Erste Schritte mit Sicherheitszonen

Nachdem Sie IAM-Policys erstellt und Cloud Guard aktiviert haben, erstellen Sie eine Sicherheitszone für ein Compartment und prüfen, ob Verletzungen von Sicherheitszonen-Policys vorliegen.

IAM-Policys erstellen

Um Sicherheitszonen und Cloud Guard verwenden zu können, benötigen Sie den erforderlichen Zugriffstyp in einer von einem Administrator geschriebenen IAM-Policy. Dabei muss es keine Aufgabe sein, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder anderen Tools verwenden.

Wenn Sie kein Administrator für Ihren Mandanten sind, bitten Sie den Administrator, diese Schritte auszuführen.

Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Sicherheitszonen auf Überblick.

Kopieren Sie im Abschnitt Erste Schritte auf der Seite Überblick die Liste der erforderlichen IAM-Policy-Anweisungen.

Allow group <group> to use cloud-guard-config in tenancy
Allow group <group> to read cloud-guard-targets in tenancy
Allow group <group> to inspect cloud-guard-problems in tenancy
Allow group <group> to manage security-zone in tenancy

Klicken Sie auf Identität & Sicherheit, und öffnen Sie das Navigationsmenü. Klicken Sie unter Identität auf Policys.
Wählen Sie das Root Compartment für Ihren Mandanten.
Klicken Sie auf Policy erstellen.
Geben Sie den Namen und die Beschreibung für die Policy an.
Beispiel:
- Name: Sicherheitszonen-Policy
- Beschreibung: Erstellen von Sicherheitszonen aktivieren
Klicken Sie auf Manuellen Editor anzeigen.
Fügen Sie die Policy-Anweisungen aus der Konsole für Sicherheitszonen ein.

Ersetzen Sie <group> durch den Namen einer vorhandenen Gruppe.
Klicken Sie auf Erstellen.

Weitere Informationen zu Sicherheitszonen und Cloud Guard-IAM-Policys finden Sie unter Cloud Guard-Policys.

Cloud Guard aktivieren

Aktivieren von Cloud Guard in Ihrem Mandanten, bevor Sie Sicherheitszonen erstellen. Wenn Cloud Guard bereits aktiviert ist, können Sie diese Aufgabe überspringen.

Cloud Guard ist ein Oracle Cloud Infrastructure-Service, der über ein zentrales Dashboard alle Cloud-Ressourcen auf Sicherheitsschwächen bei Konfiguration, Metriken und Logs überwachen kann. Wenn ein Problem erkannt wird, kann er auf Basis Ihrer Cloud Guard-Konfiguration Korrekturmaßnahmen empfehlen, unterstützen oder ergreifen.

Sicherheitszonen identifiziert zusammen mit Cloud Guard Verletzungen der Sicherheitszonen-Policys in Ihren vorhandenen Ressourcen.

Die Aktivierung von Cloud Guard umfasst die folgenden Aufgaben:

IAM-Policys erstellen, mit denen Cloud Guard Ressourcen in Ihrem Mandanten überwachen können
Berichtsregion auswählen
Optional Ziele für die Compartments erstellen, die Cloud Guard überwachen soll
Die Detektorrezepte für die Ziele auswählen (optional)

Um Cloud Guard zu aktivieren, benötigen Sie Administratorberechtigungen.

Hinweis

Es muss nicht nötig sein, ein Cloud Guard-Ziel für ein Compartment zu erstellen, bevor Sie eine Sicherheitszone für dasselbe Compartment erstellt. Wenn Sie eine Sicherheitszone erstellen, wird automatisch ein neues Cloud Guard-Ziel erstellt.

Ausführliche Anweisungen finden Sie unter Erste Schritte mit Cloud Guard.

Sicherheitszonenrezept erstellen (optional)

Security Zones stellt ein von der Oracle verwaltetes Rezept namens Maximum Security Recipe bereit, das alle verfügbaren Sicherheitszonen-Policys durchsetzt. Wenn Sie bestimmte Policys deaktivieren möchten, können Sie dieses Rezept klonen.

