Oracle Cloud Infrastructure-Dokumentation

Instanzsicherheit aktivieren

Aktivieren Sie die Instanzsicherheit in Cloud Guard.

So aktivieren Sie die Instanzsicherheit in Ihrem Mandanten:

  • Wenden Sie eines der von Oracle verwalteten Instanzsicherheitsdetektorrezepte auf ein Cloud Guard-Ziel an. Dadurch wird die Instanzsicherheit in Cloud Guard für Ihren Mandanten aktiviert. Siehe Rezepte des Instanzsicherheitsdetektors.

    Sie können ein neues Ziel erstellen oder ein vorhandenes Ziel verwenden. Siehe OCI-Ziele.

  • Fügen Sie die Instanzsicherheits-Policys zu Ihrem Mandanten hinzu.

Instanzsicherheitsrezept auf ein neues Cloud Guard-Ziel anwenden

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Cloud Guard die Option Konfiguration aus.
  2. Wählen Sie unter Ziele die Option Neues Ziel erstellen aus.
  3. Geben Sie auf der Seite Ziel erstellen im Bereich Basisinformationen einen Zielnamen und eine optionale Beschreibung für das Ziel ein.
  4. Wählen Sie das Compartment aus, das dem Ziel zugewiesen werden soll.
  5. Wählen Sie Weiter.
  6. Wählen Sie im Bereich Konfiguration unter Instanzsicherheitsrezept die Option Alle Compute-Instanzen aus, und wählen Sie eines der von Oracle verwalteten Instanzsicherheitsdetektorrezepte aus:
    • OCI Instance Security Detector-Rezept – Enterprise (von Oracle verwaltet)
    • OCI-Instanzsicherheitsdetektorrezept (von Oracle verwaltet)
    Siehe Rezepte des Instanzsicherheitsdetektors.
  7. Prüfen Sie das neue Ziel, und wählen Sie Erstellen aus.
  8. Wählen Sie unter Konfiguration auf der Registerkarte "Instanzsicherheit" die Option Aktivieren/Bearbeiten neben Loggingkonfigurationsdetails aus.
  9. Auf der Seite "Loggingkonfigurationsdetails" können Sie das Raw-Logging der Instanzsicherheit für eine Region aktivieren.
  10. Wählen Sie für die gewünschte Region Log aktivieren aus.
  11. Wählen Sie im Bereich Log aktivieren das Compartment aus.
  12. Wählen Sie eine vorhandene Loggruppe aus, oder erstellen Sie eine neue, indem Sie Neue Gruppe erstellen auswählen. Siehe Loggruppenverwaltung.
  13. Wählen Sie aus, wie lange das Log für Werte zwischen 30 Tagen und 180 Tagen aufbewahrt werden soll, oder legen Sie einen benutzerdefinierten Logaufbewahrungswert fest.
  14. Wählen Sie Log aktivieren aus.
  • Der letzte Schritt beim Aktivieren der Instanzsicherheit besteht darin, die Policy-Anweisungen in der Konsole hinzuzufügen.
Hinweis

Wenn Sie die Raw-Logs der Instanzsicherheit hier nicht aktivieren, können Sie sie über die Logging-Servicekonsole aktivieren. Siehe Logs aus dem Logging-Service aktivieren.

