1. Proteja y controle Oracle Identity Cloud Service
  2. Obtener información sobre la protección y el control de Oracle IDCS

Obtener información sobre la protección y el control de Oracle IDCS

Puede aprovechar el nuevo servicio Logging Analytics con otros servicios de Oracle Cloud Infrastructure (OCI) para obtener estadísticas de seguridad y gobernanza de una instancia de Oracle Identity Cloud Service (IDCS). En este cuaderno de estrategias se muestra cómo puede utilizar una función sin servidor para automatizar el proceso de recopilación de logs de auditoría de IDCS y su carga en Log Analytics para su análisis.

Oracle Functions es una plataforma de funciones como servicio totalmente gestionada, sin servidor y altamente escalable, basada en Oracle Cloud Infrastructure y basada en el motor de Fn Project de código abierto. Los desarrolladores pueden utilizar Oracle Functions para escribir y desplegar código que ofrezca valor de negocio sin preocuparse por el aprovisionamiento o la gestión de la infraestructura subyacente. Oracle Functions es nativo de contenedor, con funciones empaquetadas como imágenes de contenedor de Docker.

Arquitectura

En esta arquitectura, la función llama a la API de IDCS para recopilar logs y, a continuación, llama a la API de Log Analytics para cargarla en Log Analytics. Utiliza API Gateway y Health Check para programar la función para que se ejecute cada cinco minutos. Almacena el estado actual en el cubo de Object Storage. En este diagrama se muestra la topología y el flujo de datos que le permitirán obtener estadísticas de seguridad y gobernanza de una instancia de Oracle IDCS.
A continuación se muestra la descripción de Secure-monitor-idcs-arch.png
Descripción de la ilustración Secure-monitor-idcs-arch.png

security-monitor-idcs-arch-oracle.zip

  • Región

    Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones, y grandes distancias pueden separarlos (entre países o incluso continentes).

  • Compartimento

    Los compartimentos son particiones lógicas entre regiones de un arrendamiento de Oracle Cloud Infrastructure. Utilice compartimentos para organizar los recursos en Oracle Cloud, controlar el acceso a los recursos y definir cuotas de uso. Para controlar el acceso a los recursos de un compartimento determinado, debe definir políticas que especifiquen quién puede acceder a los recursos y qué acciones pueden realizar.

  • Red virtual en la nube (VCN) y subredes

    Una VCN es una red personalizable definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de centros de datos tradicionales, las VCN le ofrecen un control total sobre su entorno de red. Una VCN puede tener varios bloques CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes que se pueden acotar a una región o a un dominio de disponibilidad. Cada subred consta de un rango contiguo de direcciones que no se solapan con las otras subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

  • Gateway de API

    El servicio de gateway de API permite publicar API con puntos finales privados a los que se puede acceder desde su red y que puede exponer a la red pública de Internet si es necesario. Los puntos finales soportan la validación de API, la transformación de solicitudes y respuestas, CORS, la autenticación y autorización y la limitación de solicitudes.

  • Función

    Oracle Functions es una plataforma de funciones como servicio (FaaS) totalmente gestionada, multi-inquilino, altamente escalable, bajo demanda. Está impulsado por el motor de código abierto Fn Project. Las funciones permiten desplegar el código, llamándolo directamente o disparándolo en respuesta a eventos. Oracle Functions utiliza los contenedores de Docker alojados en Oracle Cloud Infrastructure Registry.

  • Object Storage

    El almacenamiento de objetos proporciona acceso rápido a grandes cantidades de datos estructurados y no estructurados de cualquier tipo de contenido, incluidas copias de seguridad de bases de datos, datos analíticos y contenido enriquecido, como imágenes y vídeos. Puede almacenar datos de forma segura y, a continuación, recuperarlos directamente desde Internet o desde la plataforma en la nube. Puede ampliar el almacenamiento sin problemas sin experimentar ninguna degradación del rendimiento o la fiabilidad del servicio. Utilice el almacenamiento estándar para el almacenamiento "en caliente" al que necesita acceder de forma rápida, inmediata y frecuente. Utilice el almacenamiento de archivos para el almacenamiento "en frío" que conserva durante largos períodos de tiempo y a los que rara vez se accede o que rara vez se accede.