Bevor Sie ein benutzerdefiniertes Sicherheitszonenrezept erstellen, müssen Sie sich mit den verfügbaren Sicherheitszonen-Policys vertraut machen.

Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Sicherheitszonen auf Rezepte.
Klicken Sie auf das Symbol Aktionen für das Rezept Maximum Security Recipe, und wählen Sie Klonen aus.
Aktualisieren Sie die Namen und Beschreibung für das neue Rezept.

Geben Sie dabei keine vertraulichen Informationen ein.
Wählen Sie das Compartment aus, in dem Sie das Rezept erstellen möchten.

Sie können Sicherheitszonenrezepte und Sicherheitszonen in unterschiedlichen Compartments erstellen.
Klicken Sie auf Weiter.
(Optional) Aktivieren Sie in der Seite Policys ein Kontrollkästchen, um eine Policy zu aktivieren, oder aktivieren Sie ein Kontrollkästchen, um eine Policy zu deaktivieren.

Sie können die Liste der Policys filtern, indem Sie einen bestimmten Policy-Typ auswählen. Sie können Policys auch nach Namen suchen.
Klicken Sie auf Weiter.
Prüfen Sie in der Seite Prüfen, wie viele Policys in diesem Rezept aktiviert und deaktiviert sind, und klicken Sie auf Erstellen.

Die Seite Rezeptdetails wird angezeigt.

Sicherheitszone erstellen

Nachdem alle erforderlichen Aufgaben ausgeführt wurden, können Sie eine Sicherheitszone für ein vorhandenes Compartment erstellen.

Achtung

Um maximale Flexibilität zu gewährleisten, sollten Sie vermeiden, dem Root Compartment des Mandanten eine Sicherheitszone zuzuweisen. Sicherheitszonen, die auf das Root Compartment angewendet werden, können die Aktionen einschränken, die für einen gesamten Mandanten möglich sind. Obwohl diese Konfiguration für bestimmte Anwendungsfälle vorzuziehen ist, ist sie für die meisten Benutzer zu restriktiv.

Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Sicherheitszonen auf Überblick.
Wählen Sie unter Listengeltungsbereich das Compartment aus, das Sie mit der Sicherheitszone schützen möchten.

Wählen Sie ein Compartment aus, die noch nicht mit einer Sicherheitszone verknüpft sind.

Die Sicherheitszonenressource wird in dem ausgewählten Compartment erstellt.

Standardmäßig wird allen Sub-Compartments dieselbe Sicherheitszone wie dem übergeordneten Compartment zugewiesen.
Wählen Sie Sicherheitszone erstellen aus.

Wenn das ausgewählte Compartment bereits mit einer Sicherheitszone verknüpft ist, ist diese Schaltfläche deaktiviert.
Wählen Sie ein Sicherheitszonenrezept aus.
- Von Oracle verwaltet: Wählen Sie diese Option, wenn Sie kein Vom Kunden verwaltetes Rezept erstellt hat. Die Sicherheitszone verwendet das Maximum Security Recipe.
- Vom Kunden verwaltet: Wählen Sie Ihr benutzerdefiniertes Rezept.
Wenn sich Ihr Rezept in einem anderen Compartment befindet, klicken Sie auf Compartment ändern.
Geben Sie einen Namen und eine Beschreibung für die Sicherheitszone ein.

Vermeiden Sie es, vertrauliche Informationen beim Benennen oder Beschreiben von Sicherheitszonen preiszugeben.

Sie können den Namen einer Sicherheitszone nach der Erstellung nicht mehr ändern.
Wählen Sie Sicherheitszone erstellen aus.

Wenn das ausgewählte Compartment bereits mit einer Sicherheitszone verknüpft ist, ist diese Schaltfläche deaktiviert.

