Seguridad de instancia
Instance Security es una nueva receta de detector de Oracle Cloud Guard que supervisa los hosts informáticos para detectar actividades sospechosas.
- Acerca de la seguridad de instancia proporciona una introducción a los conceptos que son útiles para comprender al trabajar con Seguridad de instancia.
- En Activación de la seguridad de instancia se muestra cómo empezar a utilizar la seguridad de instancia aplicando una receta de detector de seguridad de instancia a un destino.
- En Recetas de detector de seguridad de instancia se describen las recetas de detector de seguridad de instancia.
Acerca de la Seguridad de Instancias
La seguridad de instancias proporciona seguridad de tiempo de ejecución para cargas de trabajo en hosts informáticos virtuales y con hardware dedicado. Instance Security amplía Cloud Guard de la gestión de la estrategia de seguridad en la nube a la protección de la carga de trabajo en la nube y garantiza que las necesidades de seguridad se cumplan en un solo lugar y con una visibilidad coherente y una comprensión integral del estado de seguridad de la infraestructura.
La seguridad de instancias recopila información de seguridad importante sobre los hosts informáticos, como alertas de seguridad (denominadas problemas en Cloud Guard), vulnerabilidades y puertos abiertos, para proporcionarle una orientación útil para la detección y prevención. Puede detectar procesos sospechosos, crear puertos abiertos y ejecutar scripts para cargas de trabajo, con visibilidad a nivel del sistema operativo. Instance Security proporciona nuevas detecciones listas para usar gestionadas por Oracle y consultas gestionadas por el cliente para casos de uso de búsqueda de amenazas.
La seguridad de instancias está integrada de forma nativa con OCI Logging para que pueda exportar fácilmente logs a sus herramientas de seguridad de terceros.
Solución de seguridad basada en EBPF
Instance Security utiliza la tecnología Extended Berkeley Packet Filter (eBPF) para detectar eventos de seguridad en el nivel de núcleo. eBPF es una tecnología de núcleo que permite que los programas se ejecuten sin tener que cambiar el código fuente del núcleo.
Puede recopilar datos automáticamente para detectar anomalías de seguridad y obtener estadísticas detalladas sobre el sistema operativo, sin modificar ningún código de núcleo y sin afectar significativamente al rendimiento.
Alineado con MITRE Attack Framework
Instance Security proporciona un conjunto de reglas de detector listas para usar gestionadas por Oracle que están alineadas con el marco de ataque MITRE destinado a reducir el trabajo manual del centro de operaciones de seguridad (SOC) para encontrar actividades adversarias conocidas.
La información se ejecuta a través de modelos alineados con el marco MITRE Attack para clasificar las posibles tácticas y técnicas implicadas.
Ejecutar consultas a petición
Puede ejecutar consultas bajo demanda en instancias informáticas periódicamente, o bajo demanda, para proporcionarle visibilidad en tiempo real del estado de su máquina.
Instance Security ejecuta OSquery bajo el capó, que expone los datos del sistema operativo como una base de datos relacional de alto rendimiento. Osquery es un agente de host multiplataforma de código abierto de gran rendimiento que le brinda visibilidad e información sobre su flota. Recopila y normaliza datos independientemente del sistema operativo y aumenta la visibilidad en toda la infraestructura. OSquery viene con soporte de cientos de tablas que cubren todo, desde procesos en ejecución hasta extensiones de núcleo cargadas. Instance Security soporta la mayoría de las tablas de consulta de código abierto además de las tablas personalizadas de OCI.
Programar consultas
Una vez que haya ejecutado una consulta y esté satisfecho con el resultado de la consulta, puede programar la consulta para que se ejecute con una frecuencia regular. Si tiene la necesidad de proporcionar pruebas de que se cumplen determinados controles de seguridad como parte de la conformidad y los requisitos de auditoría de los hosts informáticos, puede utilizar consultas programadas. Instance Security se integra con el servicio Logging de OCI y puede configurar el servicio Logging de OCI para enviar los datos raw a un servicio de gestión de eventos e información de seguridad (SIEM) o a un agregador de datos de terceros.
Recetas de detector de seguridad de instancias
Hay dos recetas de detector de Seguridad de instancias gestionadas por Oracle:
- Receta de detector de seguridad de instancias de OCI: empresa (gestionada por Oracle).
