Introducción a Cloud Guard

Revise los conceptos de Oracle Cloud Guard, asegúrese de que cumple los requisitos, active por primera vez Cloud Guard y, a continuación, acceda a Cloud Guard de forma rutinaria.

Planificación para Cloud Guard

Si dedica algo de tiempo a planificar cómo se asigna la funcionalidad de Cloud Guard a su entorno antes de activar y configurar Cloud Guard, puede que ahorre algo de tiempo más adelante.

Puede activar Cloud Guard y comenzar a supervisar el entorno inmediatamente. Todo lo que tiene que hacer es especificar un único destino que se asigne al compartimento de nivel superior de la rama de Oracle Cloud Infrastructure que desea supervisar. A continuación, con el tiempo, puede personalizar la configuración de Cloud Guard, en función de su experiencia con el procesamiento de los problemas que Cloud Guard detecta. Puede personalizar continuamente la configuración de Cloud Guard para optimizar el rendimiento de cara a lograr un objetivo de dos partes:

No dejar que nada que represente un riesgo de seguridad potencial quede sin detectar.
No detectar "demasiados" falsos positivos, es decir, problemas que en realidad no representan posibles riesgos de seguridad.

Si lleva a cabo algo de planificación, es posible que consiga avanzar un poco hacia este objetivo de dos partes. Todo lo que tiene que hacer es inspeccionar cómo están organizados en los compartimentos los recursos del arrendamiento de Oracle Cloud Infrastructure.

Inspeccione el entorno

Examine los tipos de recursos que están almacenados en las diferentes partes de la jerarquía de compartimentos del arrendamiento de Oracle Cloud Infrastructure. ¿Existen grupos de recursos en diferentes partes de esa jerarquía de compartimentos que se deban supervisar de diferentes maneras con el fin de detectar diferentes tipos de amenazas? Si se detecta el mismo problema en compartimentos diferentes, ¿representaría niveles de riesgo diferentes?

Cloud Guard le permite definir diferentes áreas de su arrendamiento de Oracle Cloud Infrastructure que se pueden supervisar de diferentes maneras. La contrapartida es que todos los compartimentos que se encuentren dentro de un área definida se supervisan de la misma manera.

Familiarícese con la terminología de Cloud Guard

En Conceptos de Cloud Guard se definen los términos que aprenderá a medida que trabaje con Cloud Guard. Para empezar, la siguiente lista resume lo que necesita saber para empezar con la planificación para Cloud Guard.

Destino: Define el ámbito de comprobación de Cloud Guard. Todos los compartimentos de un destino se comprueban de la misma manera y tiene las mismas opciones para el procesamiento de los problemas que se detectan.
Detector: Realiza comprobaciones para identificar posibles problemas de seguridad en función de las actividades o configuraciones. Las reglas que se siguen para identificar los problemas son las mismas para todos los compartimentos de un destino.
Responsable de respuesta: Especifica las acciones que Cloud Guard puede realizar cuando los detectores identifican problemas. Las reglas sobre cómo procesar los problemas identificados son las mismas para todos los compartimentos de un destino.

Familiarícese con las recetas de detector de Cloud Guard

Revise las reglas que se describen en las secciones de Referencia de las recetas de detector para los diferentes detectores. En su entorno:

¿Hay compartimentos que no desea que Cloud Guard supervise en absoluto? Si es así, tendrá que definir uno o varios destinos de tal forma que se excluyan esos compartimentos.
¿Cree que es posible que desee definir el nivel de riesgo de forma diferente o activar y desactivar las reglas de forma diferente según los recursos de las diferentes partes de la jerarquía de compartimentos de Oracle Cloud Infrastructure? Para configurar las reglas de detector de forma diferente para los diferentes compartimentos, tendrá que definir destinos separados para esos compartimentos.
Por ejemplo, para la regla de configuración "El cubo es público", el nivel de riesgo por defecto es "CRÍTICO" y la regla está activada por defecto. ¿Debería esta configuración ser la misma para todos los compartimentos?
Puede desactivar acciones de las recetas de responsable de respuesta sobre los problemas que identifican los detectores. Si desea que las acciones de una regla de responsable de respuesta concreta estén activadas en algunos compartimentos y desactivadas en otros, tendrá que definir destinos separados para esos compartimentos.
Por ejemplo, la regla de responsable de respuesta "Convertir el cubo en privado" está activada por defecto. ¿Tiene algunos compartimentos en los que todos los cubos son públicos intencionadamente y, por lo tanto, puede desactivar esta regla?