Wenn Sie eine Sicherheitszone für ein Compartment erstellen, führt Cloud Guard die folgenden Aufgaben aus:

Alle vorhandenen Cloud Guard-Ziele für das Compartment und alle untergeordneten Compartments werden gelöscht
Erstellt ein Sicherheitszonenziel für das Compartment
Fügt dem Sicherheitszonenziel die von Oracle verwalteten Standarddetektorrezepte hinzu

Wenn Sie eine Sicherheitszone für ein Sub-Compartment erstellen, dessen übergeordnetes Compartment bereits in einer Sicherheitszone enthält, erstellt Cloud Guard ein separates Sicherheitszonenziel für das Sub-Compartment. Es werden keine Änderungen am vorhandenen Ziel für das übergeordnete Compartment vorgenommen.

Verletzungen der Sicherheitszonen-Policy anzeigen

Wenn das Compartment für die Sicherheitszone über vorhandene Ressourcen verfügt, können Sie alle Ressourcen identifizieren, die Policys der Sicherheitszone verletzen, und Korrekturmaßnahmen ergreifen.

Cloud Guard durchsucht die Ressourcen in Ihren Sicherheitszonen routinemäßig nach Policy-Verletzungen. Jede Policy-Verletzung wird in Cloud Guard als Problem aufgezeichnet. Bei einer neuen Sicherheitszone kann es bis zu drei Stunden dauern, bis Verletzungen erkannt werden.

Klicken Sie auf der Seite Überblick auf Ihre neue Sicherheitszone.
Die Seite Sicherheitszonendetails wird angezeigt.
Blenden Sie auf der Detailseite unter Verknüpfte Compartments das aktuelle Compartment ein, um alle Sub-Compartments anzuzeigen, die sich ebenfalls in der Sicherheitszone befinden.
Wenn das Compartment oder ein Sub-Compartment Policy-Verletzungen aufweist, wählen Sie Details in Cloud Guard anzeigen aus.

Die Seite Probleme in Cloud Guard wird geöffnet und zeigt nur in dieser Sicherheitszone erkannte Probleme an.
Wählen Sie eine Langzeitdiagnose aus, um die folgenden Details anzuzeigen:
- Beschreibung der Sicherheitszonen-Policy
- Name und Speicherort der Ressource, die die Policy verletzt
- Relative Risikostufe der Policy-Verletzung (Kritisch, Gravierend, Geringfügig usw.)
- Empfohlene Maßnahmen zur Behebung des Problems

Eine Beschreibung aller verfügbaren Policys finden Sie unter Sicherheitszonen-Policys.

Nächste Schritte

Nachdem Sie Cloud Guard aktivieren und Ihre erste Sicherheitszone erstellt haben, können Sie die Zone testen, anpassen oder andere Zonen erstellen.

Aufgabe	Weitere Informationen
Zone durch den Versuch testen, eine der Zonen-Policys zu verletzen	Wählen Sie eine Sicherheitszonen-Policy aus, die im Rezept der Zone aktiviert ist. Beispiel: Stellen Sie sicher, dass Sie weder ein öffentliches Subnetz noch einen öffentlichen Object Storage-Bucket erstellen können. Siehe Sicherheitszonen-Policys.
Separate Zone in einem Sub-Compartment erstellen	Sicherheitszone erstellen
Sub-Compartment aus der Zone entfernen	Sub-Compartments aus einer Sicherheitszone entfernen
Zone löschen	Sicherheitszone löschen
Cloud Guard-Detektorrezepte in einem Sicherheitszonenziel anpassen	Cloud Guard-Konfiguration anpassen
Auf andere von Cloud Guard erkannte Sicherheitsprobleme prüfen	Gemeldete Probleme verarbeiten
IAM-Policys erstellen, damit andere Gruppen Sicherheitszonen verwalten können	Cloud Guard-Policys

Wenn Sie eine Sicherheitszone nicht erfolgreich erstellen oder testen können, lesen Sie Fehler in Sicherheitszonen beheben.