Conceptos de Cloud Guard
Conozca los componentes y la terminología de Cloud Guard.
Cloud Guard examina los recursos de Oracle Cloud Infrastructure y detecta deficiencias de seguridad relacionadas con la configuración, y también revisa los operadores y usuarios e identifica actividades de riesgo. Tras la detección, Cloud Guard puede ofrecer sugerencias, prestar asistencia o tomar medidas correctivas, en función de la configuración.
El siguiente diagrama proporciona una visión general de alto nivel del flujo del sistema de Cloud Guard. Puede consultar este diagrama a medida que revisa los conceptos de Cloud Guard cuyas definiciones se proporcionan a continuación.
A la hora de trabajar con Cloud Guard, es importante que comprenda los siguientes términos:
- Destino
- Define el ámbito de comprobación de Cloud Guard. En Oracle Cloud Infrastructure, este ámbito está vinculado al compartimento donde se define el destino y a todos los compartimentos secundarios desde ese punto hasta que se encuentra otro destino. El otro destino que se encuentra toma el relevo desde ese punto hacia los compartimentos descendentes.
- Un destino puede consistir en todo el arrendamiento de OCI (destino en el compartimento raíz).
- Para supervisar políticas de IAM, el compartimento raíz debe ser un destino.
- Debe especificar al menos un destino al activar Cloud Guard. Puede modificar ese destino y definir más destinos más tarde.
- Los destinos no se pueden solapar y solo se aplica un único destino a la vez a un compartimento y sus recursos.
- Un compartimento (y sus secundarios) puede estar exento de las comprobaciones si se declara destino pero no se aplican recetas de detector a ese destino.
- Detector
- Realiza comprobaciones e identifica posibles problemas de seguridad en función de su tipo y configuración.
- Receta de detector
- Proporciona las bases para examinar los recursos y las actividades del destino.
- Receta de detector gestionada por Oracle
-
- Proporcionada por Cloud Guard.
- Permite definir únicamente el ámbito de los recursos para el cual una regla genera un problema.
- No permite desactivar reglas ni cambiar el nivel de riesgo de una regla.
- Puede actualizarse para incluir nuevos valores por defecto y ajustes en cualquier momento.
Haga un seguimiento de las Notas de versión de Cloud Guard para acceder a estas actualizaciones.
- Receta de detector gestionada por el usuario
-
- Creada mediante la clonación de una receta gestionada por Oracle.
- Permite definir el ámbito de los recursos para el cual una regla genera un problema.
- También permite desactivar reglas individuales y cambiar el nivel de riesgo de una regla.
- Receta de detector de actividad de OCI
- Juego de reglas diseñadas específicamente para detectar acciones en los recursos que podrían plantear un problema de seguridad.
- Receta de detector de configuración de OCI
- Juego de reglas diseñadas específicamente para detectar valores de configuración de recursos que podrían plantear un problema de seguridad.
- Receta de detector de seguridad de instancia de OCI
- Juego de reglas diseñadas específicamente para proporcionar seguridad de tiempo de ejecución para cargas de trabajo en hosts virtuales y con hardware dedicado de recursos informáticos.
- Receta de detector de amenazas de OCI
- Juego de reglas diseñadas específicamente para detectar patrones sutiles de actividad en su entorno que podrían estar produciéndose y convertirse en un problema de seguridad.
- Regla de detector
- Proporciona una definición específica de una clase de recursos, con acciones o configuraciones específicas, que hacen que un detector informe de un problema. Una receta de detector consta de varias reglas de detector. Si se dispara cualquiera de las reglas, el detector informa de un problema. Todas las reglas de una receta de detector se pueden configurar individualmente.
- Problema
- Cualquier acción o configuración de un recurso que pueda causar un problema de seguridad. Cloud Guard supervisa la actividad de red del arrendamiento de Oracle Cloud Infrastructure para identificar y resolver problemas. Los problemas:
- Se crean cuando Cloud Guard detecta una desviación con respecto a una regla de detector.
- Se definen según el tipo de detector que los crea: actividad o configuración.
- Contienen datos sobre el tipo de problema específico que se ha encontrado.
- Se pueden resolver, descartar o solucionar.
- Responsable de respuesta
- Acción que puede realizar Cloud Guard cuando un detector ha identificado un problema. Las acciones disponibles son específicas de cada recurso. Los responsables de respuesta están estructurados de manera similar a los detectores:
- Receta de responsable de respuesta
- Define la acción o el juego de acciones que se deben realizar en respuesta a un problema que ha identificado un detector.
- Receta de responsable de respuesta gestionada por Oracle
-
- Proporcionada por Cloud Guard.
- No permite desactivar reglas.
- Puede actualizarse para incluir nuevos valores por defecto y ajustes en cualquier momento.
Haga un seguimiento de las Notas de versión de Cloud Guard para acceder a estas actualizaciones.
- Receta de responsable de respuesta gestionada por el usuario
-
- Creada mediante la clonación de una receta gestionada por Oracle.
- Permite desactivar reglas individuales y cambiar el nivel de riesgo de una regla.
- Regla de responsable de respuesta
- Define las acciones específicas que se deben realizar. Si alguna de las reglas de responsable de respuesta se dispara, también se dispara el responsable de respuesta. Todas las reglas de una receta de responsable de respuesta se pueden configurar individualmente.
- Lista gestionada
- Lista reutilizable de parámetros que facilita la definición del ámbito de las reglas de detector y responsable de respuesta. Por ejemplo, una lista predefinida denominada "Espacio de direcciones IP de Oracle de confianza" contiene todas las direcciones IP de Oracle que desea considerar de confianza al definir reglas para detectores y responsables de respuesta.
- Regiones en Cloud Guard