Ihre Umgebung überwachen und prüfen

Stellen Sie sicher, dass Sie die richtigen Steuerelemente zur Überwachung und Prüfung Ihrer Umgebung verwenden

Cloud Guard für Monitoring aktivieren

Enterprise Architect, Security Architect

Mit Oracle Cloud Guard erhalten Sie eine einheitliche Ansicht der Cloud-Sicherheitslage in allen Oracle Cloud Infrastructure-Kundenmandanten.
Cloud Guard-Ereignisse sollten von Ihrem Sicherheitsteam überwacht werden.

Stellen Sie sicher, dass Cloud Guard auf der Root-Ebene Ihres Mandanten aktiviert ist, um alle Compartments zu überwachen. Oracle Cloud Guard erkennt mandantenübergreifend falsch konfigurierte Ressourcen und unsichere Aktivitäten und bietet Sicherheitsadministratoren einen Überblick über Cloud-Sicherheitsprobleme, um diese zu prüfen und zu beheben. Sicherheitsinkonsistenzen können automatisch mit Out-of-the-box-Sicherheitsrezepten korrigiert werden, um das Security Operations Center effektiv zu skalieren. Oracle stellt Detektorrezepte (eine Cloud Guard-Komponente, die potenzielle Sicherheitsprobleme auf Basis der Ressourcenkonfiguration oder -aktivität identifiziert) zur Aktivierung der Instanzsicherheit in Cloud Guard bereit.

Instanzsicherheit ist ein Oracle Cloud Guard-Rezept, das Compute-Hosts auf verdächtige Aktivitäten überwacht. Instanzsicherheit bietet Laufzeitsicherheit für Workloads auf virtuellen Compute- und Bare-Metal-Hosts. Instance Security erweitert Cloud Guard von der Verwaltung der Cloud-Sicherheitslage auf den Schutz der Cloud-Workloads. Instance Security stellt sicher, dass die Sicherheitsanforderungen an einem Ort mit konsistenter Transparenz und einem ganzheitlichen Verständnis des Sicherheitsstatus der Infrastruktur erfüllt werden.

Auditing konfigurieren

Enterprise Architect, Security Architect

Der Oracle Cloud Infrastructure Audit-Service zeichnet Aufrufe von allen öffentlichen Oracle Cloud Infrastructure-API-Endpunkten automatisch als Logereignisse auf.
Derzeit unterstützen alle Services das Logging mit Oracle Cloud Infrastructure Audit.

Oracle Cloud Infrastructure Object Storage unterstützt das Logging für Bucket-bezogene Ereignisse, jedoch nicht für Objektereignisse. Die von Oracle Cloud Infrastructure Audit aufgezeichneten Logereignisse umfassen API-Aufrufe, die von der Oracle Cloud Infrastructure-Konsole, der Befehlszeilenschnittstelle (CLI), der Software Development Kits (SDK), Ihren eigenen benutzerdefinierten Clients oder anderen Oracle Cloud Infrastructure-Services durchgeführt wurden. Die Logs enthalten folgende Informationen:

  • Zeit, zu der die API-Aktivität aufgetreten ist.
  • Quelle der Aktivität.
  • Ziel der Aktivität.
  • Aktionstyp.
  • Antworttyp.

Jedes Logereignis umfasst eine Header-ID, Zielressourcen, den Zeitstempel des aufgezeichneten Ereignisses, Anforderungsparameter und Antwortparameter. Sie können Ereignisse, die von Oracle Cloud Infrastructure Audit protokolliert werden, über die Konsole, die API oder über das SDK für Java anzeigen. Daten aus Ereignissen können zur Erstellung von Diagnosen, zur Verfolgung der Ressourcennutzung, zur Überwachung der Compliance und zum Erfassen von sicherheitsbezogenen Ereignissen verwendet werden.