Planifique la asignación de los destinos a los compartimentos

Si llegados a este punto no cree que necesite definir varios destinos y ha completado los Requisitos, puede continuar con la Activación de Cloud Guard. Siempre puede cambiar la configuración del destino más tarde, a medida que surja la necesidad.

Si cree que necesita configurar destinos para permitir que se supervisen diferentes compartimentos de forma diferente, tenga en cuenta estas directrices al asignar destinos a compartimentos:

Todos los compartimentos de un destino heredan la configuración de ese destino. Los ajustes de las reglas de detector y responsable de respuesta de un destino se aplican al compartimento de nivel superior asignado a ese destino y a cualquier compartimento subordinado que se encuentre debajo de él en la jerarquía de compartimentos.
Si desea excluir algunos compartimentos de la supervisión, cree destinos por debajo del nivel raíz y no incluya el compartimento raíz en ningún destino.
Si se define un destino dentro de un destino existente, se puede sobrescribir la configuración heredada. Dentro de un destino existente, puede asignar un compartimento que se encuentre por debajo del compartimento de nivel superior de dicho destino a un nuevo destino. Después, puede cambiar los ajustes de las reglas de detector y responsable de respuesta del nuevo destino y esos valores se aplicarán al compartimento de nivel superior asignado a ese destino y a todos los compartimentos subordinados que haya bajo él en la jerarquía de compartimentos.

Preste atención a la hora de elegir la región de informes

Al activar Cloud Guard, se le solicita que seleccione una región de informes. Tenga muy en cuenta estas consecuencias de la elección de la región de informes:

La región de informe que seleccione compromete a su organización a cumplir con todos los requisitos legales del país en el que se aloje dicha región de informe.
Después de activar Cloud Guard, no se puede cambiar la región de informe sin desactivar y volver a activar Cloud Guard.
Al desactivar Cloud Guard, se pierden todas las personalizaciones y los problemas existentes (incluido su historial), por lo que tendría que restaurar manualmente esas personalizaciones.
Todas las llamadas a la API, excepto en el caso de READ, se deben realizar en la región de informes.

Asegúrese de tomar la mejor decisión para su región de informes, antes de comenzar con Pasos para activar Cloud Guard.

Activación de Cloud Guard

Realice esta tarea para activar Oracle Cloud Guard desde la consola de OCI.

Requisito: realice las tareas de Requisitos y de Planificación para Cloud Guard.

Dos estrategias

Puede elegir entre dos enfoques básicos para activar Cloud Guard:

Comenzar con la configuración por defecto: desea que Cloud Guard empiece a informar de los problemas lo antes posible después de completar el proceso de activación.
No omita ninguna selección opcional durante el proceso de activación.
Nota

Si omite alguna de las selecciones opcionales durante el proceso de activación, Cloud Guard no comenzará a informar automáticamente de los problemas después de completar dicho proceso. Si omite la configuración opcional durante la activación, Cloud Guard no podrá empezar a notificar los problemas hasta que agregue recetas de detector al destino especificado. Consulte Edición de un destino de OCI y sus recetas asociadas.
Personalizar primero la configuración: desea personalizar la configuración de Cloud Guard antes de que Cloud Guard empiece a notificar los problemas.
Puede omitir cualquiera de las selecciones opcionales, u omitirlas todas, durante el proceso de activación.

Cualquiera que sea el enfoque que adopte para activar Cloud Guard, podrá ajustar la configuración de Cloud Guard según sea necesario tras la activación.

