Supervisión y auditoría del entorno
Asegúrese de utilizar los controles correctos para supervisar y auditar el entorno
Activar Cloud Guard para supervisión
Arquitecto empresarial, arquitecto de seguridad
Asegúrese de que Cloud Guard está activado en el nivel raíz de su arrendamiento para supervisar todos los compartimentos. Oracle Cloud Guard detecta recursos configurados incorrectamente y actividad no segura en los inquilinos y proporciona a los administradores de seguridad visibilidad para establecer prioridades y resolver problemas de seguridad en la nube. Las inconsistencias de seguridad se pueden solucionar automáticamente con recetas de seguridad integradas para ampliar de forma eficaz el centro de operaciones de seguridad. Oracle proporciona recetas de detector (un componente de Cloud Guard que identifica posibles problemas de seguridad según la configuración o la actividad de los recursos) para activar la seguridad de instancias en Cloud Guard.
La seguridad de la instancia es una receta de Oracle Cloud Guard que supervisa los hosts informáticos para detectar actividades sospechosas. La seguridad de instancias proporciona seguridad de tiempo de ejecución para las cargas de trabajo en hosts virtuales y con hardware dedicado de Compute. La seguridad de instancias amplía Cloud Guard de la gestión de estrategias de seguridad en la nube a la protección de cargas de trabajo en la nube. La seguridad de instancias garantiza que las necesidades de seguridad se satisfagan en un solo lugar con una visibilidad coherente y una comprensión integral del estado de seguridad de la infraestructura.
Configurar Auditoría
Arquitecto empresarial, arquitecto de seguridad
El servicio Oracle Cloud Infrastructure Audit registra automáticamente las llamadas realizadas a todos los puntos finales de la interfaz pública de programación de aplicaciones (API) de Oracle Cloud Infrastructure soportados como eventos de log.Oracle Cloud Infrastructure Object Storage admite el registro de eventos relacionados con cubos, pero no de eventos relacionados con objetos. Los eventos de log registrados por Oracle Cloud Infrastructure Audit incluyen llamadas a la API realizadas por la consola de Oracle Cloud Infrastructure, la interfaz de línea de comandos (CLI), Software Development Kits (SDK), sus propios clientes personalizados u otros servicios de Oracle Cloud Infrastructure. La información que se incluye en los logs incluye lo siguiente:
- Hora a la que se ha producido la actividad de API.
- Origen de la actividad.
- Destino de la actividad.
- Tipo de acción.
- Tipo de respuesta.
Cada evento de log incluye un ID de cabecera, recursos de destino, registro de hora del evento registrado, parámetros de solicitud y de respuesta. Puede ver los eventos registrados por Oracle Cloud Infrastructure Audit mediante la consola, la API o el SDK para Java. Los datos de eventos se pueden utilizar para realizar diagnósticos, realizar un seguimiento del uso de recursos, supervisar la conformidad y recopilar eventos relacionados con la seguridad.
Si tiene herramientas de terceros que necesitan acceder a los datos de Oracle Cloud Infrastructure Audit, configure un hub de conector de servicio para copiar los datos de Oracle Cloud Infrastructure Audit en un almacén de objetos, con un juego de períodos de retención adecuado.
Audite las políticas
Arquitecto empresarial, arquitecto de seguridad
Un auditor de políticas puede revisar las políticas de IAM de forma ad hoc mediante la consola de Oracle Cloud Infrastructure. También hay varias opciones que se pueden aprovechar para generar informes de políticas para el análisis fuera de línea.
Cloud Guard tiene dos recetas de detector de configuración y una receta de detector de actividad específicamente para políticas de IAM:
- La política otorga demasiados privilegios.
- Privilegio de administrador del arrendamiento otorgado a un grupo.
- Política de seguridad modificada.
Aunque las recetas gestionadas por Oracle se pueden modificar, Oracle recomienda clonar las recetas para permitir modificar los objetos a los que se dirigen estas reglas (mediante el uso de etiquetas o compartimentos). Esto permite que los entornos de producción dentro de un arrendamiento tengan controles más estrictos, al tiempo que se flexibilizan las restricciones en entornos que no son de producción que residen en un compartimento diferente en el arrendamiento. Si necesita revisar las políticas de IAM en un nivel más granular, Oracle recomienda utilizar el detector Política de seguridad modificada para disparar un evento que:
- Activa una revisión manual a través de la política.