  • Logging Analytics

    Logging Analytics es un servicio regional SaaS totalmente gestionado disponible en más de 27 regiones que proporciona recopilación, indexación, enriquecimiento, consulta, visualización y alertas de logs de cualquier componente de TI que se ejecute en la nube local, OCI o de 3a parte.

  • Vault

    El almacén es un servicio de gestión de claves utilizado para cifrar contraseñas y secretos de cliente

Antes de empezar

Para completar correctamente los pasos de este cuaderno de estrategias, debe preparar la aplicación de IDCS OAuth para las llamadas de API y preparar el entorno de OCI.

Revisar las recomendaciones de despliegue y uso

Es posible que sus requisitos difieran de la arquitectura descrita aquí. Utilice estas recomendaciones como punto de partida.
  • Grupos de logs

    Defina varios grupos de logs para proporcionar permisos de acceso correctos a diferentes equipos y evitar el uso compartido de datos confidenciales.

  • Gestión de costos

    El servicio Logging Analytics se carga en el volumen de datos en almacenamiento activo y de archivo. Para permitir la solución de problemas del día a día y recibir las ventajas de la detección de anomalías, la detección de patrones y otras capacidades de aprendizaje automático, Oracle recomienda utilizar un período de almacenamiento activo de 90 días y mover logs de más de 90 días al almacenamiento en archivo. Los logs del archivo almacenado se pueden recuperar rápidamente a petición.

Revisar las consideraciones de uso y despliegue

Al diseñar una pila de aplicaciones de alta disponibilidad en la nube, tenga en cuenta los siguientes factores:

  • Rendimiento

    El rendimiento de la consulta se basa en el intervalo de tiempo y el número de operaciones, como filtros, agrupaciones, etc. Para mejorar el rendimiento de las consultas, Oracle recomienda enriquecer los logs con etiquetas y campos específicos en el momento de la ingestión.

  • Seguridad y RBAC.

    Personalice las definiciones de origen de log para filtrar los datos de información de identificación personal (PII) y activar el enriquecimiento de geolocalización. Disponibilidad: Logging Analytics es un servicio SaaS totalmente gestionado y de alta disponibilidad. Desplegar la aplicación Oracle Cloud Infrastructure Logging Analytics está disponible como pila en Oracle Cloud Marketplace

Preparación de la aplicación IDCS OAuth para la llamada de API

Para llamar a la API de IDCS mediante un identificador/secreto de cliente, debe crear una aplicación personalizada en IDCS y generar un identificador/secreto de cliente. Asegúrese de registrar la URL de IDCS, el ID de cliente y el secreto.

En este procedimiento, creará una aplicación cliente que utilice un token para emplear API de REST de IDCS. Esto elimina la necesidad de introducir su nombre de usuario y contraseña para autenticar la función que creará más adelante en este ejercicio.
  1. En la consola de IDCS, seleccione Aplicaciones, haga clic en Agregar y, a continuación, seleccione Aplicación confidencial.
  2. Asigne un nombre a la aplicación y haga clic en Siguiente.
    Aparece la ventana Configuration.
  3. Compruebe Tipos de permiso permitidos y Propietario de recurso y, a continuación, otorgue al cliente acceso al administrador de Identity Cloud Service agregando el rol de administrador de dominio de identidad a la aplicación. Haga clic en Siguiente.
  4. Marque Aplicar otorgamiento como autorización y haga clic en Siguiente y, a continuación, en Terminar.
    Aparece una ventana emergente que muestra el ID de cliente y el secreto de cliente.
  5. Copie el ID de cliente y el secreto de cliente, ya que los necesitará más adelante.

Preparación del entorno de OCI

A continuación, debe preparar el entorno de OCI garantizando que dispone de los permisos adecuados y de los recursos necesarios para completar las tareas.