Pasos para activar Cloud Guard

Conéctese a la consola de OCI con el usuario de Oracle Cloud Guard que creó en Requisitos, en la sección "Creación del usuario y el grupo de Cloud Guard".
Abra el menú de navegación y haga clic en Identidad y seguridad. En Cloud Guard, haga clic en cualquier recurso.

Nota

Si se abre la página del recurso de Cloud Guard en la que ha hecho clic, Cloud Guard ya está activado.
En la página de Cloud Guard, haga clic en el botón Activar Cloud Guard situado en la parte superior derecha para abrir el cuadro de diálogo Activar Cloud Guard.
El panel Política de Cloud Guard muestra una lista de todas las políticas de OCI que se deben activar para que Cloud Guard sea totalmente funcional. La columna de la derecha muestra:
- No agregada si la política NO está activada actualmente.
- Agregado si la política está activada actualmente.
A menos que vuelva a activar Cloud Guard después de desactivarlo, todas las entradas deben estar No agregadas.

Nota

Estas políticas son privilegios de solo lectura que permiten a Cloud Guard supervisar los recursos de OCI en el arrendamiento. Con estas políticas no proporciona a Cloud Guard ningún privilegio de gestión sobre los recursos,

Excepción: la política manage cloudevents-rules permite a Cloud Guard crear reglas de suscripción de eventos de auditoría, que son fundamentales para que Cloud Guard detecte problemas. Las reglas de detector de actividad de Cloud Guard funcionan ingiriendo y analizando los eventos de auditoría en su arrendamiento. Cloud Guard necesita crear una regla gestionada por eventos en la nube en su arrendamiento para que se pueda suscribir a sus eventos de auditoría. El privilegio USE es necesario para permitir que Cloud Guard muestre las reglas de seguridad del NSG.

Las siguientes políticas de IAM se agregan automáticamente al grupo de políticas "Políticas de Cloud Guard" al hacer clic en Crear política en la parte inferior del panel Política de Cloud Guard en el cuadro de diálogo Activar Cloud Guard:
```
allow service cloudguard to manage cloudevents-rules in tenancy where target.rule.type='managed'
allow service cloudguard to read audit-events in tenancy
allow service cloudguard to read authentication-policies in tenancy
allow service cloudguard to read autonomous-database-family in tenancy
allow service cloudguard to read compartments in tenancy
allow service cloudguard to read compute-management-family in tenancy
allow service cloudguard to read database-family in tenancy
allow service cloudguard to read data-safe-family in tenancy
allow service cloudguard to read dynamic-groups in tenancy
allow service cloudguard to read groups in tenancy
allow service cloudguard to read instance-family in tenancy
allow service cloudguard to read keys in tenancy
allow service cloudguard to read load-balancers in tenancy
allow service cloudguard to read log-groups in tenancy
allow service cloudguard to read object-family in tenancy
allow service cloudguard to read policies in tenancy
allow service cloudguard to read tenancies in tenancy
allow service cloudguard to read users in tenancy
allow service cloudguard to read vaults in tenancy
allow service cloudguard to read virtual-network-family in tenancy
allow service cloudguard to read volume-family in tenancy
allow service cloudguard to use network-security-groups in tenancy
```
1. En la parte inferior del panel Política de Cloud Guard, haga clic en Crear política.
  
  Si todas las políticas necesarias se han creado correctamente, las entradas de la columna de la derecha ahora se agregan.
2. Si alguna de las entradas de la columna de la derecha sigue apareciendo en No agregado, agregue esas políticas manualmente:
  Según cómo utilice el servicio OCI Identity, consulte:
  - IAM con dominios de identidad
  - IAM sin dominios de identidad
Haga clic en Siguiente para continuar con el panel Información básica.
1. Seleccione una región de informe.
  La región de informe debe ser una región que Cloud Guard soporte. Si Cloud Guard no soporta la región que seleccione, tendrá que seleccionar otra región.
  Atención
  
