Documentación de Oracle Cloud Infrastructure

Conceptos de Cloud Guard

Conozca los componentes y la terminología de Cloud Guard.

Cloud Guard examina los recursos de Oracle Cloud Infrastructure y detecta deficiencias de seguridad relacionadas con la configuración, y también revisa los operadores y usuarios e identifica actividades de riesgo. Tras la detección, Cloud Guard puede ofrecer sugerencias, prestar asistencia o tomar medidas correctivas, en función de la configuración.

El siguiente diagrama proporciona una visión general de alto nivel del flujo del sistema de Cloud Guard. Puede consultar este diagrama a medida que revisa los conceptos de Cloud Guard cuyas definiciones se proporcionan a continuación.

Imagen del flujo del sistema de alto nivel de Cloud Guard

Consejo

Vea una introducción en vídeo sobre el servicio Cloud Guard.

A la hora de trabajar con Cloud Guard, es importante que comprenda los siguientes términos:

Destino
Define el ámbito de comprobación de Cloud Guard. En Oracle Cloud Infrastructure, este ámbito está vinculado al compartimento donde se define el destino y a todos los compartimentos secundarios desde ese punto hasta que se encuentra otro destino. El otro destino que se encuentra toma el relevo desde ese punto hacia los compartimentos descendentes.
  • Un destino puede consistir en todo el arrendamiento de OCI (destino en el compartimento raíz).
  • Para supervisar políticas de IAM, el compartimento raíz debe ser un destino.
  • Debe especificar al menos un destino al activar Cloud Guard. Puede modificar ese destino y definir más destinos más tarde.
  • Los destinos no se pueden solapar y solo se aplica un único destino a la vez a un compartimento y sus recursos.
  • Un compartimento (y sus secundarios) puede estar exento de las comprobaciones si se declara destino pero no se aplican recetas de detector a ese destino.
Detector
Realiza comprobaciones e identifica posibles problemas de seguridad en función de su tipo y configuración.
Receta de detector
Proporciona las bases para examinar los recursos y las actividades del destino.
Receta de detector gestionada por Oracle
  • Proporcionada por Cloud Guard.
  • Permite definir únicamente el ámbito de los recursos para el cual una regla genera un problema.
  • No permite desactivar reglas ni cambiar el nivel de riesgo de una regla.
  • Puede actualizarse para incluir nuevos valores por defecto y ajustes en cualquier momento.

    Haga un seguimiento de las Notas de versión de Cloud Guard para acceder a estas actualizaciones.

Receta de detector gestionada por el usuario
  • Creada mediante la clonación de una receta gestionada por Oracle.
  • Permite definir el ámbito de los recursos para el cual una regla genera un problema.
  • También permite desactivar reglas individuales y cambiar el nivel de riesgo de una regla.
Receta de detector de actividad de OCI
Juego de reglas diseñadas específicamente para detectar acciones en los recursos que podrían plantear un problema de seguridad.
Receta de detector de configuración de OCI
Juego de reglas diseñadas específicamente para detectar valores de configuración de recursos que podrían plantear un problema de seguridad.
Receta de detector de seguridad de instancia de OCI
Juego de reglas diseñadas específicamente para proporcionar seguridad de tiempo de ejecución para cargas de trabajo en hosts virtuales y con hardware dedicado de recursos informáticos.
Receta de detector de amenazas de OCI
Juego de reglas diseñadas específicamente para detectar patrones sutiles de actividad en su entorno que podrían estar produciéndose y convertirse en un problema de seguridad.
Regla de detector
Proporciona una definición específica de una clase de recursos, con acciones o configuraciones específicas, que hacen que un detector informe de un problema. Una receta de detector consta de varias reglas de detector. Si se dispara cualquiera de las reglas, el detector informa de un problema. Todas las reglas de una receta de detector se pueden configurar individualmente.
Problema
Cualquier acción o configuración de un recurso que pueda causar un problema de seguridad. Cloud Guard supervisa la actividad de red del arrendamiento de Oracle Cloud Infrastructure para identificar y resolver problemas. Los problemas:
  • Se crean cuando Cloud Guard detecta una desviación con respecto a una regla de detector.
  • Se definen según el tipo de detector que los crea: actividad o configuración.
  • Contienen datos sobre el tipo de problema específico que se ha encontrado.
  • Se pueden resolver, descartar o solucionar.
Responsable de respuesta
Acción que puede realizar Cloud Guard cuando un detector ha identificado un problema. Las acciones disponibles son específicas de cada recurso. Los responsables de respuesta están estructurados de manera similar a los detectores:
Receta de responsable de respuesta
Define la acción o el juego de acciones que se deben realizar en respuesta a un problema que ha identificado un detector.
Receta de responsable de respuesta gestionada por Oracle
  • Proporcionada por Cloud Guard.
  • No permite desactivar reglas.
  • Puede actualizarse para incluir nuevos valores por defecto y ajustes en cualquier momento.

    Haga un seguimiento de las Notas de versión de Cloud Guard para acceder a estas actualizaciones.

Receta de responsable de respuesta gestionada por el usuario
  • Creada mediante la clonación de una receta gestionada por Oracle.
  • Permite desactivar reglas individuales y cambiar el nivel de riesgo de una regla.
Regla de responsable de respuesta
Define las acciones específicas que se deben realizar. Si alguna de las reglas de responsable de respuesta se dispara, también se dispara el responsable de respuesta. Todas las reglas de una receta de responsable de respuesta se pueden configurar individualmente.
Cloud Guard proporciona un juego de responsables de respuesta con reglas por defecto. Puede utilizar estos responsables de respuesta tal y como están. No obstante, también puede clonar cualquiera de los responsables de respuesta por defecto y modificar las reglas para que satisfagan necesidades específicas. Además, puede activar y desactivar las reglas de responsable de respuesta de manera individual. Por último, también puede limitar el ámbito de aplicación de las reglas individuales mediante la especificación de condiciones.
Lista gestionada
Lista reutilizable de parámetros que facilita la definición del ámbito de las reglas de detector y responsable de respuesta. Por ejemplo, una lista predefinida denominada "Espacio de direcciones IP de Oracle de confianza" contiene todas las direcciones IP de Oracle que desea considerar de confianza al definir reglas para detectores y responsables de respuesta.
Regiones en Cloud Guard
La actividad que supervisa Cloud Guard puede producirse en dos tipos de regiones:
Región de informe
Región por defecto del arrendamiento de Cloud Guard. Se trata de la primera región definida cuando se activó el arrendamiento de Cloud Guard.
Nota

La región de informe que seleccione compromete a su organización a cumplir con todos los requisitos legales del país en el que se aloje la región de informe. Consulte Selección cuidadosa de la región de informes.

Para buscar el nombre de la región de informe, consulte Visualización de la región de informe.

La integración con los servicios Notifications y Events para enviar notificaciones solo ocurre en la región de informe. La selección de una región  concreta en la lista Regiones situada en la parte superior de la consola no tiene ningún efecto en la información mostrada. Para filtrar la información por región, utilice los filtros de las páginas de Cloud Guard.

Regiones supervisadas
Otras regiones que supervisa el arrendamiento de Cloud Guard.
Región de inicio de OCI
Para Cloud Guard, la región principal de OCI es una constante inmutable en el entorno de OCI.
Nota

Especifique la región de informes de Cloud Guard al activar Cloud Guard. En todas las tareas de configuración y solución de problemas que realice después de la activación, debe especificar la región de informe de Cloud Guard, no la región principal de OCI.