Documentación de Oracle Cloud Infrastructure

Requisitos

Realice estas tareas antes de activar Oracle Cloud Guard.

Nota

Cloud Guard no está disponible para los arrendamientos gratuitos de Oracle Cloud Infrastructure. Antes de intentar activar Cloud Guard, asegúrese de:
  • Tiene un arrendamiento de pago.
  • El tipo de cuenta de arrendamiento es uno de estos:
    • default_dbaas
    • enterprise_dbaas
    • empresa

Creación del grupo de usuarios de Cloud Guard

Para permitir que los usuarios trabajen con Cloud Guard, cree un grupo de usuarios con privilegios de administrador.

Cloud Guard maneja información relacionada con la seguridad a nivel global y debe estar disponible para un público restringido.

  1. Conéctese a la consola de Oracle Cloud Infrastructure como administrador del arrendamiento.
  2. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Grupos.
  3. Haga clic en Crear Grupo.
  4. Rellene los campos necesarios y, a continuación, haga clic en Crear.
    Proporcione un nombre que identifique claramente al grupo, como CloudGuardUsers. Evite introducir información confidencial.

Siguiente

Agregue usuarios de Cloud Guard al grupo que creó.

Si tiene previsto utilizar un proveedor de identidad (IdP), como Oracle Identity Cloud Service, para la autenticación federada de los usuarios, debe asignar el grupo de proveedores de identidad al grupo de IAM de OCI que ha creado. Consulte Gestión de usuarios de Oracle Identity Cloud Service en la consola para conocer los pasos que se deben seguir para utilizar Oracle Identity Cloud Service.

Sentencias de políticas para los usuarios

Agregue una sentencia de política que permita al grupo de usuarios de Cloud Guard que ha definido gestionar los recursos de Cloud Guard.

Nota

Puede encontrar todas las políticas necesarias para activar Cloud Guard en el tema Políticas comunes de Oracle Cloud Infrastructure Identity and Access Management (IAM). En esa página, busque "Cloud Guard" y amplíe las cuatro listas que encuentre.

Para obtener información detallada sobre las políticas individuales de Cloud Guard, consulte Políticas de Cloud Guard.

Para gestionar los recursos de Cloud Guard, agregue la siguiente sentencia de política para brindar la capacidad a todos los usuarios del grupo CloudGuardUsers. Sustituya el nombre por aquel que asignó al grupo si no lo denominó CloudGuardUsers.

allow group CloudGuardUsers to manage cloud-guard-family in tenancy

Con esta política en vigor, los usuarios que agregue al grupo de usuarios de Cloud Guard podrán ahora continuar con la Activación de Cloud Guard.

Nota

Si por algún motivo decide no agregar la sentencia de política exacta anterior, debe agregar la siguiente sentencia de política como requisito mínimo para permitir que los usuarios accedan a Cloud Guard: 
allow group CloudGuardUsers to use cloud-guard-config in tenancy
Permisos y políticas de IAM correspondientes

Basándose en las funciones de seguridad típicas que pueden existir en una organización, Cloud Guard soporta los siguientes roles de administrador. Cada rol tiene unos nombres de recursos de IAM correspondientes y unas políticas que puede utilizar para controlar el acceso a las funciones de Cloud Guard.

Rol de administrador Funciones de Cloud Guard Recursos de permisos de IAM Funciones accesibles
Propietario del servicio (root o superadministrador)
  • Activación de Cloud Guard
  • Crear grupos y políticas de IAM
 nube-guarda-familia Gestionar cloud-guard-family en el arrendamiento
Arquitecto de seguridad (analista de seguridad)
  • Clonar recetas de detector
  • Gestionar detectores
  • Asignar recetas de detectores a destinos
  • Leer/gestionar problemas, puntuaciones de problemas y otras métricas

cloud-guard-detectors

cloud-guard-targets

cloud-guard-detector-recipes

cloud-guard-responder-recipes

cloud-guard-managed-lists

cloud-guard-problems

cloud-guard-risk-scores

cloud-guard-security-scores

 Gestionar/inspeccionar/leer* estos recursos en el arrendamiento/compartimento
Administrador de operaciones de seguridad
  • Gestionar, inspeccionar o leer* problemas de Cloud Guard
 cloud-guard-problems Gestionar/inspeccionar/leer* problemas de Cloud Guard

* Lectura frente a inspección: la lectura permite ver los detalles de los problemas que se muestran; la inspección solo permite ver la lista de problemas. El permiso de lectura es un superjuego del permiso de inspección.

