Documentación de Oracle Cloud Infrastructure

Introducción a Cloud Guard

Revise los conceptos de Oracle Cloud Guard, asegúrese de que cumple los requisitos, active por primera vez Cloud Guard y, a continuación, acceda a Cloud Guard de forma rutinaria.

Planificación para Cloud Guard

Si dedica algo de tiempo a planificar cómo se asigna la funcionalidad de Cloud Guard a su entorno antes de activar y configurar Cloud Guard, puede que ahorre algo de tiempo más adelante.

Puede activar Cloud Guard y comenzar a supervisar el entorno inmediatamente. Todo lo que tiene que hacer es especificar un único destino que se asigne al compartimento de nivel superior de la rama de Oracle Cloud Infrastructure que desea supervisar. A continuación, con el tiempo, puede personalizar la configuración de Cloud Guard, en función de su experiencia con el procesamiento de los problemas que Cloud Guard detecta. Puede personalizar continuamente la configuración de Cloud Guard para optimizar el rendimiento de cara a lograr un objetivo de dos partes:

  1. No dejar que nada que represente un riesgo de seguridad potencial quede sin detectar.
  2. No detectar "demasiados" falsos positivos, es decir, problemas que en realidad no representan posibles riesgos de seguridad.

Si lleva a cabo algo de planificación, es posible que consiga avanzar un poco hacia este objetivo de dos partes. Todo lo que tiene que hacer es inspeccionar cómo están organizados en los compartimentos los recursos del arrendamiento de Oracle Cloud Infrastructure.

Inspeccione el entorno

Examen de los tipos de recursos que están almacenados en las diferentes partes de la jerarquía de compartimentos del arrendamiento de Oracle Cloud Infrastructure. ¿Existen grupos de recursos en diferentes partes de esa jerarquía de compartimentos que se deban supervisar de diferentes maneras con el fin de detectar diferentes tipos de amenazas? Si se detecta el mismo problema en compartimentos diferentes, ¿representaría niveles de riesgo diferentes?

Cloud Guard le permite definir diferentes áreas de su arrendamiento de Oracle Cloud Infrastructure que se pueden supervisar de diferentes maneras. La contrapartida es que todos los compartimentos que se encuentren dentro de un área definida se supervisan de la misma manera.

Familiarícese con la terminología de Cloud Guard

En Conceptos de Cloud Guard se definen los términos que aprenderá a medida que trabaje con Cloud Guard. Para empezar, la siguiente lista resume lo que necesita saber para empezar con la planificación para Cloud Guard.

Destino
Define el ámbito de comprobación de Cloud Guard. Todos los compartimentos de un destino se comprueban de la misma manera y tiene las mismas opciones para el procesamiento de los problemas que se detectan.
Detector
Realiza comprobaciones para identificar posibles problemas de seguridad en función de las actividades o configuraciones. Las reglas que se siguen para identificar los problemas son las mismas para todos los compartimentos de un destino.
Responsable de respuesta
Especifica las acciones que Cloud Guard puede realizar cuando los detectores identifican problemas. Las reglas sobre cómo procesar los problemas identificados son las mismas para todos los compartimentos de un destino.

Familiarícese con las recetas de detector de Cloud Guard

Revise las reglas que se describen en las secciones de Referencia de las recetas de detector para los diferentes detectores. En su entorno:

  • ¿Hay compartimentos que no desea que Cloud Guard supervise en absoluto? Si es así, tendrá que definir uno o varios destinos de tal forma que se excluyan esos compartimentos.
  • ¿Cree que es posible que desee definir el nivel de riesgo de forma diferente o activar y desactivar las reglas de forma diferente según los recursos de las diferentes partes de la jerarquía de compartimentos de Oracle Cloud Infrastructure? Para configurar las reglas de detector de forma diferente para los diferentes compartimentos, tendrá que definir destinos separados para esos compartimentos.

    Por ejemplo, para la regla de configuración "El cubo es público", el nivel de riesgo por defecto es "CRÍTICO" y la regla está activada por defecto. ¿Debería esta configuración ser la misma para todos los compartimentos?

  • Puede desactivar acciones de las recetas de responsable de respuesta sobre los problemas que identifican los detectores. Si desea que las acciones de una regla de responsable de respuesta concreta estén activadas en algunos compartimentos y desactivadas en otros, tendrá que definir destinos separados para esos compartimentos.

    Por ejemplo, la regla de responsable de respuesta "Convertir el cubo en privado" está activada por defecto. ¿Tiene algunos compartimentos en los que todos los cubos son públicos intencionadamente y, por lo tanto, puede desactivar esta regla?

