Activación de la seguridad de instancias para una red local

Describe los pasos para activar el agente de seguridad de instancia en una red local.

Si está ejecutando una imagen personalizada en un conjunto que no tiene Oracle Cloud Agent activado, debe instalar el agente de seguridad theInstance (anteriormente, Workload Protection o WLP) manualmente.

Debe actualizar el agente de su conjunto cada mes. Consulte Actualización manual del agente de seguridad de instancia.

Para suprimir el agente de seguridad de instancia, consulte Desinstalación del agente de seguridad de instancia.

Nota

Estos pasos solo son para arrendamientos de hosts locales.

Requisitos

Para activar la seguridad de instancia en Cloud Guard, siga las tareas de Activación de la seguridad de instancia para:
- Aplique una de las recetas de detector de seguridad de instancia gestionadas por Oracle a un destino.
- Agregue las sentencias de política para la seguridad de la instancia en la consola.
Anote el OCID del compartimento. Consulte Listado de compartimentos.

Agregando políticas

Debe agregar las siguientes políticas en la consola. Consulte Creación de una política.

Política de descarga de agente, que permite descargar el agente de seguridad de instancia.

Endorse any-user to read objects in any-tenancy where all { target.bucket.name = 'wlp-agent' }

Políticas de operaciones de agente, que permiten operaciones de agente normales.

Allow any-user to { WLP_BOM_READ, WLP_CONFIG_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
 
Endorse any-user to { WLP_LOG_CREATE, WLP_METRICS_CREATE, WLP_ADHOC_QUERY_READ, WLP_ADHOC_RESULTS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }

Políticas de agentes locales

Allow any-user to { WLP_AGENT_CREATE, WLP_AGENT_DELETE, WLP_AGENT_UPDATE } in tenancy
 
Endorse any-user to inspect certificate-authority-family in any-tenancy where request.obo-service.name = 'workloadprotection'
 
Endorse any-user to use certificate-authority-delegate in any-tenancy where request.obo-service.name = 'workloadprotection'
 
Endorse any-user to manage leaf-certificate-family in any-tenancy where request.obo-service.name = 'workloadprotection'
 
Endorse any-user to read leaf-certificate-bundles in any-tenancy where any {request.principal.id = target.resource.tag.wlp.userid, request.principal.id = target.resource.tag.wlp.agentid}
 
Endorse any-user to use tag-namespaces in any-tenancy where request.obo-service.name = 'workloadprotection'

Preparación para crear el archivo de configuración local

Obtenga una sesión de principal de usuario token.
Utilice la CLI para generar una clave privada y un token de sesión. En un terminal de la computadora, ejecute:
```
oci session authenticate --region <region>
```
Se abre una nueva página del explorador en la que puede introducir sus credenciales de OCI. Después de la autenticación correcta, cierre el explorador.
Si no tiene la CLI de OCI instalada, siga los pasos del inicio rápido Instalar CLI.

En el terminal, introduzca un nombre de perfil para guardar el token de sesión de usuario.

Por ejemplo:

$ oci session authenticate --region us-ashburn-1
    Please switch to newly opened browser window to log in!
    You can also open the following URL in a web browser window to continue:
https://login.us-ashburn-1.oraclecloud.com/v1/oauth2/authorize?action=login&client_id=iaas_console&response_type=token+id_token&nonce=<unique-ID>
    Completed browser authentication process!
Enter the name of the profile you would like to create: production
Config written to: /Users/<user>/.oci/config
 
    Try out your newly created session credentials with the following example command:
 
    oci iam region list --config-file /Users/<user>/.oci/config --profile production --auth security_token

Ejecute esta acción para validar el token de sesión de usuario.

oci session validate --config-file <YOUR_CONFIG_FILE_PATH> --profile <YOUR_PROFILE_NAME> --region <region> --auth security_token

Esto muestra la hora de caducidad de la credencial (alrededor de 1 hora) y le pide que vuelva a autenticarla si ya ha caducado.

