systemen integrieren.

Drittanbieter-SIEM-Referenzarchitektur

In einer SIEM-Referenzarchitektur eines Drittanbieters erfasst Logging Logs aus verschiedenen Quellen, wie Auditlogs, Servicelogs (VCN-Flowlogs) und benutzerdefinierte Logs. Für jedes Log ist ein separater Stream vorhanden, und jedes Log ist mit seinem Stream mit einem Service-Connector-Hub verbunden, der die Logs in den OCI Streaming-Service schreibt. Parallel dazu werden die von Cloud Guard generierten Ereignisse über eine OCI-Funktion erfasst und normalisiert, die die Ereignisse in OCI Streaming schreibt.

OCI Streaming kann dann mit einer SIEM-Plattform eines Drittanbieters wie Splunk oder QRadar interagieren, die die gestreamten Daten für weitere Analysen sammelt. Ein Beispiel finden Sie unter SIEM-System in Splunk mit aus Oracle Cloud gestreamten Logs implementieren.

Diagramm einer SIEM-Referenzarchitektur mit OCI Logging-Integration.

Die SIEM-Referenzarchitektur umfasst die folgenden Architekturkomponenten.

Region
Eine OCI-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Center enthält, das als Availability-Domain bezeichnet wird. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können Regionen über Länder oder Kontinente voneinander trennen.
Availability-Domain
Availability-Domains sind eigenständige, unabhängige Data Center innerhalb einer Region. Die physischen Ressourcen in jeder Availability-Domain sind von den Ressourcen in den anderen Availability-Domains isoliert, was eine Fehlertoleranz sicherstellt. Availability-Domains haben keine gemeinsame Infrastruktur wie Stromversorgung oder Kühlung oder das interne Availability-Domainnetzwerk. Daher ist es unwahrscheinlich, dass ein Fehler in einer Availability-Domain sich auf die anderen Availability-Domains in der Region auswirkt.
Virtuelles Cloud-Netzwerk und Subnetze
Ein virtuelles Cloud-Netzwerk (VCN) ist ein anpassbares, softwaredefiniertes Netzwerk, das Sie in einer OCI-Region einrichten. Wie herkömmliche Data Center-Netzwerke erhalten Sie mit VCNs vollständige Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain beschränken. Jedes Subnetz besteht aus einem Bereich zusammenhängender Adressen, die sich nicht mit anderen Subnetzen im VCN überschneiden. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.
Logging
Logging ist ein skalierbarer und vollständig verwalteter Service, der Zugriff auf Logs von Ihren Ressourcen in der Cloud ermöglicht. Zu den Logtypen gehören Auditlogs, Servicelogs und benutzerdefinierte Logs.
Streaming
Streaming bietet eine vollständig verwaltete, skalierbare und dauerhafte Speicherlösung zur Aufnahme kontinuierlicher Datenströme mit hohem Volumen, die Sie in Echtzeit konsumieren und verarbeiten können. Sie können Streaming verwenden, um Daten mit hohem Volumen wie Anwendungslogs, Betriebstelemetrie, Clickstream-Webdaten oder für andere Anwendungsfälle zu erfassen, bei denen kontinuierlich und sequenziell Daten in einem Publish-Subscribe-Nachrichtenmodell erzeugt und verarbeitet werden.
Service Connector Hub
Service Connector Hub ist eine Cloud-Nachrichtenbusplattform, die das Verschieben von Daten zwischen Services in OCI orchestriert. Mit der Plattform können Sie Daten zwischen OCI-Services verschieben. Daten werden mit Service-Connectors verschoben. Ein Service-Connector gibt den Quellservice an, der die zu verschiebenden Daten, die für die Daten auszuführenden Aufgaben sowie den Zielservice enthält, an den die Daten nach Abschluss der Aufgaben übermittelt werden.
Oracle Cloud Guard
Mit Cloud Guard können Sie Ihren Sicherheitsstatus in Oracle Cloud überwachen, identifizieren und aufrechterhalten. Prüfen Sie mit dem Service Ihre OCI-Ressourcen auf Sicherheitsschwachstellen im Zusammenhang mit der Konfiguration und Ihre Operatoren und Benutzer auf riskante Aktivitäten. Nach der Erkennung kann Cloud Guard basierend auf Ihrer Konfiguration Korrekturmaßnahmen vorschlagen, unterstützen oder ausführen.