Planifique la asignación de los destinos a los compartimentos

Si llegados a este punto no cree que necesite definir varios destinos y ha completado los Requisitos, puede continuar con la Activación de Cloud Guard. Siempre puede cambiar la configuración del destino más tarde, a medida que surja la necesidad.

Si cree que necesita configurar destinos para permitir que los diferentes compartimentos se supervisen de forma diferente, tenga en cuenta estas directrices al asignar destinos a compartimentos:

  • Todos los compartimentos de un destino heredan la configuración de ese destino. Los ajustes de las reglas de detector y responsable de respuesta de un destino se aplican al compartimento de nivel superior asignado a ese destino y a cualquier compartimento subordinado que se encuentre debajo de él en la jerarquía de compartimentos.

    Si desea excluir algunos compartimentos de la supervisión, cree destinos por debajo del nivel raíz y no incluya el compartimento raíz en ningún destino.

  • El destino definido dentro de un destino existente sustituye la configuración heredada. Dentro de un destino existente, puede asignar un compartimento que se encuentre por debajo del compartimento de nivel superior de dicho destino a un nuevo destino. Después, puede cambiar los ajustes de las reglas de detector y responsable de respuesta del nuevo destino y esos valores se aplicarán al compartimento de nivel superior asignado a ese destino y a todos los compartimentos subordinados que haya bajo él en la jerarquía de compartimentos.

Seleccione cuidadosamente su región de informes

Al activar Cloud Guard, se le solicita que seleccione una región de informes. Tenga muy en cuenta estas consecuencias de la elección de la región de informes:

  • La región de informe que seleccione compromete a su organización a cumplir con todos los requisitos legales del país en el que se aloje dicha región de informe.
  • Después de activar Cloud Guard, no se puede cambiar la región de informe sin desactivar y volver a activar Cloud Guard.
  • Al desactivar Cloud Guard, se pierden todas las personalizaciones y los problemas existentes (incluido su historial), por lo que tendría que restaurar manualmente esas personalizaciones.
  • Todas las llamadas a la API, excepto en el caso de READ, se deben realizar en la región de informes.

Asegúrese de tomar la mejor decisión para su región de informes, antes de comenzar con Pasos para activar Cloud Guard.

Activando Cloud Guard

Realice esta tarea para activar Oracle Cloud Guard desde la consola de OCI.

Requisito: realice las tareas de Requisitos y de Planificación para Cloud Guard.

Dos estrategias

Puede elegir entre dos enfoques básicos para activar Cloud Guard:

  1. Comenzar con la configuración por defecto: desea que Cloud Guard empiece a informar de los problemas lo antes posible después de completar el proceso de activación.

    No omita ninguna selección opcional durante el proceso de activación.

    Nota

    Si omite alguna de las selecciones opcionales durante el proceso de activación, Cloud Guard no comenzará a informar automáticamente de los problemas después de completarlo. Si omite la configuración opcional durante la activación, Cloud Guard no podrá empezar a notificar los problemas hasta que agregue recetas de detector al destino especificado. Consulte Edición de un destino de OCI y sus recetas asociadas.
  2. Personalizar primero la configuración: desea personalizar la configuración de Cloud Guard antes de que Cloud Guard empiece a notificar los problemas.

    Puede omitir cualquiera de las selecciones opcionales, u omitirlas todas, durante el proceso de activación.

Cualquiera que sea el enfoque que adopte para activar Cloud Guard, podrá ajustar la configuración de Cloud Guard según sea necesario tras la activación.

Pasos para activar Cloud Guard
  1. Inicie sesión en la consola de OCI con el usuario de Oracle Cloud Guard que creó en Requisitos, en la sección "Creación del usuario y el grupo de Cloud Guard".
  2. Abra el menú de navegación e Identidad y seguridad. En Cloud Guard, seleccione cualquier recurso.
    Nota

    Si se abre la página del recurso de Cloud Guard en la que ha hecho clic, Cloud Guard ya está activado.
  3. En la página de Cloud Guard, seleccione el botón Activar Cloud Guard en la parte superior derecha para abrir el cuadro de diálogo Activar Cloud Guard.
    El panel Política de Cloud Guard muestra una lista de todas las políticas de OCI que se deben activar para que Cloud Guard sea totalmente funcional. La columna de la derecha muestra:
    • No agregado si la política NO está activada actualmente.
    • Agregado si la política está activada actualmente.

    A menos que vuelva a activar Cloud Guard después de la desactivación, todas las entradas deben ser No agregadas.

