Supervisión y auditoría del entorno

Asegúrese de utilizar los controles correctos para supervisar y auditar el entorno

Activar Cloud Guard para supervisión

Arquitecto empresarial, arquitecto de seguridad

Oracle Cloud Guard permite obtener una vista unificada de la estrategia de seguridad en la nube para todos los clientes de Oracle Cloud Infrastructure.
El equipo de seguridad debe supervisar los eventos de Cloud Guard.

Asegúrese de que Cloud Guard está activado en el nivel raíz de su arrendamiento para supervisar todos los compartimentos. Oracle Cloud Guard detecta recursos configurados incorrectamente y actividad no segura en los inquilinos y proporciona a los administradores de seguridad visibilidad para establecer prioridades y resolver problemas de seguridad en la nube. Las inconsistencias de seguridad se pueden solucionar automáticamente con recetas de seguridad integradas para ampliar de forma eficaz el centro de operaciones de seguridad. Oracle proporciona recetas de detector (un componente de Cloud Guard que identifica posibles problemas de seguridad según la configuración o la actividad de los recursos) para activar la seguridad de instancias en Cloud Guard.

La seguridad de la instancia es una receta de Oracle Cloud Guard que supervisa los hosts informáticos para detectar actividades sospechosas. La seguridad de instancias proporciona seguridad de tiempo de ejecución para las cargas de trabajo en hosts virtuales y con hardware dedicado de Compute. La seguridad de instancias amplía Cloud Guard de la gestión de estrategias de seguridad en la nube a la protección de cargas de trabajo en la nube. La seguridad de instancias garantiza que las necesidades de seguridad se satisfagan en un solo lugar con una visibilidad coherente y una comprensión integral del estado de seguridad de la infraestructura.

Configurar Auditoría

Arquitecto empresarial, arquitecto de seguridad

El servicio Oracle Cloud Infrastructure Audit registra automáticamente las llamadas realizadas a todos los puntos finales de la interfaz pública de programación de aplicaciones (API) de Oracle Cloud Infrastructure soportados como eventos de log.
Actualmente, todos los servicios soportan el registro mediante Oracle Cloud Infrastructure Audit.

Oracle Cloud Infrastructure Object Storage admite el registro de eventos relacionados con cubos, pero no de eventos relacionados con objetos. Los eventos de log registrados por Oracle Cloud Infrastructure Audit incluyen llamadas a la API realizadas por la consola de Oracle Cloud Infrastructure, la interfaz de línea de comandos (CLI), Software Development Kits (SDK), sus propios clientes personalizados u otros servicios de Oracle Cloud Infrastructure. La información que se incluye en los logs incluye lo siguiente:

  • Hora a la que se ha producido la actividad de API.
  • Origen de la actividad.
  • Destino de la actividad.
  • Tipo de acción.
  • Tipo de respuesta.

Cada evento de log incluye un ID de cabecera, recursos de destino, registro de hora del evento registrado, parámetros de solicitud y de respuesta. Puede ver los eventos registrados por Oracle Cloud Infrastructure Audit mediante la consola, la API o el SDK para Java. Los datos de eventos se pueden utilizar para realizar diagnósticos, realizar un seguimiento del uso de recursos, supervisar la conformidad y recopilar eventos relacionados con la seguridad.

Si tiene herramientas de terceros que necesitan acceder a los datos de Oracle Cloud Infrastructure Audit, configure un hub de conector de servicio para copiar los datos de Oracle Cloud Infrastructure Audit en un almacén de objetos, con un juego de períodos de retención adecuado.

Audite las políticas

Arquitecto empresarial, arquitecto de seguridad

Revise periódicamente sus políticas para asegurarse de que cumplen con las buenas prácticas de seguridad.

Un auditor de políticas puede revisar las políticas de IAM de forma ad hoc mediante la consola de Oracle Cloud Infrastructure. También hay varias opciones que se pueden aprovechar para generar informes de políticas para el análisis fuera de línea.

Cloud Guard tiene dos recetas de detector de configuración y una receta de detector de actividad específicamente para políticas de IAM:

  • La política otorga demasiados privilegios.
  • Privilegio de administrador del arrendamiento otorgado a un grupo.
  • Política de seguridad modificada.

Aunque las recetas gestionadas por Oracle se pueden modificar, Oracle recomienda clonar las recetas para permitir modificar los objetos a los que se dirigen estas reglas (mediante el uso de etiquetas o compartimentos). Esto permite que los entornos de producción dentro de un arrendamiento tengan controles más estrictos, al tiempo que se flexibilizan las restricciones en entornos que no son de producción que residen en un compartimento diferente en el arrendamiento. Si necesita revisar las políticas de IAM en un nivel más granular, Oracle recomienda utilizar el detector Política de seguridad modificada para disparar un evento que:

  • Activa una revisión manual a través de la política.
  • Llama a una función para realizar una investigación o solución.

