Protección del análisis de vulnerabilidades

En este tema se proporciona información y recomendaciones de seguridad para Oracle Cloud Infrastructure Vulnerability Scanning Service.

Vulnerability Scanning ayuda a mejorar su estrategia de seguridad en Oracle Cloud comprobando de forma rutinaria las posibles vulnerabilidades de los hosts.

Responsabilidades de seguridad

Para utilizar Vulnerability Scanning de forma segura, conozca sus responsabilidades de seguridad y conformidad.

En general, Oracle proporciona seguridad en la infraestructura y las operaciones en la nube, como controles de acceso de operadores en la nube y aplicación de parches de seguridad de la infraestructura. Usted es responsable de configurar de forma segura sus recursos en la nube. La seguridad en la nube es una responsabilidad compartida entre usted y Oracle.

Oracle es responsable de los siguientes requisitos de seguridad:

Seguridad física:Oracle es responsable de proteger la infraestructura global que ejecuta todos los servicios ofrecidos en Oracle Cloud Infrastructure. Esta infraestructura consta del hardware, el software, la red y las instalaciones que ejecutan los servicios de Oracle Cloud Infrastructure.
Seguridad de la base de datos: Oracle es responsable de proteger y aplicar parches a la base de datos utilizada para almacenar recursos de Vulnerability Scanning, incluidas recetas de exploración, destinos de exploración y resultados de exploración.

Las responsabilidades de seguridad se describen en esta página, que incluye las siguientes áreas:

Control de acceso: limite los privilegios lo máximo posible. A los usuarios solo se les debe otorgar el acceso necesario para realizar su trabajo.

Tareas de seguridad iniciales

Utilice esta lista de control para identificar las tareas que debe realizar para proteger Vulnerability Scanning en un nuevo arrendamiento de Oracle Cloud Infrastructure.

Tarea	Más información
Utilice las políticas de IAM para controlar quién puede configurar Vulnerability Scanning y quién puede ver los resultados de la exploración.	Políticas de IAM
Configure un gateway de servicios para explorar instancias informáticas que no tengan direcciones IP públicas.	Seguridad de red

Tareas de seguridad rutinarias

Después de empezar a utilizar Vulnerability Scanning, utilice esta lista de control para identificar las tareas de seguridad que le recomendamos que realice con regularidad.

Tarea	Más información
Responder a las vulnerabilidades detectadas en los informes de exploración	Informes de vulnerabilidades de host Exploración con Cloud Guard
Realice una auditoría de seguridad	Auditoría

Políticas de IAM

Utilice políticas para limitar el acceso a Vulnerability Scanning.

Una política especifica quién puede acceder a los recursos de Oracle Cloud Infrastructure y cómo. Para obtener más información, consulte Funcionamiento de las políticas.

Asigne a un grupo los privilegios mínimos necesarios para cumplir con sus responsabilidades. Cada política tiene un verbo que describe las acciones que puede realizar el grupo. Desde la menor cantidad de acceso a la mayor cantidad de acceso, los verbos disponibles son: inspect, read, use y manage.

Tenga en cuenta las siguientes preguntas organizativas al crear políticas para Vulnerability Scanning.

¿Existe un grupo dedicado responsable de configurar Vulnerability Scanning en todos los recursos de todos los compartimentos?
¿Los administradores de compartimentos son responsables de configurar Vulnerability Scanning para los recursos de sus compartimentos individuales?
¿Existe un grupo dedicado que supervise los resultados de la exploración de recursos en todos los compartimentos y, a continuación, comunique estos resultados a los propietarios de compartimentos o a los propietarios de recursos?
¿Los administradores de compartimentos supervisan los resultados de la exploración de recursos en sus compartimentos individuales y, a continuación, comunican estos resultados a los propietarios de recursos?
¿Los propietarios de recursos necesitan acceso a los resultados de exploración?

Para utilizar la exploración basada en agente para instancias informáticas (hosts), también debe otorgar permiso al servicio Vulnerability Scanning para desplegar Oracle Cloud Agent en las instancias de destino.

Recomendamos que otorgue permisos DELETE a un juego mínimo de usuarios y grupos de IAM. Esta práctica minimiza la pérdida de datos de supresiones involuntarias por parte de usuarios autorizados o de actores maliciosos. Otorgue permisos DELETE solo a los administradores de arrendamiento y compartimento.