    Nota

    Estas políticas son privilegios de solo lectura que permiten a Cloud Guard supervisar los recursos de OCI en el arrendamiento. Con estas políticas no proporciona a Cloud Guard ningún privilegio de gestión sobre los recursos

    Excepción: la política manage cloudevents-rules permite a Cloud Guard crear reglas de suscripción de eventos de auditoría, que son críticas para que Cloud Guard detecte problemas. Las reglas de detector de actividad de Cloud Guard funcionan mediante la ingesta y el análisis de los eventos de auditoría de su arrendamiento. Cloud Guard necesita crear una regla gestionada por eventos en la nube en su arrendamiento, para que pueda suscribirse a los eventos de auditoría. El privilegio USE es necesario para permitir que Cloud Guard muestre las reglas de seguridad de NSG.

    Las siguientes políticas de IAM se agregan automáticamente al grupo de políticas "Políticas de Cloud Guard" al seleccionar Crear política en la parte inferior del panel Política de Cloud Guard en el cuadro de diálogo Activar Cloud Guard:

    allow service cloudguard to manage cloudevents-rules in tenancy where target.rule.type='managed'
allow service cloudguard to read audit-events in tenancy
allow service cloudguard to read authentication-policies in tenancy
allow service cloudguard to read autonomous-database-family in tenancy
allow service cloudguard to read compartments in tenancy
allow service cloudguard to read compute-management-family in tenancy
allow service cloudguard to read database-family in tenancy
allow service cloudguard to read data-safe-family in tenancy
allow service cloudguard to read dynamic-groups in tenancy
allow service cloudguard to read groups in tenancy
allow service cloudguard to read instance-family in tenancy
allow service cloudguard to read keys in tenancy
allow service cloudguard to read load-balancers in tenancy
allow service cloudguard to read log-groups in tenancy
allow service cloudguard to read object-family in tenancy
allow service cloudguard to read policies in tenancy
allow service cloudguard to read tenancies in tenancy
allow service cloudguard to read users in tenancy
allow service cloudguard to read vaults in tenancy
allow service cloudguard to read virtual-network-family in tenancy
allow service cloudguard to read volume-family in tenancy
allow service cloudguard to use network-security-groups in tenancy
    1. En la parte inferior del panel Política de Cloud Guard, seleccione Crear política.

      Si todas las políticas necesarias se crean correctamente, las entradas de la columna de la derecha ahora están agregadas.

    2. Si alguna de las entradas de la columna de la derecha aún se muestra en No agregado, agregue esas políticas manualmente:
      En función de cómo utilice el servicio OCI Identity, consulte:
  4. Seleccione Siguiente para continuar con el panel Información básica.
    1. Seleccione una región de informe.
      La región de informe debe ser una región que Cloud Guard soporte. Si Cloud Guard no soporta la región que seleccione, tendrá que seleccionar otra región.
      Atención

      Considere cuidadosamente la selección de la región de informe:

      • La región de informe que seleccione compromete a su organización a cumplir con todos los requisitos legales del país en el que se aloje dicha región de informe.
      • Después de activar Cloud Guard, no se puede cambiar la región de informe sin desactivar y volver a activar Cloud Guard.
      • Al desactivar Cloud Guard, se pierden todas las personalizaciones y los problemas existentes (incluido su historial), por lo que tendría que restaurar manualmente esas personalizaciones.
      • Todas las llamadas a la API, excepto en el caso de READ, se deben realizar en la región de informes.
    2. Asegúrese de registrar el nombre de la región de informes que especifique.

      En todas las tareas de configuración y solución de problemas que realice después de la activación, debe especificar la región de informes de Cloud Guard, no la región principal de OCI.

      Nota

      Para buscar el nombre de la región de informes, consulte Visualización de la región de informes.
    3. Especifique los compartimentos que supervisar en el arrendamiento de OCI.

      Seleccione una de las siguientes opciones:

      • Todos para supervisar todos los compartimentos.
      • Seleccionar compartimentos y, a continuación, seleccione de la lista para supervisar únicamente los compartimentos que especifique.
      • Ninguno para no supervisar ningún compartimento. Es posible que desee seleccionar Ninguno para limitarse a ver el contenido de las recetas de detector antes de activar alguna de ellas.
        Nota

        La selección que realice aquí definirá un destino para que Cloud Guard lo supervise. Para realizar la activación con la opción "Comenzar con la configuración por defecto", no seleccione Ninguno.
    4. (Opcional) Seleccione una receta de detector de configuración en la lista.
      Nota

      Para realizar la activación con la opción "Comenzar con la configuración por defecto", no omita esta selección.
    5. (Opcional) Seleccione una receta de detector de actividad en la lista.
      Nota

      Para realizar la activación con la opción "Comenzar con la configuración por defecto", no omita esta selección.

