Oracle Cloud Infrastructure-Dokumentation

Cloud Guard-Konzepte

Machen Sie sich mit Cloud Guard-Komponenten und -Terminologie vertraut.

Cloud Guard prüft Ihre Oracle Cloud Infrastructure-Ressourcen auf Sicherheitsschwächen im Zusammenhang mit der Konfiguration und Ihre Operatoren und Benutzer auf riskante Aktivitäten. Beim Erkennen kann Cloud Guard basierend auf Ihrer Konfiguration Korrekturmaßnahmen vorschlagen, unterstützen oder ausführen.

Das folgende Diagramm bietet einen allgemeinen Überblick über den Cloud Guard-Systemfluss. Auf dieses Diagramm können Sie beim Durchgehen der Cloud Guard-Konzepte, deren Definitionen hier folgen, zugreifen.

Abbildung des allgemeinen Systemflusses in Cloud Guard

Tipp

Sehen Sie sich eine Videoeinführung in den Cloud Guard-Service an.

Diese Begriffe müssen Sie bei der Arbeit mit Cloud Guard verstehen:

Ziel
Definiert den Prüfungsbereich für Cloud Guard. Bei Oracle Cloud Infrastructure ist dieser Geltungsbereich an das Compartment gebunden, in dem das Ziel definiert ist, sowie alle untergeordneten Compartments von diesem Punkt bis zu einem anderen Ziel. Dieses andere Ziel gilt ab diesem Punkt für Nachkommen-Compartments.
  • Ein Ziel kann aus Ihrem gesamten OCI-Mandanten bestehen (Ziel im Root Compartment).
  • Um IAM-Policys zu überwachen, muss das Root Compartment ein Ziel sein.
  • Wenn Sie Cloud Guard aktivieren, müssen Sie mindestens ein Ziel angeben. Sie können dieses Ziel ändern und später weitere Ziele definieren.
  • Ziele dürfen sich nicht überschneiden, und es wird jeweils nur ein einzelnes Ziel auf ein Compartment und seine Ressourcen angewendet.
  • Sie können ein Compartment (und untergeordnete Compartments) von Prüfungen befreien, indem Sie sie als Ziele deklarieren, aber keine Detektorrezepte auf dieses Ziel anwenden.
Detektor
Führt Prüfungen durch und identifiziert potenzielle Sicherheitsprobleme je nach Typ und Konfiguration.
Detektorrezept
Stellt die Baselines für die Prüfung der Ressourcen und Aktivitäten im Ziel bereit.
Von Oracle verwaltetes Detektorrezept
  • Bildmaterial von Cloud Guard.
  • Ermöglicht nur das Festlegen des Geltungsbereichs der Ressourcen, für die eine Regel ein Problem auslöst.
  • Ermöglicht es Ihnen nicht, Regeln zu deaktivieren oder die Risikostufe einer Regel zu ändern.
  • Kann jederzeit aktualisiert werden, um neue Standardwerte und Einstellungen aufzunehmen.

    Informationen zu diesen Updates finden Sie in den Cloud Guard-Releasehinweisen.

Vom Benutzer verwaltetes Detektorrezept
  • Wird durch Klonen eines von Oracle verwalteten Rezepts erstellt.
  • Ermöglicht das Festlegen des Geltungsbereichs der Ressourcen, für die eine Regel ein Problem auslöst.
  • Ermöglicht es Ihnen außerdem, einzelne Regeln zu deaktivieren und die Risikostufe einer Regel zu ändern.
OCI-Aktivitätsdetektorrezept
Regelset, das speziell zur Erkennung von Aktionen auf Ressourcen entwickelt wurde, die ein Sicherheitsproblem darstellen könnten.
OCI-Konfigurationsdetektorrezept
Regelset, das speziell zur Erkennung von Ressourcenkonfigurationseinstellungen entwickelt wurde, die ein Sicherheitsproblem darstellen könnten.
OCI Container Security-Konfigurationsrezept
Regelset, mit dem eine Organisation definieren kann, wie sie ihre containerisierten Workloads ausführen möchte, und diese Absichten dann durchsetzen kann.
OCI-Instanzsicherheitsdetektorrezept
Regelset, das speziell entwickelt wurde, um Laufzeitsicherheit für Workloads in virtuellen Compute- und Bare-Metal-Hosts bereitzustellen.
OCI Threat Detector-Rezept
Regelset, das speziell zur Erkennung von subtilen Aktivitätsmustern in Ihrer Umgebung entwickelt wurde, die sich zu einem Sicherheitsproblem entwickeln könnten.
Detektorregel
Bietet eine spezifische Definition einer Ressourcenklasse mit spezifischen Aktionen oder Konfigurationen, die dazu führen, dass ein Detektor ein Problem meldet. Ein Detektorrezept besteht aus mehreren Detektorregeln. Wenn eine Regel ausgelöst wird, meldet der Detektor ein Problem. Jede Regel in einem Detektorrezept kann individuell konfiguriert werden.
Problem
Jede Aktion oder Einstellung für eine Ressource, die potenziell ein Sicherheitsproblem verursachen könnte. Cloud Guard überwacht die Netzwerkaktivität Ihres Oracle Cloud Infrastructure-Mandanten, um Probleme zu erkennen und zu beheben. Probleme:
  • werden erstellt, wenn Cloud Guard eine Abweichung von einer Detektorregel erkennt.
  • Werden durch den Typ des Detektors definiert. der sie erstellt: Aktivität oder Konfiguration.
  • Enthalten Daten zum spezifischen Problemtyp, der gefunden wurde.
  • Können gelöst, verworfen oder behoben werden.
Responder
Eine Aktion, die Cloud Guard ausführen kann, wenn ein Detektor ein Problem ermittelt hat. Die verfügbaren Aktionen sind ressourcenspezifisch. Responder sind ähnlich wie Detektoren strukturiert:
Responder-Rezept
Definiert die Aktion oder Aktionen, die als Reaktion auf ein Problem ausgeführt werden sollen, das ein Detektor identifiziert hat.
Von Oracle verwaltetes Responder-Rezept
  • Bildmaterial von Cloud Guard.
  • Lässt keine Deaktivierung von Regeln zu.
  • Kann jederzeit aktualisiert werden, um neue Standardwerte und Einstellungen aufzunehmen.

