Stellar Cyber: Führen Sie eine KI-basierte Plattform zur Erkennung und Erkennung offener Bedrohungen auf Oracle Cloud aus

Um Unternehmen dabei zu unterstützen, ihre digitalen Abläufe ganzheitlich zu schützen und Datensicherheitsverletzungen zu verhindern, integriert die KI-basierte Open Threat Detection and Response-Plattform (Open XDR) von Stellar Cyber nahtlos alle ihre Sicherheitstools und bietet Sicherheitsanalysten weltweit sofortige Bedrohungserkennung, Vorfallskorrelation sowie automatisierte Funktionen zur Bedrohungssuche und -reaktion.

Stellar Cyber unterstützt Sicherheitsbetriebsteams dabei, Cyberangriffe sofort zu erkennen, zu untersuchen und darauf zu reagieren. So können sie die Auswirkungen und Risiken für ihre Unternehmen reduzieren:

• Sensoren für Netzverkehr
• Betriebssystemtelemetrie
• Sammlung protokollieren
• API-Datenerfassung an der Edge
• Ein sicherer Kanal zur Orchestrierung von Antworten auf lokale Sicherheitstools, wie Firewalls, Endpunkterkennung und -antwort (EDR) und Identitätsplattformen

Stellar Cyber wurde 2015 gegründet und führt seine cloud-native Sicherheitsplattform auf Oracle Cloud Infrastructure (OCI) aus. Stellar Cyber automatisiert die Protokollverarbeitung und -weiterleitung und bietet tiefe Paketprüfung (DPI) und Netzwerkverkehrsanalyse (NTA) für mehr als 3500 Netzwerkanwendungen. Das Deployment umfasst eine Sandbox für die Erkennung von Malware ohne Tag, Datenpufferung und mehr.

Zunächst als On-Premise-Anwendung entwickelt, wurde das Deployment von Stellar Cyber als Software-as-a-Service-(SaaS-)Plattform umgestaltet und auf OCI verlagert.

Zu den Highlights des Einsatzes von Stellar Cyber gehören:

• Die ElasticSearch-(OpenSearch-)Engine verwaltet Indizes und Shards in einem Data Lake

• Mit Oracle Cloud Infrastructure Block Volumes können Sie Daten, die 30-90 Tage analysiert werden sollen, schnell abrufen

• Oracle Cloud Infrastructure Object Storage bietet ein Daten-Repository für längerfristigen, kalten Speicher für ein oder mehrere Jahre

• Oracle Cloud Infrastructure DevOps bietet Tools zum Erstellen von CI/CD-Pipelines (Continuous Integration/Continuous Development).

• Oracle Cloud Infrastructure Registry speichert, teilt und verwaltet Docker-Images

• Oracle Cloud Infrastructure Email Delivery sendet Alerts und Benachrichtigungen an die Kunden von Stellar Cyber

Architektur

Stellar Cyber verwendet eine Kombination aus seinen eigenen Sicherheitssensoren, Log-Collection-Engines und API-Connectors, um sicherheitsbezogene Daten im gesamten Unternehmen eines Kunden zu erfassen.

Die Sensordaten und Logs werden über Oracle Cloud Infrastructure Web Application Firewall (WAF) gesendet, die den Stellar Cyber Oracle Cloud Infrastructure-(OCI-)Mandanten vor unerwünschtem und böswilligem Netzwerkverkehr schützt. Die Architektur von Stellar Cyber verwendet Open-Source-Komponenten, die mit Containern erstellt wurden, die auf vier Knotenpools in einem Oracle Cloud Infrastructure Container Engine for Kubernetes-(OKE-)Cluster ausgeführt werden. Ein Knotenpool mit Apache Kafka und Apache Flink wird für Stream-Services bereitgestellt, in dem aufgenommene Daten von Kafka verarbeitet und zur Normalisierung und Anreicherung an Flink übergeben werden. Datenstreams werden mit Oracle Cloud Infrastructure Load Balancing ausgeglichen.

Das folgende Diagramm veranschaulicht den vereinfachten Datenfluss durch die Topologie.

Beschreibung der Abbildung stellar-cyber-oci-data-flow.png

stellar-cyber-oci-data-flow-oracle.zip

Elastic Stack wird in zwei separaten OKE-Knotenpools bereitgestellt: einen für Elasticsearch (Master) und einen für den Elasticsearch-Data Lake (Daten). Die normalisierten und angereicherten Daten aus Flink werden zur Abfrage und Analyse an Elasticsearch übergeben. Die Rohdaten werden im Elasticsearch-Data Lake gespeichert.