- Llama a una función para realizar una investigación o solución.
Al auditar las políticas, tenga en cuenta los siguientes posibles problemas:
- ¿Dónde se definen las políticas y cumplen los estándares de uso de compartimentos de la organización?
- Audite el uso de grupos dinámicos. ¿Estos grupos otorgan privilegios excesivos?
- ¿Qué servicios están configurados y dónde se encuentran? Puede que algunos servicios se limiten a determinados compartimentos o grupos.
- Localice cualquier sentencia duplicada.
- Identifique políticas que otorguen privilegios a todo el arrendamiento.
- Identifique grupos que tengan más privilegios de los que necesitan.
Oracle Access Governance Cloud Service es una solución de administración e identidad (IGA) nativa en la nube que proporciona aprovisionamiento de usuarios, revisiones de acceso y análisis de identidad para ayudarle a definir y controlar privilegios de acceso. Aproveche las estadísticas útiles de las políticas de inteligencia artificial/inteligencia basada en el aprendizaje automático para auditar sus políticas.
Supervisión de logs de flujo de VCN
Arquitecto empresarial, arquitecto de seguridad
- Supervise los detalles sobre el tráfico que pasa a través de una VCN.
- Audite el tráfico y solucione problemas de las listas de seguridad.
- Active y gestione los logs de flujo desde el centro de comandos de red.
- Utilice filtros de captura para evaluar y seleccionar el tráfico que desea incluir en el log de flujo.
- Utilice Oracle Cloud Infrastructure Logging para enviar información de log a un grupo de logs especificado.
- Active los logs de flujo para todas las VNIC de una VCN, subred, instancias específicas de destino, equilibradores de carga de red o VNIC de recursos como puntos de activación.
Busque continuamente vulnerabilidades
Arquitecto empresarial, arquitecto de seguridad
- Software o firmware obsoleto.
- Errores sin parches (por ejemplo: sistemas operativos, software o plugins sin parches).
- Configuración mal configurada.
- Código inseguro o errores de programación.
- Contraseñas débiles o mecanismos de autenticación.
Oracle Vulnerability Scanning Service ayuda a mejorar su estrategia de seguridad en Oracle Cloud Infrastructure comprobando de forma rutinaria las posibles vulnerabilidades de los hosts. El servicio genera informes con métricas y detalles sobre estas vulnerabilidades.
Las capacidades principales de Oracle Vulnerability Scanning Service son:
- Conjunto de aplicaciones de exploración simple, activa por defecto, prescriptiva y gratuita que está estrechamente integrado con la plataforma Oracle Cloud Infrastructure.
- Motores y plugins por defecto basados en motores de exploración de código abierto y creados por Oracle Cloud Infrastructure para la exploración de hosts y contenedores.
- Oracle Cloud Infrastructure gestiona el despliegue, la configuración y la actualización de estos motores y agentes en toda la flota de clientes.
- Los problemas detectados por el conjunto de análisis se mostrarán a través de Oracle Cloud Guard, con reglas y aprendizaje automático para priorizar las vulnerabilidades críticas.
- Oracle Cloud Infrastructure realizará acciones (alerta, reparación automática o cuarentena) a través de los responsables de respuesta para acortar el tiempo que transcurre desde la detección hasta la solución, incluidas las zonas de máxima seguridad.
- Integración con escáneres de vulnerabilidades de terceros como Qualys Vulnerability Management, Detection and Response.
Agregación de logs de servicio a plataformas SIEM
Arquitecto empresarial, arquitecto de seguridad, arquitecto de red
Las plataformas SIEM permiten supervisar eventos de seguridad de diferentes orígenes como redes, dispositivos e identidades. También puede analizar estas señales en tiempo real utilizando el Machine Learning para correlacionar varias señales e identificar actividades de piratería informática y eventos de seguridad irregulares recorriendo la red que supongan una amenaza.
OCI puede enviar logs y eventos a varias plataformas SIEM de terceros.