- Receta de detector de seguridad de instancia de OCI (gestionada por Oracle).
Puede realizar configuraciones personalizadas de recetas de detector clonando estas recetas y reglas. Consulte Clonación de una receta de detector de OCI.
Solo puede aplicar una receta de detector de seguridad de instancia a un destino. Si desea cambiar la receta, primero debe eliminar la existente del destino y, a continuación, aplicar la otra.
Receta de detector de seguridad de instancias de OCI: empresa (gestionada por Oracle)
Esta receta es una oferta de pago que proporciona funcionalidad de servicio completo. Ofrece alertas basadas en detecciones listas para usar de Oracle y le permite consultar su conjunto mediante consultas personalizadas y programadas.
Esta receta de detector lista para usar utiliza todas las reglas de detector de Instance Security que se detallan en Reglas de detector de seguridad de instancia de OCI.
Para averiguar qué cuesta, consulte la información de precios de Cloud Guard en la lista de precios de Cloud. Puede usar la herramienta Estimador de costos para determinar el uso mensual y la factura. Consulte Visión general de la gestión de facturación y costos.
| Recurso | Recuento por arrendamiento |
|---|---|
| Número de instancias cubiertas por región | ilimitado |
| Reglas de detector listas para usar | ilimitado |
| Consultas bajo demanda | ilimitado |
| Consulta programada | 25 consultas por instancia por día |
| Tamaño de los resultados de la consulta programada | 5 MB por instancia por día |
En este ejemplo se muestra cómo funcionan los límites de consulta programados.
El límite para el tamaño de los resultados de la consulta programada es por instancia, por lo que si tiene 10 instancias en una región, el límite regional de nivel de inquilino es 5*10 = 50 MB por día
Cuando alcance el límite de resultados de consultas programadas en una región, las consultas mostrarán el estado Failed y verá el mensaje:
Scheduled query size limit has reached, the limit will reset the next dayUna vez restablecido el límite al día siguiente, las consultas programadas se realizarán correctamente hasta que se vuelva a alcanzar el límite.
Receta de detector de seguridad de instancia de OCI (gestionada por Oracle)
Si no está listo para invertir en Seguridad de instancias, pero desea probar el servicio, puede probar esta receta gratuita. Le avisará de problemas de vulnerabilidad y exploración de puertos abiertos, y puede ejecutar un número limitado de consultas.
Esta receta de detector utiliza las reglas de detector de seguridad de instancia:
| Recurso | Recuento por arrendamiento |
|---|---|
| Número de instancias cubiertas por región | 5 |
| Reglas de detector listas para usar | 2 |
| Consultas bajo demanda | 30 por mes por región |
| Consulta programada | 0 |
En este ejemplo se muestra cómo funcionan los límites de consulta bajo demanda teniendo en cuenta dos escenarios.
Tiene un límite mensual de 30 consultas bajo demanda en una región:
- Ejecuta su primera consulta bajo demanda y dirige 25 instancias activas y todas se ejecutan correctamente, dando 25 resultados.
- Ejecuta una segunda consulta bajo demanda y dirige 25 instancias activas, pero esta vez solo obtendrá cinco resultados en cinco instancias seleccionadas aleatoriamente porque solo le quedaban 5 consultas bajo demanda para el mes.
- Si, a continuación, ejecuta una tercera consulta bajo demanda y dirige solo una instancia, verá el siguiente mensaje:
You have consumed free adhoc units for this month, your limit will reset next month
Las consultas caducadas se devuelven al límite mensual después de unos 15 minutos.
- Su primera consulta bajo demanda se dirigió a 25 instancias (24 agentes activos y 1 agente inactivo) y el resultado es que caducó con 24 resultados de los agentes activos.
- Ha ejecutado una segunda consulta bajo demanda y ha dirigido 25 instancias (24 activas y 1 inactivas), y esta vez solo obtiene cinco resultados en cinco instancias seleccionadas aleatoriamente porque solo le quedan 5 consultas bajo demanda para el mes.
- Si, a continuación, ejecuta una tercera consulta bajo demanda y dirige solo una instancia, verá el siguiente mensaje:
You have consumed free adhoc units for this month, your limit will reset next month