Asegúrese de que tiene lo siguiente:
  • Permiso para gestionar los siguientes tipos de recursos en su arrendamiento de Oracle Cloud Infrastructure:
    • VCN
    • Gateways de Internet
    • Tablas de rutas
    • Listas de seguridad
    • Subredes
    • Funciones
    • Gateways de API
    • Health Checks
  • Cuota suficiente para crear los siguientes recursos:
    • 1 VCN
    • 1 subredes
    • 1 Gateway de internet
    • 1 Reglas de ruta
    • 1 función
    • 1 grupo dinámico
    • 1 política
    • 1 gateway de API
    • 1 Comprobación del sistema

Más información sobre los paneles de control definidos por Oracle

Los logs de auditoría de IDCS definidos por Oracle y los paneles de control de control de administración de IDCS se crean automáticamente en el servicio Logging Analytics cuando se despliega la pila de Terraform. Estos paneles de control permiten ver los datos de análisis en un único panel, lo que resulta útil para controlar estrechamente las actividades de la aplicación en la nube, detectar eventos anómalos y controlar las acciones de administración.

Descripción del panel de control de logs de auditoría de IDCS

El panel de control Logs de auditoría de IDCS resume la información de auditoría, mediante widgets, en un único panel con gráficos y visualizaciones, en función de la selección del rango temporal. Esto le proporciona una visión amplia de las distintas actividades de aplicación y usuario durante el período de tiempo seleccionado.

El panel de control Logs de auditoría de IDCS resume los siguientes datos:
  • Un total de (para aplicación)

    Número de eventos de aplicación y eventos de usuario.

  • Eventos de aplicación

    Gráfico que representa el registro periódico de los eventos de la aplicación

  • Un total de (para el usuario)

    Número de eventos de aplicación y eventos de usuario.

  • Eventos de usuario

    Gráfico que representa el registro periódico de eventos de usuario

  • Eventos por aplicación por tipo

    Visualización de mapa de árbol de eventos agrupados por tipo de evento para cada aplicación.

  • Eventos por usuario por tipo

    Visualización de mapa de árbol de eventos agrupados por tipo de evento para cada usuario

  • Repartición por aplicación

    Gráfico circular que muestra la distribución del recuento de eventos agrupados por aplicaciones.

  • Repartición por tipo de evento (para aplicación)

    Gráfico circular que agrupa el recuento de eventos por tipo de evento solo para los eventos de aplicación.

  • Repartición por usuario

    Gráfico circular que muestra la distribución del número de eventos, agrupados por usuarios.

  • Repartición por tipo de evento (para usuario)

    Gráfico circular que muestra el recuento de eventos agrupados por tipo de evento solo para los eventos de usuario.

Descripción del panel de control de gobernanza de administración de IDCS

El panel de control de gobernanza de administración de IDCS presenta la perspectiva paralela para las acciones de administración correctas y fallidas por el usuario, dentro del rango temporal especificado. Este panel de control proporciona una visión general de todas las actividades administrativas y estadísticas sobre las acciones correctas y con fallos. Para aumentar el detalle, puede abrir las visualizaciones en el explorador de logs y hacer clic en los eventos exactos para la causa raíz.
El panel de control de gobernanza de administración de IDCS proporciona las siguientes funciones:
  • Visualización de enlaces de los eventos que implican una acción de administración correcta o fallida del usuario agrupada por tipo de evento y usuario. Cada burbuja del gráfico representa un grupo de eventos de un tipo específico por un usuario concreto. Esta visualización es útil para identificar actividades anómalas.
  • Visualización de mapa de árbol de los eventos que implican una acción de administración correcta o fallida del usuario agrupada por tipo de evento y usuario. Para cada usuario, se muestra un juego de rectángulos que representa eventos de acción de administración correctos. La visualización resulta útil para ver las actividades de administración de cada usuario.
  • Una vista de histograma apilado del recuento de eventos coincidentes distribuidos en el período de tiempo seleccionado. Los diferentes colores de cada barra representan los eventos para diferentes usuarios.
  • Análisis tabular de eventos en los que se otorgaron roles a usuarios específicos para aplicaciones específicas.