Orientación de diseño para la integración de SIEM
Uno de los pilares del marco de adopción de la nube es la seguridad. Cuando migre cargas de trabajo o cree cargas de trabajo a la nube, implante diferentes capas en la seguridad para reducir el riesgo de ataques. Oracle Cloud Infrastructure (OCI) utiliza el marco de defensa en profundidad (DiD) para proteger la infraestructura en la nube en diferentes niveles. OCI también aplica el enfoque de seguridad de confianza cero. Para obtener más información, consulte Aproaching Zero Trust Security with Oracle Cloud Infrastructure.
¿Qué es la defensa en profundidad y por qué es importante?
La defensa en profundidad es un enfoque de seguridad de varias capas que ayuda a proteger los datos mediante el uso de diferentes tipos de defensas de seguridad. Si una capa de defensa falla o está comprometida, otros tipos de defensas mitigan el ataque y se vuelven operativas. Por ejemplo, si guarda los datos en varias cajas fuertes con diferentes tipos de defensa, como la biométrica, el acceso a la red y la autenticación, cada capa de seguridad aumenta la confianza de que los datos son seguros. Para cada capa hay un sistema de supervisión potencial que proporciona una visión completa del estado de seguridad de su caja fuerte.
De forma similar, al aplicar este concepto a la defensa de los sistemas de TI, el enfoque de defensa en profundidad protege todas las capas de los sistemas. Por ejemplo, el marco de defensa en profundidad ofrece protección a computadoras portátiles de empleados, usuarios y sus identidades, redes que conectan sistemas y aplicaciones que protegen sus datos.
Elementos de la defensa en profundidad
La defensa en profundidad se centra en las siguientes áreas de control:
- Controles físicos: evitan el acceso a sistemas físicos. El personal de seguridad suele representar este control, en lugar de los sistemas biométricos o las puertas de seguridad.
- Controles técnicos: previenen el acceso a los sistemas de TI, incluido el hardware y el software. Este control incluye sistemas de detección de intrusiones y firewalling, escáneres web, acceso Just-in-time, segmentación de red y cifrado de datos. Este control también se implanta mediante la supervisión de sus propios sistemas utilizando plataformas de información de seguridad y gestión de eventos (SIEM), así como plataformas de seguridad, orquestación, automatización y respuesta (SOAR).
- Controles administrativos: mida y verifique la seguridad mediante la implantación de políticas de seguridad, la evaluación de riesgos de ciberseguridad y la gestión de empleados y proveedores.
Para obtener más información, consulte Mantenimiento seguro de los datos en la nube y fuera de ella: defensa en profundidad.
Patrón de integración de SIEM
Se necesita una plataforma SIEM para aumentar la capacidad de respuesta a los ataques de seguridad. Mediante los sistemas SIEM, puede supervisar eventos de seguridad de diferentes orígenes, como redes, dispositivos e identidades. También puede analizar estas señales en tiempo real utilizando el Machine Learning para correlacionar varias señales e identificar actividades de piratería informática y eventos de seguridad irregulares recorriendo la red que supongan una amenaza. Hay varios SIEM de terceros disponibles para la integración con logs y eventos producidos en OCI. Si su plataforma SIEM no está cubierta, le recomendamos que se ponga en contacto con su representante de Oracle para obtener soporte.
Consolidación de logs de servicio
Al integrar sistemas de supervisión con OCI, puede consolidar los logs generados en OCI Logging. Logging proporciona acceso a todos los logs de los recursos de OCI, gestiona por completo todos los logs de su arrendamiento y es altamente escalable. Los logs incluyen información de diagnóstico esencial que describe el rendimiento de los recursos y cómo se está accediendo a ellos.
Los tipos de logs son los siguientes:
- Logs de auditoría: logs relacionados con eventos emitidos por el servicio OCI Audit.
- Logs de servicios: logs emitidos por los servicios nativos de OCI, como API Gateway, Events, Functions, Load Balancing, Object Storage y logs de flujo de VCN. Cada uno de estos servicios soportados tiene categorías de registro predefinidas que puede activar o desactivar en sus respectivos recursos.