Por ejemplo:

$ oci session validate --config-file /Users/<user>/.oci/config --profile production --region us-ashburn-1 --auth security_token
Session is valid until 2024-05-07 16:41:32

Cree una nueva carpeta en el host remoto en una ubicación en la que el usuario tenga acceso de escritura, por ejemplo, .oci. Si ya tiene una carpeta con este nombre, cree una con otro nombre.

obtenga la clave privada y el token de sesión en la carpeta que ha creado:

Para Linux: utilice scp para clave privada y token de sesión en la carpeta que ha creado.

# Private key example path - ~/.oci/sessions/<YOUR_PROFILE_NAME>/oci_api_key.pem
# Token example path = ~/.oci/sessions/<YOUR_PROFILE_NAME>/token
 
scp -i <ssh-key> ~/.oci/sessions/<YOUR_PROFILE_NAME>/oci_api_key.pem opc@<ip>:/home/opc/.oci
scp -i <ssh-key> ~/.oci/sessions/<YOUR_PROFILE_NAME>/token opc@<ip>:/home/opc/.oci

Para Windows: copie y pegue los mismos dos archivos en C:\Users\opc u otra ubicación en la que el usuario tenga acceso de escritura.

Creación del archivo de configuración local

La ubicación se controla mediante una variable de entorno.
- Para Linux, la variable de entorno es WLP_ON_PREM_AGENT_CONFIG_PATH y la ruta por defecto es /etc/wlp/config.
- Para Windows, la variable de entorno es wlp_on_prem_agent_prod_config_path y la ruta por defecto es C:\ProgramData\wlpagent\config.
Contenido posible para el archivo de configuración local:
- región: región de supervisión para el host local.
- tenantId: OCID de arrendamiento donde ha activado WLP y creado el destino.
- compartmentId: OCID de compartimento asociado al destino al que se asocia la receta de WLP
- privateKeyPath: ruta del archivo de clave privada guardada por el comando de autenticación de sesión de OCI
- securityTokenPath: ruta de token de seguridad guardada por el comando de autenticación de sesión de OCI
- proxyEndpoint: punto final de proxy https del servidor proxy. Esto solo es necesario cuando tiene su propia configuración de servidor proxy y desea que todas las solicitudes de los agentes sean controladas por su servidor proxy. La seguridad de instancia también utiliza el punto final de websocket para la ejecución de consultas bajo demanda, por lo que el servidor proxy también debe estar configurado para soportar el proxy de websocket. Para que el agente de seguridad de instancias funcione correctamente, debe incluir en la lista de permitidos estos puntos finales de servidor:
  - dp.workloadprotection.{region}.oci.{domain_name} (e.g. dp.workloadprotection.us-ashburn-1.oci.oralcecloud.com)
  - adhoc.workloadprotection.{region}.oci.{domain_name} (por ejemplo, workloadprotection.us-ashburn-1.oci.oraclecloud.com)
  - cloudguard-cp-api.{region}.oci.{domain_name} (por ejemplo, cloudguard-cp-api.us-ashburn-1.oci.oraclecloud.com)
  - certificates.{region}.oci.{domain_name} (por ejemplo, certificates.us-ashburn-1.oraclecloud.com)
  Ejemplo de formato proxyEndpoint:
  http[s]://<proxy_username>:<proxy_password>@<proxy_url>:<proxy_port>

Cree el archivo de configuración y su contenido:

Para Linux:

#ubuntu@wlp-cp-ubuntu-1:~$ sudo su
root@wlp-cp-ubuntu-1:/home/opc# mkdir -p /etc/wlp
root@wlp-cp-ubuntu-1:/home/ubuntu# cd /etc/wlp/
root@wlp-cp-ubuntu-1:/etc/wlp# touch config
# paste or edit the contents of config in vi config as shown below
root@wlp-cp-ubuntu-1:/etc/wlp# vi config
root@wlp-cp-ubuntu-1:/etc/wlp# cat config
{
  "region": "us-ashburn-1",
  "tenantId": "ocid1.tenancy.oc1..<example-ID>",
  "compartmentId": "ocid1.compartment.oc1..<example-ID>",
  "privateKeyPath": "/home/ubuntu/.oci/oci_api_key.pem",
  "securityTokenPath": "/home/ubuntu/.oci/token",
  "proxyEndpoint": "http://user:pass@proxy.com:3333"
}

Para Windows:

Vaya a esta ubicación C:\ProgramData\wlpagent.
Cree un nuevo archivo denominado config.
Pasar este código en el nuevo archivo config.

cd C:\ProgramData\wlpagent
C:\ProgramData\wlpagent>(
More? echo {
More? echo  "region": "us-ashburn-1",
More? echo "tenantId": "ocid1.tenancy.oc1..aaaaaaaa4t6edhuglsk33i4waq5c7udkgbek72up2iswkciyimh44tawhpea",
More? echo  "compartmentId": "ocid1.compartment.oc1..aaaaaaaaedatxkoovn424u2azxrqn47nsrmrn6vi72joim6nn6mme3rmgqoq",
More? echo "privateKeyPath": "C:\Users\opc\oci_api_key.pem",
More? echo "securityTokenPath": "C:\Users\opc\token"
More? echo "proxyEndpoint": "http://user:pass@proxy.com:3333"
More? echo }
More? ) > config
 
C:\ProgramData\wlpagent>
C:\ProgramData\wlpagent>more config
{
 "region": "us-ashburn-1",
"tenantId": "ocid1.tenancy.oc1..aaaaaaaa4t6edhuglsk33i4waq5c7udkgbek72up2iswkciyimh44tawhpea",
 "compartmentId": "ocid1.compartment.oc1..aaaaaaaaedatxkoovn424u2azxrqn47nsrmrn6vi72joim6nn6mme3rmgqoq",
"privateKeyPath": "C:\Users\opc\oci_api_key.pem",
"securityTokenPath": "C:\Users\opc\token",
"proxyEndpoint": "http://user:pass@proxy.com:3333" 
}
 
C:\ProgramData\wlpagent>

Creación del archivo de configuración de proxy

Si no tiene un escenario local, pero solo un escenario de proxy, debe crearlo para crear un archivo de configuración de proxy.

La ubicación del archivo de configuración de proxy se controla mediante una variable de entorno:
- Para Linux, la variable de entorno es WLP_PROXY_CONFIG_PATH y la ruta por defecto es /etc/wlp/proxy.
- Para Windows, la variable de entorno es wlp_proxy_prod_config_path y la ruta de acceso por defecto es C:\ProgramData\wlpagent\proxy
Contenido posible para el archivo de configuración de proxy:
- proxyEndpoint: punto final de proxy https del servidor proxy. Este solo es necesario cuando tiene su propia configuración de servidor proxy y desea que todas las solicitudes de los agentes sean controladas por su servidor proxy. La seguridad de instancia también utiliza el punto final de websocket para la ejecución de consultas bajo demanda, por lo que el servidor proxy también debe estar configurado para soportar el proxy de websocket. Para que el agente de seguridad de instancias funcione correctamente, debe incluir en la lista de permitidos estos puntos finales de servidor:
  - dp.workloadprotection.{region}.oci.{domain_name} (e.g. dp.workloadprotection.us-ashburn-1.oci.oraclecloud.com)
  - adhoc.workloadprotection.{region}.oci.{domain_name} (por ejemplo, workloadprotection.us-ashburn-1.oci.oraclecloud.com)
  - cloudguard-cp-api.{region}.oci.{domain_name} (por ejemplo, cloudguard-cp-api.us-ashburn-1.oci.oraclecloud.com)
  - certificates.{region}.oci.{domain_name} (por ejemplo, certificates.us-ashburn-1.oraclecloud.com)

Cree el archivo de configuración de proxy y su contenido:

Para Linux:

#ubuntu@wlp-cp-ubuntu-1:~$ sudo su
root@wlp-cp-ubuntu-1:/home/opc# mkdir -p /etc/wlp
root@wlp-cp-ubuntu-1:/home/ubuntu# cd /etc/wlp/
root@wlp-cp-ubuntu-1:/etc/wlp# touch config
# paste or edit the contents of config in vi config as shown below
root@wlp-cp-ubuntu-1:/etc/wlp# vi config
root@wlp-cp-ubuntu-1:/etc/wlp# cat config
{
  "proxyEndpoint": "http://user:pass@proxy.com:3333"
}

Para Windows:

Vaya a esta ubicación C:\ProgramData\wlpagent.
Cree un nuevo archivo denominado config.
Pegue este código en el nuevo archivo config.

cd C:\ProgramData\wlpagent
C:\ProgramData\wlpagent>(
More? echo {
More? echo "proxyEndpoint": "http://user:pass@proxy.com:3333"
More? echo }
More? ) > config
 
C:\ProgramData\wlpagent>
C:\ProgramData\wlpagent>more config
{
 "region": "us-ashburn-1",
"tenantId": "ocid1.tenancy.oc1..aaaaaaaa4t6edhuglsk33i4waq5c7udkgbek72up2iswkciyimh44tawhpea",
 "compartmentId": "ocid1.compartment.oc1..aaaaaaaaedatxkoovn424u2azxrqn47nsrmrn6vi72joim6nn6mme3rmgqoq",
"privateKeyPath": "C:\Users\opc\oci_api_key.pem",
"securityTokenPath": "C:\Users\opc\token",
"proxyEndpoint": "http://user:pass@proxy.com:3333" 
}
 
C:\ProgramData\wlpagent>

Instalación del agente de seguridad de instancia

En la siguiente tabla, descargue y copie el instalador del agente de seguridad de instancia en el host.


Sistema Operativo de Host	Enlace para descargar	Comandos
Oracle Linux 9	OL9 Brazo - wlp-agent-1.1.231-250429.el9.aarch64.rpm https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el9.aarch64.rpm OL9 Amd - wlp-agent-1.1.231-250429.el9.x86_64.rpm https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el9.x86_64.rpm	`sudo yum install <your-installer-full-path>` o `sudo rpm -ivh <your-installer-full-path>`
Oracle Linux 8	OL8 Brazo - wlp-agent-1.1.231-250429.el8.aarch64.rpm `https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el8.aarch64.rpm` OL8 Amd - wlp-agent-1.1.231-250429.el8.x86_64.rpm `https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el8.x86_64.rpm`	`sudo yum install <your-installer-full-path>` o `sudo rpm -ivh <your-installer-full-path>`
Oracle Linux 7	OL7 Brazo - wlp-agent-1.1.231-250429.el7.aarch64.rpm `https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el7.aarch64.rpm` OL7 Amd - wlp-agent-1.1.231-250429.el7.x86_64.rpm `https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el7.x86_64.rpm`	`sudo yum install <your-installer-full-path>` o `sudo rpm -ivh <your-installer-full-path>`
Ubuntu	Brazo de Ubuntu - wlp-agent-1.1.231-250429.ubuntu1.arm64.deb https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.ubuntu1.arm64.deb Ubuntu24 Amd - wlp-agent-1.1.231-250429.ubuntu24.amd64.deb https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.ubuntu24.amd64.deb Brazo Ubuntu24: wlp-agent-1.1.231-250429.ubuntu24.arm64.deb https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.ubuntu24.arm64.deb	`sudo DEBIAN_FRONTEND=noninteractive NEEDRESTART_SUSPEND=1 apt-get -y install <your-installer-full-path>`
Debian	Debian Amd - wlp-agent-1.1.231-250429.debian.amd64.deb https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.debian.amd64.deb	`sudo DEBIAN_FRONTEND=noninteractive apt-get -y install <your-installer-full-path>` o `sudo dpkg -i <your-installer-full-path>`
Windows	`https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-<version>.amd64.exe`	Copie (cargue) el instalador en una ubicación conveniente (por ejemplo, `C:\Users\opc`). Abra un terminal de comandos (no powershell) en modo Administrador. Dentro del terminal, ejecute: `cmd /c start <installer-full-path> /quiet` Espere 5 segundos. Los logs están disponibles en `C:\Program Files\wlpagent\logs\wlpagent.log`.

Comprobación del estado del agente de seguridad de instancia

Compruebe el estado del agente de seguridad de instancia y su log para ver si se ha seleccionado la identidad local.

Reiniciar agente:
- Linux: sudo systemctl status wlp-agent-osqueryd.service
- Windows: vaya a las herramientas de administrador y, a continuación, realice el servicio, busque wlp-agent y compruebe el estado del servicio.
Compruebe el log del agente:
- Linux: sudo tail -f /var/log/wlp-agent/wlp-agent.log
- Windows: C:\Program Files\wlp-agent\logs\wlpagent.log

Documentación de Oracle Cloud Infrastructure