Introducción a Cloud Guard
Revise los conceptos de Oracle Cloud Guard, asegúrese de que cumple los requisitos, active por primera vez Cloud Guard y, a continuación, acceda a Cloud Guard de forma rutinaria.
Planificación para Cloud Guard
Si dedica algo de tiempo a planificar cómo se asigna la funcionalidad de Cloud Guard a su entorno antes de activar y configurar Cloud Guard, puede que ahorre algo de tiempo más adelante.
Puede activar Cloud Guard y comenzar a supervisar el entorno inmediatamente. Todo lo que tiene que hacer es especificar un único destino que se asigne al compartimento de nivel superior de la rama de Oracle Cloud Infrastructure que desea supervisar. A continuación, con el tiempo, puede personalizar la configuración de Cloud Guard, en función de su experiencia con el procesamiento de los problemas que Cloud Guard detecta. Puede personalizar continuamente la configuración de Cloud Guard para optimizar el rendimiento de cara a lograr un objetivo de dos partes:
- No dejar que nada que represente un riesgo de seguridad potencial quede sin detectar.
- No detectar "demasiados" falsos positivos, es decir, problemas que en realidad no representan posibles riesgos de seguridad.
Si lleva a cabo algo de planificación, es posible que consiga avanzar un poco hacia este objetivo de dos partes. Todo lo que tiene que hacer es inspeccionar cómo están organizados en los compartimentos los recursos del arrendamiento de Oracle Cloud Infrastructure.
Inspeccione el entorno
Examine los tipos de recursos que están almacenados en las diferentes partes de la jerarquía de compartimentos del arrendamiento de Oracle Cloud Infrastructure. ¿Existen grupos de recursos en diferentes partes de esa jerarquía de compartimentos que se deban supervisar de diferentes maneras con el fin de detectar diferentes tipos de amenazas? Si se detecta el mismo problema en compartimentos diferentes, ¿representaría niveles de riesgo diferentes?
Cloud Guard le permite definir diferentes áreas de su arrendamiento de Oracle Cloud Infrastructure que se pueden supervisar de diferentes maneras. La contrapartida es que todos los compartimentos que se encuentren dentro de un área definida se supervisan de la misma manera.
Familiarícese con la terminología de Cloud Guard
En Conceptos de Cloud Guard se definen los términos que aprenderá a medida que trabaje con Cloud Guard. Para empezar, la siguiente lista resume lo que necesita saber para empezar con la planificación para Cloud Guard.
- Destino
- Define el ámbito de comprobación de Cloud Guard. Todos los compartimentos de un destino se comprueban de la misma manera y tiene las mismas opciones para el procesamiento de los problemas que se detectan.
- Detector
- Realiza comprobaciones para identificar posibles problemas de seguridad en función de las actividades o configuraciones. Las reglas que se siguen para identificar los problemas son las mismas para todos los compartimentos de un destino.
- Responsable de respuesta
- Especifica las acciones que Cloud Guard puede realizar cuando los detectores identifican problemas. Las reglas sobre cómo procesar los problemas identificados son las mismas para todos los compartimentos de un destino.
Familiarícese con las recetas de detector de Cloud Guard
Revise las reglas que se describen en las secciones de Referencia de las recetas de detector para los diferentes detectores. En su entorno:
- ¿Hay compartimentos que no desea que Cloud Guard supervise en absoluto? Si es así, tendrá que definir uno o varios destinos de tal forma que se excluyan esos compartimentos.
- ¿Cree que es posible que desee definir el nivel de riesgo de forma diferente o activar y desactivar las reglas de forma diferente según los recursos de las diferentes partes de la jerarquía de compartimentos de Oracle Cloud Infrastructure? Para configurar las reglas de detector de forma diferente para los diferentes compartimentos, tendrá que definir destinos separados para esos compartimentos.
Por ejemplo, para la regla de configuración "El cubo es público", el nivel de riesgo por defecto es "CRÍTICO" y la regla está activada por defecto. ¿Debería esta configuración ser la misma para todos los compartimentos?
- Puede desactivar acciones de las recetas de responsable de respuesta sobre los problemas que identifican los detectores. Si desea que las acciones de una regla de responsable de respuesta concreta estén activadas en algunos compartimentos y desactivadas en otros, tendrá que definir destinos separados para esos compartimentos.
Por ejemplo, la regla de responsable de respuesta "Convertir el cubo en privado" está activada por defecto. ¿Tiene algunos compartimentos en los que todos los cubos son públicos intencionadamente y, por lo tanto, puede desactivar esta regla?
Planifique la asignación de los destinos a los compartimentos
Si llegados a este punto no cree que necesite definir varios destinos y ha completado los Requisitos, puede continuar con la Activación de Cloud Guard. Siempre puede cambiar la configuración del destino más tarde, a medida que surja la necesidad.