- Logs personalizados: logs que contienen información de diagnóstico de aplicaciones personalizadas, otros proveedores de nube o un entorno local. Los logs personalizados se pueden ingerir mediante la API o mediante la configuración de Unified Monitoring Agent. Puede configurar una instancia de OCI Compute para cargar directamente logs personalizados a través del agente de supervisión unificado. Los logs personalizados están soportados en escenarios de máquina virtual y con hardware dedicado.
Para obtener más información sobre cómo consolidar logs mediante Logging y OCI Service Connector Hub, consulte Consolidación de logs de seguridad en la zona de llegada de OCI de CIS.
Como mejor práctica, también puede capturar eventos generados por Cloud Guard para obtener suficientes datos detallados a fin de enviarlos a su plataforma SIEM. Este proceso le ayuda a prepararse para posibles incidencias de seguridad.
Para obtener información sobre cómo exportar los eventos generados por Cloud Guard, consulte Integración de Oracle Cloud Guard con sistemas externos a través de OCI Events y Functions.
Arquitectura de referencia de SIEM de terceros
En una arquitectura de referencia de SIEM de terceros, Logging captura logs de diferentes orígenes, como logs de auditoría, logs de servicio (logs de flujo de VCN) y logs personalizados. Hay un flujo independiente para cada log, y cada log está conectado a su flujo con un hub de conector de servicio que escribe los logs dentro del servicio OCI Streaming. En paralelo, los eventos generados por Cloud Guard se recopilan y normalizan mediante una función de OCI que escribe los eventos en OCI Streaming.
A continuación, OCI Streaming puede interactuar con una plataforma SIEM de terceros, como Splunk o QRadar, que recopila los datos transmitidos para un análisis más detallado. Para ver un ejemplo, consulte Implantación de un sistema SIEM en Splunk mediante logs transmitidos desde Oracle Cloud.
La arquitectura de referencia de SIEM incluye los siguientes componentes de arquitectura.
- región
- Una región de OCI es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes entre sí y puede haber grandes distancias que separen las regiones entre países o continentes.
- dominio de disponibilidad
- Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como la alimentación o la refrigeración, ni la red interna del dominio de disponibilidad. Como resultado, es poco probable que un fallo en un dominio de disponibilidad afecte a los otros dominios de disponibilidad de la región.
- red y subredes virtuales en la nube
- Una red virtual en la nube (VCN) es una red personalizable y definida por software que se configura en una región de OCI. Al igual que las redes de los centros de datos tradicionales, las redes virtuales le proporcionan un control completo de su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.
- Logging
- Logging es un servicio escalable y totalmente gestionado que proporciona acceso a los logs de sus recursos en la nube. Los tipos de logs incluyen logs de auditoría, logs de servicios y logs personalizados.
- Streaming
- Streaming proporciona una solución de almacenamiento duradera, escalable y totalmente gestionada para la ingesta de flujos de datos continuos y de elevado volumen que puede consumir y procesar en tiempo real. Puede utilizar Streaming para ingerir datos de gran volumen, como logs de aplicación, telemetría operativa, datos de flujo de clics en la web o para otros casos de uso en los que se producen y procesan datos de forma continua y secuencial en un modelo de mensajería de publicación-suscripción.
- Service Connector Hub
- Service Connector Hub es una plataforma de bus de mensajes en la nube que organiza el movimiento de datos entre servicios de OCI. Puede utilizar la plataforma para mover datos entre servicios de OCI. Los datos se trasladan mediante conectores de servicio. Un conector de servicio especifica el servicio de origen que contiene los datos que se van a mover, las tareas que se van a realizar en los datos y el servicio de destino al que se deben entregar los datos cuando se completen las tareas.
- Oracle Cloud Guard
- Cloud Guard le ayuda a supervisar, identificar, lograr y mantener una estrategia de seguridad sólida en Oracle Cloud. Utilice el servicio para examinar los recursos de OCI en busca de deficiencias de seguridad relacionadas con la configuración, y los operadores y usuarios para detectar actividades arriesgadas. Tras la detección, Cloud Guard puede ofrecer sugerencias, prestar asistencia o aplicar medidas correctivas en función de la configuración.