Ein Knotenpool für Microservices stellt Container für Korrelation, maschinelles Lernen und Services (API und UI) bereit, mit denen Benutzer ihre Daten prüfen, analysieren und visualisieren können.

Der Container für maschinelles Lernen interagiert mit Elasticsearch und stellt Daten für den Servicecontainer bereit, der dem Benutzer angezeigt werden soll. Algorithmen des maschinellen Lernens klassifizieren Bedrohungen, indem sie Zeitreihen und Peergruppen mit nicht überwachtem Lernen und Verhaltensanalysen analysieren und bekannte Angriffsmuster mit überwachtem Lernen verallgemeinern. Eine Graph-ML-basierte Korrelations-Engine wird verwendet, um Vorfälle auf hoher Ebene aus Alerts zu identifizieren. Für Kunden, die E-Mail-Alerts benötigen, generiert Oracle Cloud Infrastructure Email Delivery Benachrichtigungen. Oracle Cloud Infrastructure Domain Name Service (DNS) verwaltet Stellar-Cyber-DNS-Zonen.

Oracle Cloud Infrastructure Block Volumes verwaltet Hot Storage, bei dem Daten im Durchschnitt zwischen 30 und 90 Tagen gespeichert werden. Bei längerfristigem, kaltem Speicher wird Oracle Cloud Infrastructure Object Storage zur Aufbewahrung von Daten für mindestens ein Jahr verwendet. Hot Storage kann zwischen 1 TB und 300 TB liegen. Mit einer hierarchischen Mehrmandantenfähigkeit kann die Plattform mehrere Kunden gleichzeitig unterstützen und ermöglicht es sogar, dass ein Kunde ein Managed Service Provider (MSP) mit seinen eigenen Mandanten ist. Zusätzliche Speicher-Buckets können erstellt werden, um erfasste Datenstreams zu trennen.

Stellar Cyber nutzt die CI/CD-Tools von OCI (Code-Repository und Container-Registry) zusammen mit OCI DevOps, um das OKE-Cluster zu skalieren und zu überwachen. Ein Bastionhost wird als Jump-Server zur Administration des Systems verwendet.

Stellar Cyber plant, zusätzliche PaaS-Angebote von OCI zu nutzen, wie:

• Oracle Functions, um eine serverlose Architektur bereitzustellen
• Oracle Cloud Infrastructure Streaming und Oracle Stream Analytics, um Kafka als Streamingdaten-Handler zu ersetzen
• Oracle API Gateway ersetzt eigene API-Services für den Kundenzugriff
• Oracle Autonomous Data Warehouse für seinen Data Lake
• Oracle Cloud Infrastructure Service-Mesh für verschlüsselte und gegenseitig authentifizierte Kommunikation zwischen Microservice und Microservice

Durch die Verwendung der PaaS-Angebote wird Stellar Cyber den Aufwand für den Betrieb und die Wartung dieser Services reduzieren.

Das folgende Diagramm veranschaulicht diese Referenzarchitektur.

Beschreibung der Abbildung stellar-cyber-oci-architecture.png

Stern-Zyber-oci-Architektur-oracle.zip

Die Architektur umfasst die folgenden Komponenten:

• Mandant

  Ein Mandant ist eine sichere und isolierte Partition, die Oracle bei der Registrierung für Oracle Cloud Infrastructure in Oracle Cloud einrichtet. Sie können Ihre Ressourcen in Oracle Cloud in Ihrem Mandanten erstellen, organisieren und verwalten. Ein Mandant ist synonym zu einem Unternehmen oder einer Organisation. In der Regel verfügt ein Unternehmen über einen einzelnen Mandanten und spiegelt dessen Organisationsstruktur in diesem Mandanten wider. Ein einzelner Mandant ist in der Regel mit einem einzelnen Abonnement verknüpft, und ein einzelnes Abonnement hat in der Regel nur einen Mandanten.

• Region

  Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Center enthält, das als Availability-Domains bezeichnet wird. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie voneinander trennen (innerhalb von Ländern oder sogar Kontinenten).

• Compartment

  Compartments sind regionsübergreifende logische Partitionen in einem Oracle Cloud Infrastructure-Mandanten. In Compartments können Sie Ihre Ressourcen in Oracle Cloud organisieren, den Zugriff auf die Ressourcen kontrollieren und Nutzungs-Quotas festlegen. Um den Zugriff auf die Ressourcen in einem bestimmten Compartment zu kontrollieren, definieren Sie Policys, mit denen angegeben wird, wer auf die Ressourcen zugreifen kann und welche Aktionen sie ausführen können.