Instanzsicherheitsrezept auf ein Cloud Guard-Ziel anwenden

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Cloud Guard die Option Konfiguration aus.
  2. Suchen Sie das zu verwendende Ziel, und wählen Sie den Zielnamen aus.
  3. Wählen Sie unter Konfiguration die Registerkarte Instanzsicherheit aus, und wählen Sie Rezepte hinzufügen aus. Wählen Sie dann eines der von Oracle verwalteten Instanzsicherheitsdetektorrezepte aus:
    Siehe Rezepte des Instanzsicherheitsdetektors.
  4. Akzeptieren Sie die Eingabeaufforderung, um die Instanzsicherheits-Policys zu Ihrer Umgebung hinzuzufügen.
  5. Wählen Sie im Dialogfeld Detektorrezepte hinzufügen das von Oracle verwaltete Instanzsicherheitsdetektorrezept aus, das Sie verwenden möchten, und wählen Sie Rezepte hinzufügen aus.
  6. Scrollen Sie nach unten, und wählen Sie neben Logging die Option Aktivieren/Bearbeiten aus.
  7. Wählen Sie für jede gewünschte Region das Menü "Aktionen" (Menü "Aktion"), und wählen Sie Log aktivieren aus.
    1. Im Bereich Log aktivieren wird das Compartment angezeigt, in dem sich das Ziel befindet. Sie können sie nicht ändern.
    2. Wählen Sie eine vorhandene Loggruppe aus, oder erstellen Sie eine neue, indem Sie Neue Gruppe erstellen auswählen. Siehe Loggruppenverwaltung.
    3. Wählen Sie aus, wie lange das Log für Werte zwischen 30 Tagen und 180 Tagen aufbewahrt werden soll, oder legen Sie einen benutzerdefinierten Logaufbewahrungswert fest.
    4. Wählen Sie Log aktivieren aus.

Der letzte Schritt beim Aktivieren der Instanzsicherheit besteht darin, die Policy-Anweisungen in der Konsole hinzuzufügen.

Hinweis

Wenn Sie die Raw-Logs der Instanzsicherheit hier nicht aktivieren, können Sie sie über die Logging-Servicekonsole aktivieren. Siehe Logs aus dem Logging-Service aktivieren.

Policy-Anweisungen für Instanzsicherheit

Sie müssen diese Policys im Rahmen der Aktivierung der Instanzsicherheit in der Konsole hinzufügen.

Mit den Policys kann der Instanzsicherheits-Agent auf die erforderlichen Ressourcen im Mandanten zugreifen. Ohne diese Policys erhalten Sie keine Ergebnisse.

Informationen zum Eingeben der Policy-Anweisungen in der Konsole finden Sie unter Policy erstellen.

Benutzer-Policy-Anweisungen

Diese Policys bieten Benutzerberechtigungen zur Verwendung der Instanzsicherheit für On-Demand-Abfragen und geplante Abfragen. Fügen Sie sie Ihren Benutzer-Policys hinzu, und ersetzen Sie group durch den Namen einer entsprechenden Benutzergruppe.

Allow group <group> to { INSTANCE_READ } in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_READ} in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_CREATE} in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_INSPECT } in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_DELETE } in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_READ} in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_CREATE} in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_INSPECT } in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_DELETE } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_INSPECT} in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_READ } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_CREATE } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_DELETE } in compartment <compartment>

Service Logging-Policy-Anweisungen

Mit diesen Policys können Benutzer auf Logs zugreifen. Fügen Sie sie Ihren Benutzer-Policys hinzu, und ersetzen Sie group durch den Namen einer entsprechenden Benutzergruppe.

Allow group <group> to { CG_SERVICE_LOGGING_READ } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_CREATE } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_UPDATE } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_DELETE } in compartment <compartment>

Policy-Anweisungen des Mandanten

Mit diesen Policys kann Instance Security auf die erforderlichen Ressourcen im Mandanten zugreifen.

Allow any-user to { WLP_BOM_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_CONFIG_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_ADHOC_QUERY_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_ADHOC_RESULTS_CREATE } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Endorse any-user to { WLP_LOG_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_METRICS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_ADHOC_QUERY_READ } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_ADHOC_RESULTS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }

Zugriff auf bedarfsgesteuerte und geplante Abfragen mit dynamischen Gruppen steuern

Sie müssen dynamische Gruppen erstellen, um mit On-Demand-(Ad-hoc-) und geplanten Abfragen zu arbeiten. Die Ressourcenart ist:

  • Für On-Demand-Abfragen: cloudguardadhocquery.
  • Für geplante Abfragen: cloudguarddatasource.
Hinweis

  • Jede Abfrage wird basierend auf dem Ressourcentyp und optionalen Tags automatisch mit einer dynamischen Gruppe verknüpft.
  • Der Zugriff wird durch die dynamische Gruppe bestimmt, zu der die Abfrage gehört.
  • Wenn keine Policys für eine Abfrage vorhanden sind, wird beim Ausführen der Abfrage eine nicht autorisierte Ausnahme abgerufen.