  Considere cuidadosamente la selección de la región de informe:
  - La región de informe que seleccione compromete a su organización a cumplir con todos los requisitos legales del país en el que se aloje dicha región de informe.
  - Después de activar Cloud Guard, no se puede cambiar la región de informe sin desactivar y volver a activar Cloud Guard.
  - Al desactivar Cloud Guard, se pierden todas las personalizaciones y los problemas existentes (incluido su historial), por lo que tendría que restaurar manualmente esas personalizaciones.
  - Todas las llamadas a la API, excepto en el caso de READ, se deben realizar en la región de informes.
2. Asegúrese de registrar el nombre de la región de informes que especifique.
  
  En todas las tareas de configuración y solución de problemas que realice después de la activación, debe especificar la región de informe de Cloud Guard, no la región principal de OCI.
  
  Nota
  
  Para buscar el nombre de la región de informe, consulte Visualización de la región de informe.
3. Especifique los compartimentos que supervisar en el arrendamiento de OCI.
  Seleccione una de estas opciones:
  - Todos para supervisar todos los compartimentos.
  - Seleccionar compartimentos y, a continuación, seleccione de la lista para supervisar únicamente los compartimentos que especifique.
  - Ninguno para no supervisar ningún compartimento. Es posible que desee seleccionar Ninguno para limitarse a ver el contenido de las recetas de detector antes de activar alguna de ellas.
    
    Nota
    
    La selección que realice aquí definirá un destino para que Cloud Guard lo supervise. Para realizar la activación con la opción "Comenzar con la configuración por defecto", no seleccione Ninguno.
4. (Opcional) Seleccione una receta de detector de configuración en la lista.
  
  Nota
  
  Para realizar la activación con la opción "Comenzar con la configuración por defecto", no omita esta selección.
5. (Opcional) Seleccione una receta de detector de actividad en la lista.
  
  Nota
  
  Para realizar la activación con la opción "Comenzar con la configuración por defecto", no omita esta selección.
6. Haga clic en Activar.
  
  Una barra de progreso sustituirá al botón Activar Cloud Guard en la página Cloud Guard.
  
  Nota
  
  Si ha alcanzado este punto en un arrendamiento gratuito, la activación no continuará.
Cuando se complete la activación, en la página Cloud Guard, haga clic en Ir a Cloud Guard.

Aparecerá la página Visión general de Cloud Guard y comenzará la visita guiada. Gradualmente,

Note

If you followed the "Start with Default Configuration" approach in the enablement process, information on problems soon starts to appear in Cloud Guard. La rapidez con la que empieza a aparecer la información de los problemas depende del entorno, de la configuración de los destinos y detectores y del número de problemas que se produzcan y que Cloud Guard tenga que detectar.
Realice la visita guiada para familiarizarse con las funciones de la página Visión general.

Siguiente paso

Nota

Independientemente de la estrategia que haya seguido en el proceso de activación, Cloud Guard desactiva dos reglas de detector de configuración de OCI por defecto en nuevos arrendamientos. La desactivación inicial de estas reglas es necesaria para evitar que Cloud Guard genere un número excesivo de problemas que consideraría falsos positivos. Para obtener más información sobre estas reglas, consulte:

Consejo

Algunas de las reglas de detector activadas por defecto podrían producir un número excesivo de problemas en su entorno concreto. Para poder desactivar las reglas de detector, debe clonar la receta de detector gestionada por Oracle para crear una versión gestionada por el usuario. Consulte Creación de una receta de detector de OCI.

Para borrar rápidamente los problemas que ahora considera falsos positivos, para cada regla de receta gestionada por el usuario que produce un número excesivo de problemas:

Determine las opciones de la regla que cambiar para que la regla ya no genere esos falsos positivos.
Consulte la información de referencia de la regla en Referencia de las recetas de detector.
Modifique las opciones de la regla para que la regla ya no genere esos falsos positivos.
Consulte Edición de ajustes de reglas en una receta de detector de OCI.
Desactive la regla.
Consulte Edición de ajustes de reglas en una receta de detector de OCI.
Vuelva a activar la regla.
Consulte Edición de ajustes de reglas en una receta de detector de OCI.