• Availability-Domain

  Availability-Domains sind eigenständige, unabhängige Data Center innerhalb einer Region. Die physischen Ressourcen in jeder Availability-Domain sind von den Ressourcen in den anderen Availability-Domains isoliert, was Fehlertoleranz bietet. Availability-Domains teilen keine Infrastruktur wie Stromversorgung oder Kühlung und nicht das interne Availability-Domainnetzwerk. Aus diesem Grund ist es wahrscheinlich, dass ein Fehler in einer Availability-Domain sich auf die anderen Availability-Domains in der Region auswirkt.

• Virtual Cloud Network (VCN) und Subnetze

  Ein VCN ist ein anpassbares, Software-definiertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten können. Wie herkömmliche Data Center-Netzwerke erhalten Sie mit VCNs vollständige Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain beschränken. Jedes Subnetz besteht aus einem fortlaufenden Adressbereich, der sich nicht mit den anderen Subnetzen im VCN überschneidet. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz ist öffentlich oder privat.

• Sicherheitsliste

  Für jedes Subnetz können Sie Sicherheitsregeln erstellen, die Quelle, Ziel und Typ des Traffics angeben, der in das und aus dem Subnetz zugelassen werden muss.

• Routentabelle

  Virtuelle Routentabellen enthalten Regeln, mit denen Traffic von Subnetzen zu Zielen außerhalb eines VCN, normalerweise über Gateways, weitergeleitet wird.

• Internetgateway

  Das Internetgateway lässt Traffic zwischen den öffentlichen Subnetzen in einem VCN und dem öffentlichen Internet zu.

• Network Address Translation-(NAT-)Gateway

  Mit einem NAT-Gateway können private Ressourcen in einem VCN auf Hosts im Internet zugreifen, ohne diese Ressourcen für eingehende Internetverbindungen anzugeben.

• Servicegateway

  Das Servicegateway ermöglicht den Zugriff von einem VCN auf andere Services wie Oracle Cloud Infrastructure Object Storage. Der Datenverkehr vom VCN zum Oracle-Service durchläuft die Oracle-Netzwerkfabric und nie das Internet.

• Web Application Firewall (WAF)

  Oracle Cloud Infrastructure Web Application Firewall (WAF) ist ein PCI-konformer, regionaler und Edge-Enforcement-Service, der an einen Enforcement Point angehängt ist, wie einen Load Balancer oder einen Domainnamen einer Webanwendung. WAF schützt Anwendungen vor böswilligem und unerwünschtem Internettraffic. WAF kann beliebige internetseitige Endpunkte schützen und bietet eine konsistente Regeldurchsetzung über alle Anwendungen eines Kunden hinweg.

• DNS

  Der Oracle Cloud Infrastructure Domain Name System-(DNS-)Service ist ein hoch skalierbares, globales Anycast-Domain-Namen-System-(DNS-)Netzwerk, das verbesserte DNS-Performance, -Resilienz und -Skalierbarkeit bietet, sodass Endbenutzer so schnell wie möglich von überall aus eine Verbindung zur Kundenanwendung herstellen können.

• Load Balancer

  Der Oracle Cloud Infrastructure Load Balancing-Service ermöglicht automatisierte Trafficverteilung von einem einzelnen Einstiegspunkt auf mehrere Server im Backend.

• Compute

  Mit dem Oracle Cloud Infrastructure Compute-Service können Sie Compute-Hosts in der Cloud bereitstellen und verwalten. Sie können Compute-Instanzen mit Ausprägungen starten, die Ihren Ressourcenanforderungen für CPU, Arbeitsspeicher, Netzwerkbandbreite und Speicher entsprechen. Nach dem Erstellen einer Compute-Instanz können Sie sicher auf die Compute-Instanz zugreifen, sie neu starten, Datenträger anhängen und trennen und sie beenden, wenn Sie sie nicht mehr benötigen.

• Container Engine for Kubernetes

  Oracle Cloud Infrastructure Container Engine for Kubernetes ist ein vollständig verwalteter, skalierbarer und hochverfügbarer Service, mit dem Sie Ihre Containeranwendungen in der Cloud bereitstellen können. Sie geben die von Ihren Anwendungen benötigten Compute-Ressourcen an, und Container Engine for Kubernetes stellt sie in einem vorhandenen Mandanten in Oracle Cloud Infrastructure bereit. Container Engine for Kubernetes verwendet Kubernetes, um das Deployment, die Skalierung und die Verwaltung containerisierter Anwendungen auf mehreren Hostclustern zu automatisieren.

