Logs de servicio de Oracle Cloud Infrastructure agregados con SIEM de terceros
Al desplegar cargas de trabajo en Oracle Cloud Infrastructure (OCI), la agregación de logs de Oracle Cloud Infrastructure Audit, logs de servicio y eventos de seguridad son requisitos fundamentales.
La centralización de estos datos permite a las organizaciones analizar, controlar y proteger sus arrendamientos. En los casos de uso de seguridad, los clientes pueden enviar estos logs a una plataforma de gestión de eventos e información de seguridad (SIEM). El sistema SIEM es una herramienta de operaciones esenciales que gestiona la seguridad de los recursos en la nube. OCI incluye capacidades nativas de detección de amenazas, prevención y respuesta, que se pueden utilizar para implementar un SIEM eficiente.
Para ayudar a simplificar el despliegue de la información de log agregada en las regiones de un arrendamiento, las compañías pueden utilizar herramientas de infraestructura como código (IaC), incluidas Terraform y Ansible. Estas herramientas IaC no solo permiten un desarrollo ágil, mejores prácticas de DevOps e integración y entrega continuas (CI/CD), sino que también eliminan los obstáculos, como el aprovisionamiento manual de componentes de infraestructura en la nube. Debido a que IaC es de naturaleza modular, cada fragmento de código se puede dividir o combinar para cumplir varios casos de uso de despliegue, al tiempo que permite que los ciclos de desarrollo de software sean más eficientes.
Arquitectura
Esta arquitectura despliega una topología similar en diferentes regiones para capturar resultados de log específicos de la región, agregar los resultados y enviarlos a una plataforma de gestión de eventos e información de seguridad (SIEM).
En el siguiente diagrama se ilustra la arquitectura general. Las vistas individuales para las regiones de informes y suscriptores se proporcionan en la sección Planificar el despliegue.
oci-log-multistream-oracle.zip
La arquitectura tiene los siguientes componentes:
- arrendamiento
Un arrendamiento es una partición segura y aislada que Oracle configura en Oracle Cloud al registrarse en Oracle Cloud Infrastructure. Puede crear, organizar y administrar sus recursos en Oracle Cloud dentro de su arrendamiento. Un arrendamiento es sinónimo de una compañía u organización. Normalmente, una compañía tendrá un solo arrendamiento y reflejará su estructura organizativa dentro de ese arrendamiento. Un único arrendamiento suele estar asociado a una sola suscripción, y una única suscripción suele tener un solo arrendamiento.
- Región
Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones, y grandes distancias pueden separarlas (entre países o incluso continentes).
- Identity and Access Management (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) es el plano de control de acceso para Oracle Cloud Infrastructure (OCI) y Oracle Cloud Applications. La API de IAM y la interfaz de usuario le permiten gestionar los dominios de identidad y los recursos del dominio de identidad. Cada dominio de identidad de OCI IAM representa una solución de gestión de identidad y acceso independiente o un grupo de usuarios diferente.
- Política
Una política de Oracle Cloud Infrastructure Identity and Access Management especifica quién puede acceder a qué recursos y cómo. El acceso se otorga en el nivel de grupo y compartimento, lo que significa que puede escribir una política que proporcione a un grupo un tipo específico de acceso dentro de un compartimento específico o al arrendamiento.
- RegistroLogging es un servicio altamente escalable y totalmente gestionado que proporciona acceso a los siguientes tipos de logs de sus recursos en la nube:
- Logs de auditoría: logs relacionados con eventos emitidos por el servicio Audit.
- Logs de servicio: logs emitidos por servicios individuales como API Gateway, Events, Functions, Load Balancing, Object Storage y logs de flujo de VCN.
- Logs personalizados: logs que contienen información de diagnóstico de aplicaciones personalizadas, otros proveedores de nube o un entorno local.
- Red virtual en la nube (VCN) y subredes
Una VCN es una red personalizable y definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de los centros de datos tradicionales, las redes virtuales le proporcionan un control completo de su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.
- Lista de Seguridad
Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.
- Tabla de rutas
Las tablas de rutas virtuales contienen reglas para enrutar el tráfico desde subredes hasta destinos fuera de una VCN, normalmente a través de gateways.