Si siguió el enfoque "Comenzar con la configuración por defecto" en el proceso de activación, pronto empezará a aparecer información sobre los problemas en Cloud Guard. La rapidez con la que empieza a aparecer la información de los problemas depende del entorno, de la configuración de los destinos y detectores y del número de problemas que se produzcan y que Cloud Guard tenga que detectar.
Nota
Si ha seguido el enfoque "Personalizar primero la configuración" en el proceso de activación, no aparecerá ninguna información sobre los problemas hasta que complete todas las tareas de configuración que omitió durante la activación:
1. Defina uno o varios destinos. Consulte Creación de un destino de OCI.
2. Opcional: Clone recetas de detector gestionadas por Oracle. Consulte Clonación de una receta de detector de OCI.
3. Opcional: Personalice las recetas de detector para el entorno. Consulte Edición de una receta de detector de OCI gestionada por el usuario.
4. Agregue recetas de detector a cada destino. Consulte Edición de un destino de OCI y sus recetas asociadas.
Después de que Cloud Guard haya comenzado a notificar problemas:
- Para ajustar la configuración de Cloud Guard para satisfacer de una mejor forma las necesidades específicas del entorno, consulte Personalización de la configuración base de OCI de Cloud Guard.
- Para interpretar la información de resumen sobre los problemas detectados, profundizar en los detalles y resolver problemas específicos, consulte Procesamiento de los problemas notificados.
- Para asegurarse de que Cloud Guard está totalmente integrado con otros servicios de OCI, consulte Integración de Cloud Guard con otros servicios.

Integración de Cloud Guard con otros servicios

Asegúrese de que existen los detalles de configuración necesarios para permitir la integración de Cloud Guard con otros servicios.

Una vez que haya terminado de realizar las tareas de Activación de Cloud Guard, más algunas tareas de seguimiento si utiliza la estrategia Personalizar primero la configuración, todas las integraciones con otros servicios deben funcionar correctamente.

Cuando los nuevos servicios que soportan la integración con Cloud Guard estén disponibles más tarde, debe asegurarse de que los detalles de configuración de Cloud Guard soportan correctamente el nuevo servicio:

Los destinos de Cloud Guard deben contener todos los compartimentos en los que se encuentran los recursos del nuevo servicio que Cloud Guard va a supervisar.
Las recetas de detector de Cloud Guard que contienen las reglas específicas del nuevo servicio se deben asociar a esos destinos de Cloud Guard.

Amplíe uno de los siguientes nombres de servicio para ver los pasos que se deben seguir para asegurarse de que los detalles de configuración de Cloud Guard soportan correctamente el servicio.

Servicio Certificados

Servicio Data Safe

Requisito: asegúrese de que el servicio Data Safe ya está activado y funciona correctamente. Si realiza los siguientes pasos antes de activar el servicio Data Safe, Cloud Guard le avisa de que debe activar Data Safe siempre que encuentre una base de datos.

Si Cloud Guard NO está activado:
1. Active Cloud Guard: consulte Activación de Cloud Guard.
  
  Siga los pasos de "Comenzar con la configuración por defecto".
2. Asegúrese de activar la receta de detector de configuración de OCI.
3. Asegúrese de definir un destino de Cloud Guard que abarque los compartimentos de OCI que desea que Cloud Guard supervise para el servicio Data Safe.
4. Asegúrese de que la receta de detector de configuración de OCI está asociada al destino de Cloud Guard. Consulte Visualización de detalles de un destino.
  