• Volume blockieren

  Mit Block Storage Volumes können Sie Speicher-Volumes erstellen, anhängen, verbinden und verschieben und die Volume-Performance ändern, um Ihre Speicher-, Performance- und Anwendungsanforderungen zu erfüllen. Nachdem Sie ein Volume an eine Instanz angehängt und damit verbunden haben, können Sie es wie eine herkömmliche Festplatte verwenden. Sie können ein Volume auch trennen und an eine andere Instanz anhängen, ohne Daten zu verlieren.

• Dateispeicher

  Oracle Cloud Infrastructure File Storage Service stellt ein dauerhaftes, skalierbares und sicheres Netzwerkdateisystem der Unternehmensklasse bereit. Sie können über jede Bare-Metal-, VM- oder Containerinstanz in einem VCN eine Verbindung mit einem File Storage Service-Dateisystem herstellen. Sie können auch außerhalb des VCN mit Oracle Cloud Infrastructure FastConnect und IPSec-VPN auf ein Dateisystem zugreifen.

• Vault

  Oracle Cloud Infrastructure Vault ermöglicht Ihnen die zentrale Verwaltung der Verschlüsselungsschlüssel zum Schutz Ihrer Daten und der Secret-Zugangsdaten, mit denen Sie den Zugriff auf Ihre Ressourcen in der Cloud sichern. Mit dem Vault-Service können Sie Vaults, Schlüssel und Secrets erstellen und verwalten.

• Benachrichtigungen

  Der Oracle Cloud Infrastructure Notifications-Service sendet Nachrichten über ein Veröffentlichungs-Abonnementmuster an verteilte Komponenten. So erhalten Sie sichere, äußerst zuverlässige, niedrige Latenz und dauerhafte Nachrichten für Anwendungen, die auf Oracle Cloud Infrastructure gehostet werden.

• Audit

  Der Oracle Cloud Infrastructure Audit-Service zeichnet Aufrufe von allen unterstützten öffentlichen API-Endpunkten von Oracle Cloud Infrastructure automatisch als Logereignisse auf. Derzeit unterstützen alle Services das Logging durch Oracle Cloud Infrastructure Audit.

• Policy

  Eine Oracle Cloud Infrastructure Identity and Access Management-Policy gibt an, wer auf welche Ressourcen und wie zugreifen kann. Der Zugriff wird auf Gruppen- und Compartment-Ebene erteilt, d.h. Sie können eine Policy schreiben, mit der eine Gruppe einen bestimmten Zugriffstyp innerhalb eines bestimmten Compartments oder auf den Mandanten erhält.

Integrierte und bereitgestellte Features bereitstellen

Möchten Sie zeigen, was Sie auf Oracle Cloud Infrastructure erstellt haben? Möchten Sie Ihre Erkenntnisse, Best Practices und Referenzarchitekturen mit unserer globalen Community aus Cloud-Architekten teilen? Wir helfen Ihnen bei den ersten Schritten.

1. Laden Sie die Vorlage (PPTX) herunter

   Erstellen Sie eine eigene Referenzarchitektur, indem Sie die Symbole in den Beispiel-Drahtrahmen ziehen und ablegen.

2. Architektur-Tutorial ansehen

   Schritt-für-Schritt-Anweisungen zum Erstellen einer Referenzarchitektur.

3. Diagramm einreichen

   Senden Sie uns eine E-Mail mit Ihrem Diagramm. Unsere Cloud-Architekten überprüfen Ihr Diagramm und kontaktieren Sie, um Ihre Architektur zu besprechen.

Mehr erfahren

Erfahren Sie mehr über die Features dieser Architektur.

• Best Practices Framework für Oracle Cloud Infrastructure

• Oracle Cloud Infrastructure-Dokumentation

• Streaming in Apache Kafka verwenden

• Elastische Suche auf Oracle Cloud Infrastructure mit einer Terraform-Vorlage bereitstellen (Blog)

• Oracle Container Engine for Kubernetes bereitstellen (Tutorial)

• Oracle Cloud-Kostenrechner

Danksagungen

• Autoren: Robert Huie, Sasha Banks-Louie
• Mitwirkende: Ganesh Pitchaiah, Robert Lies