- Calcular
El servicio Oracle Cloud Infrastructure Compute permite aprovisionar y gestionar hosts informáticos en la nube. Puede iniciar instancias informáticas con unidades que cumplan los requisitos de recursos de CPU, memoria, ancho de banda de red y almacenamiento. Después de crear una instancia informática, puede acceder a ella de forma segura, reiniciarla, asociar y desasociar volúmenes, y finalizarla cuando ya no lo necesite.
- Object Storage
El almacenamiento de objetos proporciona acceso rápido a grandes cantidades de datos estructurados y no estructurados de cualquier tipo de contenido, incluidas copias de seguridad de bases de datos, datos analíticos y contenido enriquecido, como imágenes y vídeos. Puede almacenar datos de forma segura y, a continuación, recuperarlos directamente desde Internet o desde la plataforma en la nube. Puede ampliar el almacenamiento sin problemas sin que se produzca ninguna degradación del rendimiento o la fiabilidad del servicio. Utilice el almacenamiento estándar para el almacenamiento "activo" al que tenga que acceder de forma rápida, inmediata y frecuente. Utilice el almacenamiento de archivos para el almacenamiento "en frío" que retiene durante largos períodos de tiempo y a los que rara vez o rara vez accede.
- Conexiones de servicio
El hub de conector de servicio de Oracle Cloud Infrastructure es una plataforma de bus de mensajes en la nube que organiza el movimiento de datos entre servicios en OCI. Puede utilizarlo para mover datos entre servicios en Oracle Cloud Infrastructure. Los datos se mueven mediante conectores de servicio. Un conector de servicio especifica el servicio de origen que contiene los datos que se van a mover, las tareas que se van a realizar en los datos y el servicio de destino al que se deben entregar los datos cuando se completen las tareas especificadas.
Puede utilizar el hub de conector de servicio de Oracle Cloud Infrastructure para crear rápidamente un marco de agregación de registros para sistemas SIEM. Una tarea opcional podría ser una tarea de función para procesar datos del origen o una tarea de filtro de log para filtrar datos de log del origen.
- Cloud Guard
Puede utilizar Oracle Cloud Guard para supervisar y mantener la seguridad de los recursos en Oracle Cloud Infrastructure. Cloud Guard utiliza recetas de detector que puede definir para examinar los recursos en busca de debilidades de seguridad y para supervisar a operadores y usuarios en busca de actividades de riesgo. Cuando se detecta una configuración incorrecta o una actividad no segura, Cloud Guard recomienda acciones correctivas y ayuda a realizar esas acciones, en función de las recetas de responsable de respuesta que puede definir.
- Eventos
Los servicios de Oracle Cloud Infrastructure emiten eventos, que son mensajes estructurados que describen los cambios en los recursos. Los eventos se emiten para operaciones de creación, lectura, actualización o supresión (CRUD), cambios de estado del ciclo de vida de los recursos y eventos del sistema que afectan a los recursos en la nube.
- Auditoría
El servicio Oracle Cloud Infrastructure Audit registra automáticamente las llamadas a todos los puntos finales de la interfaz pública de programación de aplicaciones (API) de Oracle Cloud Infrastructure soportados como eventos de log. Actualmente, todos los servicios soportan el registro por parte de Oracle Cloud Infrastructure Audit.
- Flujo de Datos
Oracle Cloud Infrastructure Streaming proporciona una solución duradera, escalable y totalmente gestionada para la ingestión de flujos de datos continuos y de elevado volumen que puede utilizar y procesar en tiempo real. Puede utilizar Streaming para la ingestión de datos de alto volumen, como logs de aplicación, telemetría operativa, datos de flujo de clics en la web, o para otros casos de uso en los que se producen y procesan datos de forma continua y secuencial en un modelo de mensajería de publicación/suscripción.
- Data Safe
Oracle Data Safe es un servicio en la nube regional totalmente integrado que proporciona un juego completo de funciones para proteger datos confidenciales y regulados en bases de datos Oracle. Data Safe también soporta bases de datos locales, Oracle Exadata Database Service on Cloud@Customer y despliegues multinube. Todos los clientes de Oracle Database pueden reducir el riesgo de una infracción de datos y simplificar el cumplimiento mediante el uso de Oracle Data Safe para evaluar el riesgo de configuración y de usuario, supervisar y auditar la actividad de los usuarios y para detectar, clasificar y enmascarar datos confidenciales.