Al auditar las políticas, tenga en cuenta los siguientes posibles problemas:

  • ¿Dónde se definen las políticas y cumplen los estándares de uso de compartimentos de la organización?
  • Audite el uso de grupos dinámicos. ¿Estos grupos otorgan privilegios excesivos?
  • ¿Qué servicios están configurados y dónde se encuentran? Puede que algunos servicios se limiten a determinados compartimentos o grupos.
  • Localice cualquier sentencia duplicada.
  • Identifique políticas que otorguen privilegios a todo el arrendamiento.
  • Identifique grupos que tengan más privilegios de los que necesitan.

Oracle Access Governance Cloud Service es una solución de administración e identidad (IGA) nativa en la nube que proporciona aprovisionamiento de usuarios, revisiones de acceso y análisis de identidad para ayudarle a definir y controlar privilegios de acceso. Aproveche las estadísticas útiles de las políticas de inteligencia artificial/inteligencia basada en el aprendizaje automático para auditar sus políticas.

Supervisión de logs de flujo de VCN

Arquitecto empresarial, arquitecto de seguridad

Los logs de flujo de VCN capturan información sobre el tráfico de red para satisfacer sus necesidades de supervisión y seguridad.
Cada recurso de una VCN tiene una o más tarjetas de interfaz de red virtual (VNIC). Las listas de seguridad se utilizan para decidir qué tráfico se permite a través de una VNIC concreta. La VNIC está sujeta a todas las reglas de todas las listas de seguridad asociadas a la subred de la VNIC. Para ayudarle a solucionar problemas de listas de seguridad o auditar el tráfico de entrada y salida de las VNIC, puede configurar logs de flujo de VCN.
  • Supervise los detalles sobre el tráfico que pasa a través de una VCN.
  • Audite el tráfico y solucione problemas de las listas de seguridad.
  • Active y gestione los logs de flujo desde el centro de comandos de red.
  • Utilice filtros de captura para evaluar y seleccionar el tráfico que desea incluir en el log de flujo.
  • Utilice Oracle Cloud Infrastructure Logging para enviar información de log a un grupo de logs especificado.
  • Active los logs de flujo para todas las VNIC de una VCN, subred, instancias específicas de destino, equilibradores de carga de red o VNIC de recursos como puntos de activación.

Busque continuamente vulnerabilidades

Arquitecto empresarial, arquitecto de seguridad

Los escáneres de vulnerabilidades son herramientas de software que ayudan a las organizaciones a identificar y priorizar vulnerabilidades en sus sistemas informáticos, redes, aplicaciones y almacenes de datos. Estos escáneres analizan el sistema de destino o la aplicación para detectar posibles deficiencias, como:
  1. Software o firmware obsoleto.
  2. Errores sin parches (por ejemplo: sistemas operativos, software o plugins sin parches).
  3. Configuración mal configurada.
  4. Código inseguro o errores de programación.
  5. Contraseñas débiles o mecanismos de autenticación.

Oracle Vulnerability Scanning Service ayuda a mejorar su estrategia de seguridad en Oracle Cloud Infrastructure comprobando de forma rutinaria las posibles vulnerabilidades de los hosts. El servicio genera informes con métricas y detalles sobre estas vulnerabilidades.

Las capacidades principales de Oracle Vulnerability Scanning Service son:

  • Conjunto de aplicaciones de exploración simple, activa por defecto, prescriptiva y gratuita que está estrechamente integrado con la plataforma Oracle Cloud Infrastructure.
  • Motores y plugins por defecto basados en motores de exploración de código abierto y creados por Oracle Cloud Infrastructure para la exploración de hosts y contenedores.
  • Oracle Cloud Infrastructure gestiona el despliegue, la configuración y la actualización de estos motores y agentes en toda la flota de clientes.
  • Los problemas detectados por el conjunto de análisis se mostrarán a través de Oracle Cloud Guard, con reglas y aprendizaje automático para priorizar las vulnerabilidades críticas.
  • Oracle Cloud Infrastructure realizará acciones (alerta, reparación automática o cuarentena) a través de los responsables de respuesta para acortar el tiempo que transcurre desde la detección hasta la solución, incluidas las zonas de máxima seguridad.
  • Integración con escáneres de vulnerabilidades de terceros como Qualys Vulnerability Management, Detection and Response.

Agregación de logs de servicio a plataformas SIEM

Arquitecto empresarial, arquitecto de seguridad, arquitecto de red

Puede enviar sus logs del servicio OCI a plataformas de gestión de eventos e información de seguridad (SIEM) para aumentar su capacidad de respuesta a los ataques de seguridad.

Las plataformas SIEM permiten supervisar eventos de seguridad de diferentes orígenes como redes, dispositivos e identidades. También puede analizar estas señales en tiempo real utilizando el Machine Learning para correlacionar varias señales e identificar actividades de piratería informática y eventos de seguridad irregulares recorriendo la red que supongan una amenaza.

OCI puede enviar logs y eventos a varias plataformas SIEM de terceros.