Atención

Asegúrese de que solo el administrador raíz puede suprimir destinos.
Casos de uso de políticas de ejemplo

Los casos de uso que se muestran en la siguiente tabla buscan proporcionar ejemplos de los roles de administrador y las políticas de IAM que puede configurar para soportarlos.

Casos prácticos Políticas mínimas necesarias Funciones permitidas y no permitidas Permisos Autorización
Acceso de solo lectura a los datos y la configuración de Cloud Guard en todos los compartimentos El administrador puede crear un grupo especial, como cgreadgroup, agregar usuarios a este grupo y, a continuación, agregar las siguientes políticas:
  • allow group cgreadgroup to read cloud-guard-family in tenancy
  • allow group cgreadgroup to read compartments in tenancy

Permitidas: leer las páginas Visión general, Problemas, Detectores, Destinos y Actividad de responsable de respuesta.

No permitidas: editar o clonar recetas de detector, crear destinos, suprimir recetas de destinos y crear listas gestionadas.

 Página Visión general - Lectura:
Problemas - Lectura:
Problemas - Gestión: No
Problemas - Solución: No
Destinos - Lectura:
Destinos - Gestión: No
Recetas/reglas de detectores - Lectura:
Recetas/reglas de detectores - Gestión: No
Actividad de responsable de respuesta - Lectura:
Acceso de solo lectura a los datos y la configuración de Cloud Guard en un compartimento El administrador puede crear un grupo especial, como cggroupcomptonly, agregar usuarios a este grupo y, a continuación, agregar las siguientes políticas ('OCIDemo' es el nombre del compartimento en este caso):
  • allow group cggroupcomptonly to read compartments in tenancy where target.compartment.name = 'OCIDemo'
  • allow group cggroupcomptonly to read cloud-guard-family in compartment OCIDemo
  • allow group cggroupcomptonly to inspect cloud-guard-config in tenancy

Permitidas: leer los datos únicamente del compartimento especificado en las páginas Visión general, Problemas, Detectores y Destinos.

No permitidas: leer los datos del resto de compartimentos en esas páginas.

 Página Visión general - Lectura:
Problemas - Lectura:
Problemas - Gestión: No
Problemas - Solución: No
Destinos - Lectura:
Destinos - Gestión: No
Recetas y reglas de detectores - Lectura:
Recetas y reglas de detectores - Gestión: No
Actividad de responsable de respuesta - Lectura:
Acceso de solo lectura a las recetas de detector de Cloud Guard El administrador puede crear un grupo especial, como cgreaddetrecipes, agregar usuarios a este grupo y, a continuación, agregar las siguientes políticas:
  • allow group cgreaddetrecipes to read cloud-guard-detector-recipes in tenancy
  • allow group cgreaddetrecipes to read compartments in tenancy
  • allow group cgreaddetrecipes to inspect cloud-guard-config in tenancy

Permitidas: leer las páginas de las recetas y reglas de detector.

No permitidas: clonar o suprimir recetas, gestionar las reglas de una receta, ver páginas que no sean las de Detectores y Responsables de respuesta.

 Página Visión general - Lectura: No
Problemas - Lectura: No
Problemas - Gestión: No
Problemas - Solución: No
Destinos - Lectura: No
Destinos - Gestión: No
Recetas y reglas de detectores - Lectura:
Recetas y reglas de detectores - Gestión: No
Actividad de responsable de respuesta - Lectura: No
Acceso de solo lectura a los problemas de Cloud Guard, exceptuando la puntuación de seguridad y la puntuación de riesgo El administrador puede crear un grupo especial, como cgreadproblems, agregar usuarios a este grupo y, a continuación, agregar las siguientes políticas:
  • allow group cgreadproblems to read cloud-guard-problems in tenancy
  • allow group cgreadproblems to read compartments in tenancy
  • allow group cgreadproblems to inspect cloud-guard-config in tenancy

Permitidas en la página Visión general, ver:

  • Instantánea de problemas
  • Problemas agrupados por...
  • Problemas de actividad de usuario
  • Línea de tendencia de nuevos problemas

No permitidas en la página Visión general, acceso a:

  • Puntuación de seguridad
  • Puntuación de riesgo
  • Recomendaciones de seguridad
  • Estado de responsable de respuesta
  • Línea de tendencia de puntuaciones de seguridad
  • Línea de tendencia de soluciones

El acceso al resto de páginas tampoco está permitido.

 Página Visión general - Lectura:

(limitado a la instantánea de problemas, los problemas agrupados por..., los problemas de actividad de usuario y la línea de tendencia de nuevos problemas)
Problemas - Lectura: No
Problemas - Gestión: No
Problemas - Solución: No
Destinos - Lectura: No
Destinos - Gestión: No
Recetas y reglas de detectores - Lectura: No
Recetas y reglas de detectores - Gestión: No
Actividad de responsable de respuesta - Lectura: No
Acceso de solo lectura a los problemas de Cloud Guard, incluidas la puntuación de seguridad y la puntuación de riesgo El administrador puede crear un grupo especial de usuarios como en la fila anterior, con las políticas detalladas ahí, y, a continuación, agregar las siguientes políticas:
  • allow group cgreadproblems to inspect cloud-guard-risk-scores in tenancy
  • allow group cgreadproblems to inspect cloud-guard-security-scores in tenancy

Permitidas en la página Visión general, ver:

  • Puntuación de seguridad
  • Puntuación de riesgo
  • Instantánea de problemas
  • Problemas agrupados por...
  • Problemas de actividad de usuario
  • Línea de tendencia de nuevos problemas

No permitidas en la página Visión general, acceso a:

  • Recomendaciones de seguridad
  • Estado de responsable de respuesta
  • Línea de tendencia de puntuaciones de seguridad
  • Línea de tendencia de soluciones

El acceso al resto de páginas tampoco está permitido.

 Página Visión general - Lectura:

(limitado a la puntuación de seguridad, la puntuación de riesgo, la instantánea de problemas, los problemas agrupados por..., los problemas de actividad de usuario y la línea de tendencia de nuevos problemas)
Problemas - Lectura: No
Problemas - Gestión: No
Problemas - Solución: No
Destinos - Lectura: No
Destinos - Gestión: No
Recetas y reglas de detectores - Lectura: No
Recetas y reglas de detectores - Gestión: No
Actividad de responsable de respuesta - Lectura: No
Referencia de permisos de Cloud Guard

En la siguiente tabla, se resumen los permisos de Cloud Guard que están disponibles.

Permiso Objetivo Ámbito necesario Notas

cloud-guard-family

Recopila todos los permisos que existen para Cloud Guard en un solo permiso.

El uso de cualquiera de los metaverbos inspect, read, use y manage con este permiso otorga los mismos privilegios a todos los demás permisos.

Utilice este permiso con precaución.

arrendamiento o compartimento

Nombre de permiso común para todos los permisos.

cloud-guard-detectors

Ya no se necesita. Los datos estáticos están disponibles sin autorización.

NA

No se utiliza en la consola.

cloud-guard-targets

Necesario para poder ver y gestionar los datos del destino del compartimento o arrendamiento.

El metaverbo inspect se necesita para poder rellenar mínimamente la lista de selección para el filtrado de los problemas. El ámbito puede ser el arrendamiento o uno o varios compartimentos.

El metaverbo read otorga el privilegio de poder ver la configuración del destino.

El metaverbo use se necesita para poder actualizar cualquier destino creado anteriormente.

El metaverbo manage se necesita para poder gestionar el ciclo de vida del destino.

Recomendado: defina el ámbito de este permiso en un compartimento para permitir que el usuario realice operaciones únicamente dentro de ese compartimento.

arrendamiento o compartimento

Los datos se utilizan en la página Destinos y también para rellenar el campo desplegable para filtrar la página Problemas.

cloud-guard-config

Necesario para poder ver la configuración de Cloud Guard del arrendamiento.