In diesem Beispiel wird gezeigt, wie Sie eine dynamische Gruppe für jeden Abfragetyp erstellen. Weitere Informationen finden Sie unter Dynamische Gruppen verwalten.

  1. Erstellen Sie die dynamischen Gruppen:
    Dynamische Gruppe Anweisung für dynamische Gruppe
    adhoc_query_dg all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id'}
    scheduled_query_dg all { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-compartment-id' }

    Wenn Sie den On-Premise-Agent verwenden, können Sie dieselben dynamischen Gruppen verwenden oder separate dynamische Gruppen erstellen, je nachdem, welches Compartment Ihre On-Premise-Instanzen konfiguriert sind.

    Dynamische Gruppe Anweisung für dynamische Gruppe
    on_prem_adhoc_query_dg all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-on-prem-compartment-id'}
    on_prem_scheduled_query_dg all { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-on-prem-compartment-id' }
  2. Schreiben Sie als Nächstes Policys, um der Leseinstanz Zugriff auf die neu erstellten dynamischen Gruppen für Ihr Compartment oder Ihren Mandanten (Root Compartment) zu erteilen.
    allow dynamic-group adhoc_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguardadhocquery' }
 allow dynamic-group scheduled_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguarddatasource' }

    Wenn Sie den On-Premise-Agent verwenden, müssen Sie zwei zusätzliche Policys schreiben.

    allow dynamic-group on_prem_adhoc_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguardadhocquery' }

allow dynamic-group on_prem_scheduled_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguarddatasource' }

    Weitere Informationen zum Erstellen von Policys für Mandanten oder Compartments finden Sie unter Funktionsweise von Policys.

  3. Jetzt können Sie Abfragen erstellen:

Verwenden von Tags zum Isolieren von Abfrageberechtigungen

Mit Tags können Sie geplante Abfragen, die Sie ausführen, isolieren und kategorisieren. Weitere Informationen zur Verwendung von Tags finden Sie unter Tagging.

Hinweis

Um Tags zu verwenden, müssen Sie die bedarfsgesteuerten oder geplanten Abfragen mit der CLI oder API erstellen.
  1. Erstellen Sie die dynamischen Gruppen mit Tags:
    Dynamische Gruppe Anweisung für dynamische Gruppen
    adhoc_query_dg all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id', tag.namespace.tag-key.value = 'tag-value' }
    scheduled_query_dg all { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-compartment-id', tag.namespace.tag-key.value = 'tag-value' }

    Beispiel: Sie haben einen Tag-Namespace mit dem Namen "Departments" und ein Tag in diesem Namespace mit dem Namen "department_type" mit der Werteliste ["hr", "finance", "marketing", "it"]. Die dynamische Gruppenanweisung für eine benutzerdefinierte Abfrage wäre

    all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id', tag.department_type.tag-key.value = 'finance' }
  2. Schreiben Sie Policys, um der Leseinstanz Zugriff auf die neu erstellten dynamischen Gruppen zu erteilen.
    allow dynamic-group adhoc_query_dg to read instances in compartment my-compartment where all { request.principal.type = 'cloudguardadhocquery' }
allow dynamic-group scheduled_query_dg to read instances in compartment my-compartment where all { request.principal.type = 'cloudguarddatasource' }
  3. Jetzt können Sie Abfragen mit der CLI oder API mit den von Ihnen definierten Tags erstellen: