Seguridad de instancia
La seguridad de la instancia es una nueva receta de detector de Oracle Cloud Guard que supervisa los hosts informáticos para detectar actividades sospechosas.
- Acerca de la seguridad de instancias proporciona una introducción a conceptos que son útiles para comprender cuando se trabaja con la seguridad de instancias.
- En Activación de la seguridad de instancia se muestra cómo empezar a utilizar la seguridad de instancia aplicando una receta de detector de seguridad de instancia a un destino.
- En Recetas de detector de seguridad de instancia se describen las recetas de detector de seguridad de instancia.
Acerca de la seguridad de instancias
La seguridad de instancias proporciona seguridad de tiempo de ejecución para las cargas de trabajo en hosts virtuales y con hardware dedicado de Compute. La seguridad de instancias amplía Cloud Guard de la gestión de la estrategia de seguridad en la nube a la protección de la carga de trabajo en la nube. Garantiza que las necesidades de seguridad se satisfagan en un solo lugar con una visibilidad coherente y una comprensión holística del estado de seguridad de la infraestructura.
La seguridad de instancias recopila información de seguridad importante sobre los hosts informáticos, como alertas de seguridad (denominadas problemas en Cloud Guard), vulnerabilidades y puertos abiertos, para proporcionarle orientación práctica para la detección y la prevención. Puede detectar procesos sospechosos, la creación de puertos abiertos y la ejecución de scripts para cargas de trabajo, con visibilidad a nivel de sistema operativo. La seguridad de instancias proporciona nuevas detecciones listas para usar gestionadas por Oracle y consultas gestionadas por el cliente para casos de uso de búsqueda de amenazas.
La seguridad de instancias se integra de forma nativa con OCI Logging para que pueda exportar fácilmente logs a sus herramientas de seguridad de terceros.
Solución de seguridad basada en EBPF
Instance Security utiliza la tecnología Extended Berkeley Packet Filter (eBPF) para detectar eventos de seguridad en el nivel de núcleo. eBPF es una tecnología de núcleo que permite que los programas se ejecuten sin tener que cambiar el código fuente del núcleo.
Puede recopilar datos automáticamente para detectar anomalías de seguridad y obtener estadísticas detalladas sobre los sistemas operativos, sin modificar ningún código de núcleo y sin afectar significativamente al rendimiento.
Alineado con el marco MITRE ATT&CK
Instance Security proporciona un conjunto de reglas de detector listas para usar gestionadas por Oracle alineadas con el marco MITRE ATT&CK con el objetivo de reducir el trabajo manual de su centro de operaciones de seguridad (SOC) para encontrar actividades de adversarios conocidas.
La información se ejecuta a través de modelos alineados con el marco MITRE ATT&CK para clasificar las posibles tácticas y técnicas implicadas.
Ejecutar consultas bajo demanda
Puede ejecutar consultas a demanda en instancias informáticas periódicamente, o bien bajo demanda para obtener visibilidad en tiempo real del estado de su máquina.
Instance Security ejecuta OSquery bajo el capó que expone los datos del sistema operativo como una base de datos relacional de alto rendimiento. Osquery es un agente de host multiplataforma, de código abierto y de alto rendimiento que le brinda visibilidad e información a su flota. Recopila y normaliza datos independientes del sistema operativo y aumenta la visibilidad en toda la infraestructura. OSquery viene con soporte de cientos de tablas que cubren todo, desde procesos en ejecución hasta extensiones de núcleo cargadas. La seguridad de instancias soporta la mayoría de las tablas de consultas de código abierto, además de las tablas personalizadas de OCI.
Programar consultas
Una vez que haya ejecutado una consulta y esté satisfecho con el resultado de la misma, puede programar la ejecución de la consulta con una frecuencia regular. Si necesita proporcionar pruebas de que cumple determinados controles de seguridad como parte de los requisitos de conformidad y auditoría para los hosts informáticos, puede utilizar consultas programadas. La seguridad de la instancia está integrada con el servicio OCI Logging, y puede configurar el servicio OCI Logging para enviar los datos raw a un servicio de información de seguridad y gestión de eventos (SIEM) o a un agregador de datos de terceros.
Recetas de detector de seguridad de instancia
Hay dos recetas de detector de seguridad de instancia gestionadas por Oracle:
- Receta de detector de seguridad de instancia de OCI: Enterprise (gestionada por Oracle).
- Receta de detector de seguridad de instancia de OCI (gestionada por Oracle).
Puede realizar configuraciones personalizadas de recetas de detector clonando estas recetas y reglas. Consulte Clonación de una receta de OCI Detector.
Solo puede aplicar una receta de detector de seguridad de instancia a un destino. Si desea cambiar la receta, primero debe eliminar la existente del destino y, a continuación, aplicar la otra.
Receta de detector de seguridad de instancia de OCI: Enterprise (gestionada por Oracle)
Esta receta es una oferta de pago que proporciona una funcionalidad de servicio completa. Le proporciona alertas basadas en detecciones listas para usar de Oracle y le permite consultar su conjunto mediante consultas personalizadas y programadas.
Esta receta de detector lista para usar utiliza todas las reglas de detector de seguridad de instancia que se detallan en Reglas de detector de seguridad de instancia de OCI.
Para averiguar el costo, consulte la información de precios de Cloud Guard en la lista de precios de Cloud. Puede utilizar la herramienta Estimador de costos para ayudarle a determinar su uso mensual y facturación. Consulte Visión general de la gestión de facturación y costos.
| Recurso | Recuento por arrendamiento |
|---|---|
| Número de instancias cubiertas por región | Ilimitados |
| Reglas de detector listas para usar | Ilimitados |
| Consultas bajo demanda | Ilimitados |
| Consultas programadas | 25 consultas por instancia y día |
| Tamaño de los resultados de la consulta programada | 5 MB por instancia al día |
En este ejemplo se muestra cómo funcionan los límites de consulta programados.
El límite para el tamaño de los resultados de la consulta programada es por instancia, por lo que si tiene 10 instancias en una región, el límite regional de nivel de inquilino es de 5*10 = 50 MB por día
Cuando alcance el límite de resultados de consultas programadas en una región, las consultas mostrarán el estado Failed y verá el mensaje:
Scheduled query size limit has reached, the limit will reset the next dayUna vez restablecido el límite al día siguiente, las consultas programadas se realizarán correctamente hasta que se vuelva a alcanzar el límite.
Receta de detector de seguridad de instancia de OCI (gestionada por Oracle)
Si no está listo para invertir en seguridad de instancia pero desea probar el servicio, puede probar esta receta gratuita. Le avisará de problemas de vulnerabilidad y de exploración de puertos abiertos, y podrá ejecutar un número limitado de consultas.
Esta receta de detector utiliza las reglas de detector de seguridad de instancia:
| Recurso | Recuento por arrendamiento |
|---|---|
| Número de instancias cubiertas por región | 5 |
| Reglas de detector listas para usar | 2 |
| Consultas bajo demanda | 30 al mes por región |
| Consultas programadas | 0 |
En este ejemplo se muestra cómo funcionan los límites de consulta bajo demanda considerando dos escenarios.
Tiene un límite mensual de 30 consultas a demanda en una región:
- Ejecuta su primera consulta bajo demanda y dirige 25 instancias activas y todas se ejecutan correctamente, lo que da 25 resultados.
- Ejecuta una segunda consulta bajo demanda y dirige 25 instancias activas, pero esta vez solo obtendrá cinco resultados en cinco instancias seleccionadas aleatoriamente porque solo le quedan 5 consultas bajo demanda para el mes.
- Si, a continuación, ejecuta una tercera consulta bajo demanda y se dirige a una sola instancia, verá el siguiente mensaje:
You have consumed free adhoc units for this month, your limit will reset next month
Las consultas caducadas se reembolsan al límite mensual después de unos 15 minutos.
- La primera consulta bajo demanda se dirigió a 25 instancias (24 activas y 1 inactiva) y el resultado es que caducó con 24 resultados de los agentes activos.
- Ha ejecutado una segunda consulta bajo demanda y 25 instancias de destino (24 activas y 1 inactiva), y esta vez solo obtiene cinco resultados en cinco instancias seleccionadas aleatoriamente porque solo le quedan 5 consultas bajo demanda para el mes.
- Si, a continuación, ejecuta una tercera consulta bajo demanda y se dirige a una sola instancia, verá el siguiente mensaje:
You have consumed free adhoc units for this month, your limit will reset next month