Sin este permiso, los usuarios no pueden ver la página Visión general ni ninguna otra página de Cloud Guard. Se les redirige a la página Activar de Cloud Guard.

El metaverbo inspect se necesita para poder ver el estado de activación de Cloud Guard junto con los detalles de la región de informe configurada.

Los metaverbos use o manage se deben restringir a aquellos usuarios que necesiten tener la capacidad de activar o desactivar Cloud Guard.

arrendamiento

Estos datos se utilizan para identificar el estado de Cloud Guard y los detalles de la región de informe. Todas las llamadas posteriores de la consola se redirigen a la región de informe para realizar operaciones de CRUDL.

La región de informe configurada se muestra en la página Configuración.

cloud-guard-managed-lists

Necesario para poder ver y gestionar los datos de la lista gestionada del compartimento o arrendamiento.

El metaverbo inspect se necesita en el ámbito del arrendamiento si los usuarios necesitan clonar listas gestionadas por Oracle que se encuentran en el compartimento raíz.

El metaverbo read se necesita para poder ver la configuración de una lista gestionada y asociar dicha lista a un grupo condicional o a ajustes que se encuentran en el destino, la receta de detector o la receta de responsable de respuesta. Si la lista gestionada se encuentra en el ámbito del arrendamiento, el ámbito de la política debe ser el arrendamiento; si la lista gestionada se encuentra en un compartimento, el ámbito de la política debe ser el compartimento.

El metaverbo use proporciona más capacidades aparte de las de read, para poder modificar la lista gestionada existente a la que ya se tiene acceso de lectura.

El metaverbo manage se necesita para poder crear una nueva lista gestionada y gestionar el ciclo de vida de las listas gestionadas creadas por el cliente.

arrendamiento o compartimento

Los datos se utilizan en la página Listas gestionadas y también para rellenar los valores que asocian una lista gestionada a grupos condicionales o a ajustes que se encuentran en destinos, recetas de detector o recetas de responsable de respuesta.

cloud-guard-problems

Necesario para poder ver y realizar acciones en los problemas del compartimento o arrendamiento.

El metaverbo inspect se necesita para mostrar datos en la página Visión general y también para mostrar los problemas en la página Problemas. El ámbito puede ser el arrendamiento, donde se pueden ver los problemas identificados en todos los compartimentos. Asimismo, también puede ser un compartimento, de modo que se restrinja el acceso a los problemas del compartimento específico.

Si la intención es poder ver los detalles de los problemas, será necesario el metaverbo read.

Los metaverbos use o manage se deben agregar a la política si el usuario puede realizar acciones tales como "Marcar como resuelto", "Descartar" o "Solucionar" en problemas individuales o en varios problemas.

arrendamiento o compartimento

Los datos se utilizan en la página Problemas y también en la página Visión general para rellenar estos paneles:

  • Instantánea de problemas
  • Problemas de actividad de usuario
  • Problemas agrupados por...
  • Línea de tendencia de nuevos problemas

La página Visión general requiere mínimamente el metaverbo inspect para poder mostrar los paneles.

cloud-guard-detector-recipes

Necesario para poder ver y gestionar los datos de la receta de detector del compartimento o arrendamiento.

Si los usuarios necesitan clonar recetas gestionadas por Oracle que se encuentran en el compartimento raíz, se necesita el metaverbo inspect en el ámbito del arrendamiento.

El metaverbo read se necesita para poder ver la configuración de una receta y asociar recetas a un destino. Si las recetas se encuentran en el ámbito del arrendamiento, el ámbito de la política debe ser el arrendamiento; si las recetas se encuentran en un compartimento, el ámbito de la política debe ser el compartimento.

El metaverbo use proporciona más capacidades para modificar grupos condicionales y otros ajustes en las recetas existentes para las que los usuarios ya tienen acceso de lectura.