Wenn Sie über Tools von Drittanbietern verfügen, die auf Oracle Cloud Infrastructure Audit-Daten zugreifen müssen, konfigurieren Sie einen Service Connector Hub, um Oracle Cloud Infrastructure Audit-Daten mit einem entsprechenden Aufbewahrungszeitraum in einen Objektspeicher zu kopieren.

Ihre Policys prüfen

Enterprise Architect, Security Architect

Prüfen Sie Ihre Richtlinien regelmäßig, um sicherzustellen, dass sie den bewährten Sicherheitsverfahren entsprechen.

Ein Policy-Auditor kann IAM-Policys mit der Oracle Cloud Infrastructure-Konsole ad hoc prüfen. Es gibt auch mehrere Optionen, mit denen Policy-Berichte für die Offlineanalyse generiert werden können.

Cloud Guard verfügt über zwei Konfigurationsdetektorrezepte und ein Aktivitätsdetektorrezept speziell für IAM-Policys:

  • Policy erteilt zu viele Berechtigungen.
  • Mandantenadministratorberechtigung für Gruppe erteilt.
  • Sicherheits-Policy geändert.

Während von Oracle verwaltete Rezepte geändert werden können, empfiehlt Oracle, die Rezepte zu klonen, damit Sie die Objekte ändern können, die auf diese Regeln ausgerichtet sind (durch Verwendung von Tags oder Compartments). Dadurch können Produktionsumgebungen innerhalb eines Mandanten strengere Kontrollen haben und gleichzeitig die Einschränkungen in Nicht-Produktionsumgebungen, die sich in einem anderen Compartment im Mandanten befinden, lockern. Wenn Sie IAM-Policys auf einer detaillierteren Ebene prüfen müssen, empfiehlt Oracle, den Detektor Sicherheits-Policy geändert zu verwenden, um ein Ereignis auszulösen, das:

  • Löst eine manuelle Prüfung über die Policy aus.
  • Ruft eine Funktion zur Ausführung von Untersuchungen oder Korrekturen auf.

Berücksichtigen Sie beim Audit Ihrer Policys die folgenden potenziellen Probleme:

  • Wo sind Ihre Policys definiert, und entsprechen sie den Standards Ihrer Organisation für die Compartment-Nutzung?
  • Verwendung dynamischer Gruppen prüfen. Erteilen diese Gruppen übermäßige Berechtigungen?
  • Welche Services werden konfiguriert, und wo befinden sie sich? Es kann sein, dass einige Services auf bestimmte Compartments oder Gruppen beschränkt sein sollten.
  • Suchen Sie nach doppelten Anweisungen zum Entfernen.
  • Policys identifizieren, die dem gesamten Mandanten Berechtigungen erteilen.
  • Gruppen mit mehr Berechtigungen als erforderlich identifizieren.

Oracle Access Governance Cloud Service ist eine Cloud-native Identity and Governance and Administration-(IGA-)Lösung, die Benutzer-Provisioning, Zugriffsprüfungen und Identitätsanalysen bereitstellt, mit denen Sie Zugriffsberechtigungen definieren und verwalten können. Nutzen Sie umsetzbare Policy-Einblicke aus KI/gestützter Intelligenz für maschinelles Lernen, um Ihre Richtlinien zu auditieren.