    6. Seleccione Activado.

      Una barra de progreso sustituye al botón Activar Cloud Guard en la página Cloud Guard.

      Nota

      Si ha alcanzado este punto en un arrendamiento gratuito, la activación no continuará.
  5. Cuando se complete la activación, en la página Cloud Guard, seleccione Ir a Cloud Guard.

    Aparece la página Visión general de Cloud Guard y comienza la visita guiada. Gradualmente,

    Nota

    Si siguió el enfoque "Empezar con la configuración por defecto" en el proceso de activación, pronto empezará a aparecer información sobre los problemas en Cloud Guard. La rapidez con la que comienza a aparecer la información de los problemas depende del entorno, de la configuración de los destinos y detectores y del número de problemas que se produzcan y que Cloud Guard tenga que detectar.
  6. Realice la visita guiada para familiarizarse con las funciones de la página Descripción general.

Siguiente paso

Nota

Independientemente de la estrategia que haya seguido en el proceso de activación, Cloud Guard desactiva dos reglas de detector de configuración de OCI por defecto en nuevos arrendamientos. La desactivación inicial de estas reglas es necesaria para evitar que Cloud Guard genere un número excesivo de problemas que consideraría falsos positivos. Para obtener más información sobre estas reglas, consulte:

Consejo

Algunas de las reglas de detector activadas por defecto podrían producir un número excesivo de problemas en su entorno concreto. Para poder desactivar las reglas de detector, debe clonar la receta de detector gestionada por Oracle para crear una versión gestionada por el usuario. Consulte Clonación de una receta de detector de OCI.

Para borrar rápidamente los problemas que ahora considera falsos positivos, para cada regla de receta gestionada por el usuario que produce un número excesivo de problemas:
  1. Determine las opciones de la regla que cambiar para que la regla ya no genere esos falsos positivos.

    Consulte la información de referencia de la regla en Referencia de las recetas de detector.

  2. Modifique las opciones de la regla para que la regla ya no genere esos falsos positivos.

    Consulte Edición de ajustes de reglas en una receta de OCI Detector.

  3. Desactive la regla.

    Consulte Edición de ajustes de reglas en una receta de OCI Detector.

  4. Vuelva a activar la regla.

    Consulte Edición de ajustes de reglas en una receta de OCI Detector.

Integración de Cloud Guard con otros servicios

Asegúrese de que existen los datos de configuración necesarios para permitir la integración de Cloud Guard con otros servicios.

Una vez que haya terminado de realizar las tareas de Activación de Cloud Guard, más algunas tareas de seguimiento si utiliza la estrategia Personalizar primero la configuración, todas las integraciones con otros servicios deben funcionar correctamente.

Cuando los nuevos servicios que soportan la integración con Cloud Guard estén disponibles más tarde, debe asegurarse de que los detalles de configuración de Cloud Guard soportan correctamente el nuevo servicio:

  • Los destinos de Cloud Guard deben contener todos los compartimentos en los que se encuentran los recursos del nuevo servicio que Cloud Guard va a supervisar.
  • Las recetas de detector de Cloud Guard que contienen las reglas específicas del nuevo servicio se deben asociar a esos destinos de Cloud Guard.

Amplíe uno de los siguientes nombres de servicio para ver los pasos que se deben seguir para asegurarse de que los detalles de configuración de Cloud Guard soportan correctamente el servicio.

Servicio de certificados

Requisito: asegúrese de que el servicio Certificados ya está activado y funciona correctamente.

  1. Si Cloud Guard NO está activado:
    1. Active Cloud Guard: consulte Activación de Cloud Guard.

      Siga los pasos de "Comience con la configuración por defecto".

    2. Asegúrese de activar la receta de detector de actividad de OCI.
    3. Asegúrese de definir un destino de Cloud Guard que abarque los compartimentos de OCI que desea que Cloud Guard supervise para el servicio Certificados.
    4. Asegúrese de que la receta de detector de actividad de OCI está asociada al destino de Cloud Guard. Consulte Visualización de detalles de un destino.

      Si es necesario, consulte Creación de un destino o Modificación de recetas agregadas a un destino.