Permitir a los usuarios del grupo SecurityAdmins explorar recursos en todo el arrendamiento

Un grupo dedicado es responsable de configurar Vulnerability Scanning en todos los recursos de todos los compartimentos.

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Permitir a los usuarios del grupo SalesAdmins explorar recursos en el compartimento SalesApps

Los administradores de compartimentos son responsables de configurar Vulnerability Scanning para los recursos de sus compartimentos individuales.

Allow group SalesAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesApps
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesApps

Permitir a los usuarios del grupo SecurityAuditors ver los resultados de exploración de todo el arrendamiento

Un grupo dedicado supervisa los resultados de Vulnerability Scanning para los recursos de todos los compartimentos.

Allow group SecurityAuditors to read vss-family in tenancy

Permitir a los usuarios del grupo SalesAuditors ver los resultados de exploración en el compartimento SalesApps

Los administradores de compartimentos supervisan los resultados de la exploración de recursos en sus compartimentos individuales.

Allow group SalesAuditors to read vss-family in compartment SalesApps

Para obtener más información sobre las políticas de Vulnerability Scanning y ver más ejemplos, consulte Políticas de IAM de Scanning.

Seguridad de la red

Utilice Vulnerability Scanning para explorar recursos que están en subredes privadas o que no tienen direcciones IP públicas.

Una instancia informática está asociada a una VCN (red virtual en la nube) y una subred. Al crear una subred de una VCN, la subred se considera pública por defecto y se permite la comunicación por Internet. Si una instancia que desea explorar está en una subred privada o no tiene ninguna dirección IP pública, la VCN debe incluir un gateway de servicio y una regla de ruta para el gateway de servicio. Consulte Acceso a servicios de Oracle: gateway de servicio.

Auditorías

Localice los logs de acceso y otros datos de seguridad para Vulnerability Scanning.

El servicio Audit registra automáticamente todas las llamadas de API a los recursos de Oracle Cloud Infrastructure. Puede lograr sus objetivos de seguridad y conformidad mediante el servicio Audit para supervisar toda la actividad de los usuarios dentro de su arrendamiento. Dado que todas las llamadas a la consola, SDK y la línea de comandos (CLI) pasan por nuestras API, se incluye toda la actividad de esos orígenes. Los registros de auditoría están disponibles mediante una API de consulta autenticada y filtrable o se pueden recuperar como archivos por lotes de Object Storage. El contenido del log de auditoría incluye la actividad que se produjo, el usuario que la inició, la fecha y la hora de la solicitud, así como la IP de origen, el agente de usuario y las cabeceras HTTP de la solicitud. Consulte Visualización de eventos del log de auditoría.

Por ejemplo, puede auditar rutinariamente toda la actividad de API relacionada con la creación, actualización y supresión de destinos de exploración. Puede buscar en el servicio Audit estos eventos:

CreateHostScanTarget
UpdateHostScanTarget
DeleteHostScanTarget

Ejemplo de log de auditoría

Un extracto de un evento CreateHostScanTarget en el servicio Audit.

{
  "eventType": "com.oraclecloud.vulnerabilityScanning.CreateHostScanTarget.begin",
  "cloudEventsVersion": "0.1",
  "eventTypeVersion": "2.0",
  "source": "vulnerabilityScanning",
  "eventId": "<unique_ID>",
  "eventTime": "2021-09-20T13:19:20.046Z",
  "contentType": "application/json",
  "data": {
    "eventGroupingId": "<unique_ID>",
    "eventName": "CreateHostScanTarget",
    "compartmentId": "<unique_ID>",
    "compartmentName": "MyCompartment",
    "resourceName": "MyScanTarget",
    "resourceId": "<unique_ID>",
    "availabilityDomain": "AD3",
    "freeformTags": {},
    "definedTags": {},
    "identity": {
      "principalName": "myuser",
      "principalId": "<unique_ID>",
      "authType": "natv",
      "callerName": null,
      "callerId": null,
      "tenantId": "<unique_ID>",
      "ipAddress": "<IP_address>",
      "credentials": "<credentials>",
      "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36",
      "consoleSessionId": "<unique_ID>"
    },
    ...
  }
}

Para obtener una lista de todos los eventos de Vulnerability Scanning, consulte Eventos de Scanning.