VCN-Flowlogs überwachen

Enterprise Architect, Security Architect

VCN-Flowlogs erfassen Netzwerkverkehrsinformationen, um Ihre Monitoring- und Sicherheitsanforderungen zu unterstützen.
Jede Ressource in einem VCN enthält mindestens eine virtuelle Netzwerkkarte (VNIC). Mit Sicherheitslisten wird festgelegt, welcher Traffic über eine bestimmte VNIC zulässig ist. Die VNIC unterliegt allen Regeln in allen Sicherheitslisten, die mit dem Subnetz der VNIC verknüpft sind. Um Fehler in Sicherheitslisten zu beheben oder den Traffic in und aus VNICs zu prüfen, können Sie VCN-Flowlogs einrichten.
  • Überwachen Sie Details zum Traffic, der ein VCN durchläuft.
  • Prüfen Sie den Datenverkehr, und beheben Sie Fehler in Sicherheitslisten.
  • Aktivieren und verwalten Sie Flowlogs über das Netzwerk-Command Center.
  • Mit Capture-Filtern können Sie Traffic auswerten und auswählen, der in das Flowlog aufgenommen werden soll.
  • Mit Oracle Cloud Infrastructure Logging können Sie Loginformationen an eine angegebene Loggruppe senden.
  • Aktivieren Sie Flowlogs für alle VNICs in einem VCN, Subnetz, zielspezifischen Instanzen, Network Load Balancern oder Ressourcen-VNICs als Aktivierungspunkte.

Kontinuierlich auf Schwachstellen scannen

Enterprise Architect, Security Architect

Schwachstellen-Scanner sind Softwaretools, mit denen Unternehmen Schwachstellen in ihren Computersystemen, Netzwerken, Anwendungen und Datenspeichern identifizieren und priorisieren können. Diese Scanner analysieren das Zielsystem oder die Anwendung auf potenzielle Schwachstellen, z. B.:
  1. Veraltete Software oder Firmware.
  2. Ungepatchte Fehler (z. B. ungepatchte Betriebssysteme, Software oder Plugins).
  3. Falsch konfigurierte Einstellungen.
  4. Unsicherer Code oder Programmierfehler.
  5. Schwache Passwörter oder Authentifizierungsmechanismen.

Oracle Vulnerability Scanning Service trägt zu einer Verbesserung Ihres Sicherheitsstatus in Oracle Cloud Infrastructure bei, indem Hosts regelmäßig auf potenzielle Sicherheitslücken geprüft werden. Der Service generiert Berichte mit Metriken und Details zu diesen Sicherheitslücken.

Die Kernfunktionen des Oracle Vulnerability Scanning-Service sind:

  • Eine einfache, standardmäßig aktivierte, präskriptive und kostenlose Scan-Suite, die eng in die Oracle Cloud Infrastructure-Plattform integriert ist.
  • Standard-Plug-ins und -Engines basierend auf von Oracle Cloud Infrastructure erstellten und Open-Source-Scanning-Engines für Host- und Containerscans.
  • Oracle Cloud Infrastructure verwaltet das Deployment, die Konfiguration und das Upgrade dieser Engines und Agents in der gesamten Kundenflotte.
  • Von der Scansuite erkannte Probleme werden über Oracle Cloud Guard mit Regeln und ML angezeigt, um kritische Sicherheitslücken zu priorisieren.
  • Oracle Cloud Infrastructure ergreift über Responder Maßnahmen (Alert, automatische Remediate oder Quarantäne), um die Zeit von der Erkennung bis zur Korrektur zu verkürzen, einschließlich durch maximale Sicherheitszonen.
  • Integration mit Schwachstellenscannern von Drittanbietern wie Qualys Vulnerability Management, Detection und Response.

Servicelogs auf SIEM-Plattformen aggregieren

Enterprise Architect, Security Architect, Network Architect

Sie können Ihre OCI-Servicelogs an SIEM-(Security Information and Event Management-)Plattformen senden, um Ihre Reaktionsfähigkeit auf Sicherheitsangriffe zu erhöhen.

SIEM-Plattformen ermöglichen es Ihnen, Sicherheitsereignisse aus verschiedenen Quellen als Netzwerke, Geräte und Identitäten zu überwachen. Sie können diese Signale auch in Echtzeit analysieren, indem Sie maschinelles Lernen verwenden, um verschiedene Signale zu korrelieren und drohende Hacking-Aktivitäten und unregelmäßige Sicherheitsereignisse zu identifizieren, die das Netzwerk passieren.

OCI kann Logs und Ereignisse an mehrere SIEM-Plattformen von Drittanbietern senden.