  2. Si Cloud Guard ya ESTÁ activado, asegúrese de que el arrendamiento de Cloud Guard tenga:
  3. Si es necesario, acote la configuración de estas reglas que se muestran en la receta de detector de actividad de OCI (gestionada por Oracle o gestionada por el usuario): consulte Modificación de ajustes de regla en las recetas de un destino.
    • Grupo de autoridades de certificación actualizado
    • Autoridad de certificación (CA) suprimida
    • Autoridad de certificación (CA) intermedia revocada

    Su objetivo es optimizar las configuraciones de reglas para que no pase por alto problemas reales, pero que no se siente abrumado por los falsos positivos. Puede que sea necesario supervisar los problemas generados desde el servicio Certificados durante un tiempo, antes de poder determinar si se necesitan modificaciones de reglas.

  4. Vea los problemas generados desde el servicio Certificados en la página Problemas de Cloud Guard. Consulte Viewing the Problems List.
    Para ver problemas solo para el servicio Certificados, filtre la lista Problemas mediante Etiquetas = Certificados.
    Nota

    La entrada Etiquetas no es sensible a mayúsculas/minúsculas, pero debe coincidir exactamente con los caracteres de "certificates".
Servicio Data Safe

Requisito: asegúrese de que el servicio Data Safe ya está activado y funciona correctamente. Si realiza los siguientes pasos antes de activar el servicio Data Safe, Cloud Guard le avisa de que debe activar Data Safe siempre que encuentre una base de datos.

  1. Si Cloud Guard NO está activado:
    1. Active Cloud Guard: consulte Activación de Cloud Guard.

      Siga los pasos de "Comience con la configuración por defecto".

    2. Asegúrese de activar la receta de OCI Configuration Detector.
    3. Asegúrese de definir un destino de Cloud Guard que abarque los compartimentos de OCI que desea que Cloud Guard supervise para el servicio Data Safe.
    4. Asegúrese de que la receta de detector de configuración de OCI está asociada al destino de Cloud Guard. Consulte Visualización de detalles de un destino.

      Si es necesario, consulte Creación de un destino o Modificación de recetas agregadas a un destino.

  2. Si Cloud Guard ya ESTÁ activado, asegúrese de que el arrendamiento de Cloud Guard tenga:
  3. Agregue las siguientes políticas al arrendamiento de Cloud Guard para permitir el acceso a la información de Data Safe:

    allow service cloudguard to read data-safe-family in tenancy

    allow service cloudguard to read autonomous-database-family in tenancy

  4. Si es necesario, acote la configuración de estas reglas que se muestran en la receta de detector de configuración de OCI (gestionada por Oracle o gestionada por el usuario). Consulte Modificación de ajustes de regla en las recetas de un destino.
    • Data Safe no está activado (esta regla no funciona después de activar Data Safe)
    • Database no está registrado con Data Safe (esta regla no está operativa, si Data Safe no está activado)

    Su objetivo es optimizar las configuraciones de reglas para que no pase por alto problemas reales, pero que no se siente abrumado por los falsos positivos. Puede que sea necesario supervisar los problemas generados desde el servicio Data Safe durante un tiempo, antes de poder determinar si se necesitan modificaciones de reglas.

  5. Vea los problemas generados desde el servicio Data Safe en la página Problemas de Cloud Guard. Consulte Viewing the Problems List.
    Para ver problemas solo para el servicio Seguridad de los datos, filtre la lista Problemas mediante Etiquetas = Seguridad de base de datos.
    Nota

    La entrada Etiquetas no es sensible a mayúsculas/minúsculas, pero debe coincidir exactamente con los caracteres de "database security".
Servicio de información sobre amenazas

Requisito: asegúrese de que tanto el servicio Cloud Guard como el servicio Threat Intelligence estén activados. Cloud Guard comienza a informar de problemas, basándose en información del servicio de información sobre amenazas, sin ninguna otra configuración.

Para permitir a los usuarios seleccionar un enlace de Detalles del problema, en la página Problemas de Cloud Guard y ver información detallada en Información sobre amenazas, asegúrese de que haya una política implantada que otorgue permiso al usuario:

... to read threat-intel-family in tenancy

Consulte Políticas de IAM de información sobre amenazas.

Servicio de Registro

La seguridad de instancias utiliza el servicio OCI Logging para registrar la actividad.

Requisito: asegúrese de que Cloud Guard y el servicio Logging están activados.

Cloud Guard produce dos tipos de logs.

  • Logs raw de Cloud Guard, producidos por la seguridad de la instancia. Puede activar estos logs al asociar una receta de seguridad de instancia a un destino. También puede activarlos desde el servicio Logging.
  • Logs de resultados de consultas de Cloud Guard, generados por consultas programadas.

Para obtener información sobre las políticas para trabajar con logs, consulte Permisos necesarios para trabajar con logs y grupos de logs.

Para obtener información sobre los tipos de logs que produce Cloud Guard, consulte Detalles de registro para Cloud Guard.