    Informationen zu diesen Updates finden Sie in den Cloud Guard-Releasehinweisen.

Vom Benutzer verwaltetes Responder-Rezept
  • Wird durch Klonen des von Oracle verwalteten Rezepts erstellt.
  • Ermöglicht es Ihnen, einzelne Regeln zu deaktivieren und die Risikostufe einer Regel zu ändern.
Responder-Regel
Definiert die spezifischen Aktionen, die ausgeführt werden sollen. Wenn eine Responder-Regel ausgelöst wird, löst sie den Responder aus. Jede Regel in einem Detektorrezept kann individuell konfiguriert werden.
Cloud Guard stellt ein Set von Respondern mit Standardregeln bereit. Sie können diese Responder unverändert verwenden. Sie können alle Standard-Responder klonen und die Regeln entsprechend spezifischen Anforderungen ändern. Sie können Responder-Regeln einzeln aktivieren und deaktivieren. Sie können den Geltungsbereich für die Anwendung einzelner Regeln einschränken, indem Sie Bedingungen für die Begrenzung des Geltungsbereichs angeben.
Verwaltete Liste
Eine wiederverwendbare Liste von Parametern, mit denen der Geltungsbereich für Detektor- und Responder-Regeln einfacher festgelegt werden kann. Beispiel: Die vordefinierte Liste "Vertrauenswürdiger Oracle-IP-Adressraum" enthält alle Oracle-IP-Adressen, die Sie als vertrauenswürdig betrachten möchten, wenn Sie Regeln für Detektoren und Responder definieren.
Regionen in Cloud Guard
Aktivität, die Cloud Guard überwacht, kann in zwei Typen von Regionen auftreten:
Berichtsregion
Die Standardregion für Ihren Cloud Guard-Client. Die erste Region, die beim Aktivieren des Cloud Guard-Mandanten definiert wurde.
Hinweis

In der ausgewählten Berichtsregion ist Ihre Organisation verpflichtet, alle rechtlichen Anforderungen des Landes zu erfüllen, in dem die Berichtsregion gehostet wird. Siehe Berichtsregion sorgfältig auswählen.

Informationen zum Suchen des Namens des Berichtsbereichs finden Sie unter Berichtsregion anzeigen.

Die Integration mit Benachrichtigungs- und Ereignisservice zum Senden von Benachrichtigungen erfolgt nur in der Berichtsregion. Die Auswahl einer bestimmten Region  in der Liste Regionen oben auf der Konsole hat keine Auswirkung auf die angezeigten Informationen. Um Informationen nach Regionen zu filtern, verwenden Sie die Filter auf den Seiten Cloud Guard.

Überwachte Regionen
Andere Regionen, die der Cloud Guard-Mandant überwacht.
OCI-Hauptregion
Für Cloud Guard ist die OCI-Hauptregion eine unveränderliche Konstante in der OCI-Umgebung.
Hinweis

Sie geben die Cloud Guard-Berichtsregion an, wenn Sie Cloud Guard aktivieren. Bei allen Konfigurations- und Fehlerbehebungsaufgaben, die Sie nach der Aktivierung ausführen, müssen Sie die Cloud Guard-Berichtsregion und nicht die OCI-Hauptregion angeben.