Si cree que necesita configurar destinos para permitir que se supervisen diferentes compartimentos de forma diferente, tenga en cuenta estas directrices al asignar destinos a compartimentos:
- Todos los compartimentos de un destino heredan la configuración de ese destino. Los ajustes de las reglas de detector y responsable de respuesta de un destino se aplican al compartimento de nivel superior asignado a ese destino y a cualquier compartimento subordinado que se encuentre debajo de él en la jerarquía de compartimentos.
Si desea excluir algunos compartimentos de la supervisión, cree destinos por debajo del nivel raíz y no incluya el compartimento raíz en ningún destino.
- Si se define un destino dentro de un destino existente, se puede sobrescribir la configuración heredada. Dentro de un destino existente, puede asignar un compartimento que se encuentre por debajo del compartimento de nivel superior de dicho destino a un nuevo destino. Después, puede cambiar los ajustes de las reglas de detector y responsable de respuesta del nuevo destino y esos valores se aplicarán al compartimento de nivel superior asignado a ese destino y a todos los compartimentos subordinados que haya bajo él en la jerarquía de compartimentos.
Preste atención a la hora de elegir la región de informes
Al activar Cloud Guard, se le solicita que seleccione una región de informes. Tenga muy en cuenta estas consecuencias de la elección de la región de informes:
- La región de informe que seleccione compromete a su organización a cumplir con todos los requisitos legales del país en el que se aloje dicha región de informe.
- Después de activar Cloud Guard, no se puede cambiar la región de informe sin desactivar y volver a activar Cloud Guard.
- Al desactivar Cloud Guard, se pierden todas las personalizaciones y los problemas existentes (incluido su historial), por lo que tendría que restaurar manualmente esas personalizaciones.
- Todas las llamadas a la API, excepto en el caso de READ, se deben realizar en la región de informes.
Asegúrese de tomar la mejor decisión para su región de informes, antes de comenzar con Pasos para activar Cloud Guard.
Activación de Cloud Guard
Realice esta tarea para activar Oracle Cloud Guard desde la consola de OCI.
Requisito: realice las tareas de Requisitos y de Planificación para Cloud Guard.
Puede elegir entre dos enfoques básicos para activar Cloud Guard:
- Comenzar con la configuración por defecto: desea que Cloud Guard empiece a informar de los problemas lo antes posible después de completar el proceso de activación.
No omita ninguna selección opcional durante el proceso de activación.
Nota
Si omite alguna de las selecciones opcionales durante el proceso de activación, Cloud Guard no comenzará a informar automáticamente de los problemas después de completar dicho proceso. Si omite la configuración opcional durante la activación, Cloud Guard no podrá empezar a notificar los problemas hasta que agregue recetas de detector al destino especificado. Consulte Edición de un destino de OCI y sus recetas asociadas. - Personalizar primero la configuración: desea personalizar la configuración de Cloud Guard antes de que Cloud Guard empiece a notificar los problemas.
Puede omitir cualquiera de las selecciones opcionales, u omitirlas todas, durante el proceso de activación.
Cualquiera que sea el enfoque que adopte para activar Cloud Guard, podrá ajustar la configuración de Cloud Guard según sea necesario tras la activación.
Siguiente paso
Independientemente de la estrategia que haya seguido en el proceso de activación, Cloud Guard desactiva dos reglas de detector de configuración de OCI por defecto en nuevos arrendamientos. La desactivación inicial de estas reglas es necesaria para evitar que Cloud Guard genere un número excesivo de problemas que consideraría falsos positivos. Para obtener más información sobre estas reglas, consulte:
Algunas de las reglas de detector activadas por defecto podrían producir un número excesivo de problemas en su entorno concreto. Para poder desactivar las reglas de detector, debe clonar la receta de detector gestionada por Oracle para crear una versión gestionada por el usuario. Consulte Creación de una receta de detector de OCI.
- Determine las opciones de la regla que cambiar para que la regla ya no genere esos falsos positivos.
Consulte la información de referencia de la regla en Referencia de las recetas de detector.
- Modifique las opciones de la regla para que la regla ya no genere esos falsos positivos.
Consulte Edición de ajustes de reglas en una receta de detector de OCI.
- Desactive la regla.
Consulte Edición de ajustes de reglas en una receta de detector de OCI.
- Vuelva a activar la regla.
Consulte Edición de ajustes de reglas en una receta de detector de OCI.
- Si siguió el enfoque "Comenzar con la configuración por defecto" en el proceso de activación, pronto empezará a aparecer información sobre los problemas en Cloud Guard. La rapidez con la que empieza a aparecer la información de los problemas depende del entorno, de la configuración de los destinos y detectores y del número de problemas que se produzcan y que Cloud Guard tenga que detectar. Nota
- Si ha seguido el enfoque "Personalizar primero la configuración" en el proceso de activación, no aparecerá ninguna información sobre los problemas hasta que complete todas las tareas de configuración que omitió durante la activación:
- Defina uno o varios destinos. Consulte Creación de un destino de OCI.