El metaverbo manage se necesita para poder clonar una receta y gestionar el ciclo de vida de las recetas clonadas.

arrendamiento o compartimento

Los datos se utilizan en la página Recetas de detector y también para rellenar la lista de selección que se utiliza al asociar la receta de detector a un destino.

cloud-guard-responder-recipes

Necesario para poder ver y gestionar los datos de una receta de responsable de respuesta del compartimento o arrendamiento.

Si los usuarios necesitan clonar recetas gestionadas por Oracle que se encuentran en el compartimento raíz, se necesita el metaverbo inspect en el ámbito del arrendamiento.

El metaverbo read se necesita para poder ver la configuración de una receta y asociar una receta a un destino. Si las recetas se encuentran en el ámbito del arrendamiento, el ámbito de la política debe ser el arrendamiento; si las recetas se encuentran en un compartimento, el ámbito de la política debe ser el compartimento.

El metaverbo use proporciona más capacidades para modificar grupos condicionales y otros ajustes en las recetas existentes para las que ya se tiene acceso de lectura.

El metaverbo manage se necesita para poder clonar una receta y gestionar el ciclo de vida de las recetas clonadas.

arrendamiento o compartimento

Los datos se utilizan en la página Recetas de responsable de respuesta y también para rellenar la lista de selección que aparece al asociar una receta de responsable de respuesta a un destino.

cloud-guard-responder-executions

Necesario para poder ver y gestionar los datos de la actividad del responsable de respuesta del compartimento o arrendamiento.

El metaverbo inspect es un requisito mínimo para poder rellenar los datos de las páginas Visión general y Actividad de responsable de respuesta.

El metaverbo read se necesita para poder ver datos específicos de la actividad del responsable de respuesta. No es necesario en la consola.

Los metaverbos use o manage se necesitan para poder realizar acciones como "Omitir" o "Ejecutar" en actividades específicas del responsable de respuesta o para "Omitir" la ejecución de varias actividades del responsable de respuesta.

arrendamiento o compartimento

En el caso del metadispositivo inspect:

  • Estos datos se utilizan para rellenar el panel Estado de responsable de respuesta y la línea de tendencia de soluciones de la página Visión general.
  • Estos datos también se utilizan en la página Actividad de responsable de respuesta.

En el caso del metadispositivo read:

  • No es necesario para la consola.

En el caso de los metaverbos use o manage:

  • Necesarios para realizar acciones de omisión y ejecución en actividades específicas del responsable de respuesta u omisiones masivas de varias actividades del responsable de respuesta.

cloud-guard-recommendations

Necesario para poder ver las recomendaciones que mejoran la puntuación de riesgo y la puntuación de seguridad asociadas al arrendamiento.

El metaverbo inspect es el requisito mínimo.

arrendamiento o compartimento

Estos datos se pueden ver en la página Visión general, en el panel Recomendaciones de seguridad.

cloud-guard-user-preferences

Necesario para poder gestionar las preferencias de usuario en la consola de Cloud Guard. Actualmente se utiliza para gestionar el estado de la visita guiada para el usuario conectado. Al guardar la preferencia del usuario, se omite la solicitud de completar la visita guiada en las conexiones posteriores.

El metaverbo inspect es el requisito mínimo para poder obtener la preferencia del usuario actual.

Los metaverbos use o manage se deben utilizar también para mantener la preferencia.

arrendamiento

Estos datos se pueden ver en la sección Visita guiada de la página Configuración.

cloud-guard-risk-scores

Necesario para poder ver los datos de la puntuación de riesgo del arrendamiento.

Sin este permiso, los usuarios no pueden ver la puntuación de riesgo asociada al arrendamiento.

El metaverbo inspect es el requisito mínimo.

arrendamiento

Estos datos se pueden ver en la página Visión general, en el panel Puntuación de riesgo.

cloud-guard-security-scores

Necesario para poder ver la calificación de la puntuación de seguridad del arrendamiento.

Sin este permiso, los usuarios no pueden ver la puntuación de seguridad asociada al arrendamiento.

El metaverbo inspect es el requisito mínimo.

arrendamiento

Estos datos se pueden ver en la página Visión general, en Calificación de puntuación de seguridad y Línea de tendencia de puntuaciones de seguridad.