  Si es necesario, consulte Creación de un destino o Modificación de recetas agregadas a un destino.
Si Cloud Guard ya ESTÁ activado, asegúrese de que el arrendamiento de Cloud Guard tenga:
- Destinos de Cloud Guard definidos que incluyen todos los compartimentos de OCI que desea que Cloud Guard supervise para el servicio Data Safe. Consulte Visualización de detalles de un destino.
- La receta de detector de configuración de OCI (gestionada por Oracle o gestionada por el usuario) asociada a cada uno de esos destinos. Consulte Visualización de detalles de un destino.
  Si es necesario, consulte Creación de un destino o Modificación de recetas agregadas a un destino.
Agregue las siguientes políticas al arrendamiento de Cloud Guard para permitir el acceso a la información de Data Safe:

allow service cloudguard to read data-safe-family in tenancy

allow service cloudguard to read autonomous-database-family in tenancy
Si es necesario, acote la configuración de estas reglas que se muestran en la receta de detector de configuración de OCI (gestionada por Oracle o gestionada por el usuario). Consulte Modificación de ajustes de regla en las recetas de un destino.
- Data Safe no está activado (esta regla no funciona después de activar Data Safe)
- Database no está registrado con Data Safe (esta regla no está operativa, si Data Safe no está activado)
Su objetivo es optimizar las configuraciones de reglas para que no pase por alto problemas reales, pero que no se siente abrumado por los falsos positivos. Puede que sea necesario supervisar los problemas generados desde el servicio Data Safe durante un tiempo, antes de poder determinar si se necesitan modificaciones de reglas.
Vea los problemas generados desde el servicio Data Safe en la página Problemas de Cloud Guard. Consulte Visualización de la lista de problemas.
Para ver problemas solo para el servicio Seguridad de los datos, filtre la lista Problemas mediante Etiquetas = Seguridad de base de datos.
Nota

La entrada Etiquetas no es sensible a mayúsculas/minúsculas, pero debe escribir los caracteres de "database security" exactamente igual.

Servicio de información sobre amenazas

Servicio de Registro

Instance Security utiliza el servicio de registro de OCI para registrar la actividad.

Debe activar el registro de extremo a extremo para el destino al que ha asociado la receta de seguridad de instancia; de lo contrario, no verá nada detectado.

Nota

El registro puede tener un gran impacto en recursos como la CPU y la memoria, por lo que solo se puede activar el registro para las regiones que desea supervisar.

Configuración de Logging

Abra el menú de navegación y haga clic en Identidad y seguridad. En Cloud Guard, haga clic en Configuración.
En la página Configuración, haga clic en Destinos. Busque destinos en los que la entrada del tipo sea inquilino.
En la página Destinos, haga clic en el enlace del destino que tiene la receta de Seguridad de instancia.
En Configuración, seleccione el separador Seguridad de instancia, haga clic en Activar/Editar junto a Detalles de configuración de registro.
En la página de detalles de configuración de Logging, puede activar el registro raw de Seguridad de instancia para una región.
Para la región que desee, seleccione Activar log.
En el panel Activar log, seleccione el compartimento.
Seleccione un grupo de logs existente o cree uno nuevo haciendo clic en Crear nuevo grupo. Consulte Log Group Management.
Seleccione el tiempo que el log mantendrá, para valores entre 30 días y 180 días, o defina un valor de retención de log personalizado.
Haga clic en Activar log.

Gestión de detalles de registro

Puede:

Consulte los logs y búsquelos por región.
Cambie el compartimento.
Cambie el nombre del log.
Cambie el período de retención de log.
Active un log.

Abra el menú de navegación y haga clic en Identidad y seguridad. En Cloud Guard, haga clic en Configuración.
En la página Configuración, haga clic en Destinos. Busque destinos en los que la entrada del tipo sea inquilino.
En la página Destinos, haga clic en el enlace del destino que tiene la receta de Seguridad de instancia.
En Configuración, seleccione el separador Seguridad de instancia y haga clic en Activar/Editar junto a Detalles de configuración de Logging.

La página de detalles de configuración de registro permite buscar por región y abrir los detalles de un log para cambiar sus detalles.

Documentación de Oracle Cloud Infrastructure