- Opcional: Clone recetas de detector gestionadas por Oracle. Consulte Clonación de una receta de detector de OCI.
- Opcional: Personalice las recetas de detector para el entorno. Consulte Edición de una receta de detector de OCI gestionada por el usuario.
- Agregue recetas de detector a cada destino. Consulte Edición de un destino de OCI y sus recetas asociadas.
- Después de que Cloud Guard haya comenzado a notificar problemas:
- Para ajustar la configuración de Cloud Guard para satisfacer de una mejor forma las necesidades específicas del entorno, consulte Personalización de la configuración base de OCI de Cloud Guard.
- Para interpretar la información de resumen sobre los problemas detectados, profundizar en los detalles y resolver problemas específicos, consulte Procesamiento de los problemas notificados.
- Para asegurarse de que Cloud Guard está totalmente integrado con otros servicios de OCI, consulte Integración de Cloud Guard con otros servicios.
Integración de Cloud Guard con otros servicios
Asegúrese de que existen los detalles de configuración necesarios para permitir la integración de Cloud Guard con otros servicios.
Una vez que haya terminado de realizar las tareas de Activación de Cloud Guard, más algunas tareas de seguimiento si utiliza la estrategia Personalizar primero la configuración, todas las integraciones con otros servicios deben funcionar correctamente.
Cuando los nuevos servicios que soportan la integración con Cloud Guard estén disponibles más tarde, debe asegurarse de que los detalles de configuración de Cloud Guard soportan correctamente el nuevo servicio:
- Los destinos de Cloud Guard deben contener todos los compartimentos en los que se encuentran los recursos del nuevo servicio que Cloud Guard va a supervisar.
- Las recetas de detector de Cloud Guard que contienen las reglas específicas del nuevo servicio se deben asociar a esos destinos de Cloud Guard.
Amplíe uno de los siguientes nombres de servicio para ver los pasos que se deben seguir para asegurarse de que los detalles de configuración de Cloud Guard soportan correctamente el servicio.
Requisito: asegúrese de que el servicio Certificados ya está activado y funciona correctamente.
Requisito: asegúrese de que el servicio Data Safe ya está activado y funciona correctamente. Si realiza los siguientes pasos antes de activar el servicio Data Safe, Cloud Guard le avisa de que debe activar Data Safe siempre que encuentre una base de datos.
Requisito: asegúrese de que tanto el servicio Cloud Guard como el servicio de información sobre amenazas estén activados. Cloud Guard comienza a informar de problemas, basándose en información del servicio de información sobre amenazas, sin ninguna otra configuración.
Para permitir a los usuarios hacer clic en un enlace de Detalles del problema, en la página Problemas de Cloud Guard y ver información detallada en Información sobre amenazas, asegúrese de que haya una política implantada que otorgue permiso al usuario:
... to read threat-intel-family in tenancy
Servicio de Registro
Instance Security utiliza el servicio de registro de OCI para registrar la actividad.
Debe activar el registro de extremo a extremo para el destino al que ha asociado la receta de seguridad de instancia; de lo contrario, no verá nada detectado.
El registro puede tener un gran impacto en recursos como la CPU y la memoria, por lo que solo se puede activar el registro para las regiones que desea supervisar.
Configuración de Logging
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Cloud Guard, haga clic en Configuración.
- En la página Configuración, haga clic en Destinos. Busque destinos en los que la entrada del tipo sea inquilino.
- En la página Destinos, haga clic en el enlace del destino que tiene la receta de Seguridad de instancia.
- En Configuración, seleccione el separador Seguridad de instancia, haga clic en Activar/Editar junto a Detalles de configuración de registro.
- En la página de detalles de configuración de Logging, puede activar el registro raw de Seguridad de instancia para una región.
- Para la región que desee, seleccione Activar log.
- En el panel Activar log, seleccione el compartimento.
- Seleccione un grupo de logs existente o cree uno nuevo haciendo clic en Crear nuevo grupo. Consulte Log Group Management.
- Seleccione el tiempo que el log mantendrá, para valores entre 30 días y 180 días, o defina un valor de retención de log personalizado.
- Haga clic en Activar log.
Gestión de detalles de registro
- Consulte los logs y búsquelos por región.
- Cambie el compartimento.
- Cambie el nombre del log.
- Cambie el período de retención de log.
- Active un log.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Cloud Guard, haga clic en Configuración.
- En la página Configuración, haga clic en Destinos. Busque destinos en los que la entrada del tipo sea inquilino.
- En la página Destinos, haga clic en el enlace del destino que tiene la receta de Seguridad de instancia.
- En Configuración, seleccione el separador Seguridad de instancia y haga clic en Activar/Editar junto a Detalles de configuración de Logging.