Stellar Cyber: Ejecute una plataforma de respuesta y detección de amenazas abiertas basada en IA en Oracle Cloud

Para ayudar a las empresas a defender sus operaciones digitales de forma integral y a prevenir infracciones de seguridad de datos, la plataforma de detección y respuesta ante amenazas abiertas (Open XDR) basada en IA de Stellar Cyber integra a la perfección todas sus herramientas de seguridad, lo que proporciona detección inmediata de amenazas, correlación de incidentes y capacidades automatizadas de búsqueda y respuesta ante amenazas a analistas de seguridad de todo el mundo.

Stellar Cyber ayuda a los equipos de operaciones de seguridad a detectar, investigar y responder inmediatamente a los ciberataques, reduciendo el impacto y el riesgo para sus negocios mediante el uso de lo siguiente:

• Sensores para el tráfico de red
• Telemetría del sistema operativo
• Recopilación de registros
• Recopilación de datos de API en el perímetro
• Un canal seguro para organizar respuestas a herramientas de seguridad locales, como firewalls, detección y respuesta de puntos finales (EDR) y plataformas de identidad.

Stellar Cyber, fundada en 2015, ejecuta su plataforma de seguridad nativa en la nube en Oracle Cloud Infrastructure (OCI). Stellar Cyber automatiza el procesamiento y el reenvío de logs y proporciona una inspección de paquetes profunda (DPI) y un análisis de tráfico de red (NTA) para más de 3500 aplicaciones de red. El despliegue incluye un sandbox para la detección de malware de día cero, el almacenamiento en buffer de datos y mucho más.

Inicialmente desarrollado como una aplicación local, el despliegue de Stellar Cyber se refactorizó como una plataforma de software como servicio (SaaS) y se trasladó a OCI.

Entre los aspectos más destacados del despliegue de Stellar Cyber se incluyen:

• El motor ElasticSearch (OpenSearch) gestiona índices y particiones horizontales en un lago de datos

• Oracle Cloud Infrastructure Block Volumes permite recuperar rápidamente los datos que se van a analizar durante 30-90 días

• Oracle Cloud Infrastructure Object Storage proporciona un repositorio de datos para el almacenamiento en frío a largo plazo durante uno o más años

• Oracle Cloud Infrastructure DevOps proporciona herramientas para crear pipelines de integración y desarrollo continuo (CI/CD)

• Oracle Cloud Infrastructure Registry almacena, comparte y gestiona imágenes de Docker

• Oracle Cloud Infrastructure Email Delivery envía alertas y notificaciones a los clientes de Stellar Cyber

Arquitectura

Stellar Cyber utiliza una combinación de sus propios sensores de seguridad, motores de recopilación de logs y conectores de API para recopilar datos relacionados con la seguridad en toda la empresa de un cliente.

Los datos y logs del sensor se envían a través del arrendamiento de Oracle Cloud Infrastructure Web Application Firewall (WAF) que protege el arrendamiento de Stellar Cyber Oracle Cloud Infrastructure (OCI) frente al tráfico de red no deseado o malicioso. La arquitectura de Stellar Cyber utiliza componentes de código abierto creados con contenedores que se ejecutan en cuatro pools de nodos en un cluster de Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE). Un pool de nodos que contiene Apache Kafka y Apache Flink se despliega para servicios de flujo, donde Kafka procesa los datos ingeridos y los transfiere a Flink para su normalización y enriquecimiento. Los flujos de datos se equilibran con la carga mediante Oracle Cloud Infrastructure Load Balancing.

El siguiente diagrama ilustra el flujo de datos simplificado a través de la topología.

Descripción de la ilustración stellar-cyber-oci-data-flow.png

stellar-cyber-oci-data-flow-oracle.zip

La pila elástica se implementa en dos agrupaciones de nodos de OKE independientes: una para Elasticsearch (maestro) y otra para el lago de datos Elasticsearch (datos). Los datos normalizados y enriquecidos de Flink se transfieren a Elasticsearch para su recuperación y análisis. Los datos raw se almacenan en el lago de datos Elasticsearch.

Un grupo de nodos para microservicios proporciona contenedores para la correlación, el aprendizaje automático y los servicios (API y la interfaz de usuario) para que los usuarios examinen, analicen y visualicen sus datos.

El contenedor de aprendizaje automático interactúa con Elasticsearch y proporciona datos al contenedor de servicios que se presentará al usuario. Los algoritmos de aprendizaje automático clasifican las amenazas mediante el análisis de series temporales y grupos de compañeros con aprendizaje no supervisado y análisis de comportamiento, y generalizando patrones de ataque conocidos con aprendizaje supervisado. Se utiliza un motor de correlación basado en Graph ML para identificar incidentes de alto nivel a partir de alertas. Para los clientes que necesitan alertas de correo electrónico, Oracle Cloud Infrastructure Email Delivery genera notificaciones. El servicio de nombres de dominio (DNS) de Oracle Cloud Infrastructure gestiona zonas de DNS cibernético estelar.

Oracle Cloud Infrastructure Block Volumes gestiona el almacenamiento en caliente en el que los datos se almacenan entre 30 y 90 días, por término medio. Para el almacenamiento en frío a más largo plazo, Oracle Cloud Infrastructure Object Storage se utiliza para retener datos durante uno o más años. El almacenamiento en caliente puede oscilar entre 1 TB y 300 TB. Un multi-arrendamiento jerárquico permite a la plataforma dar soporte a varios clientes al mismo tiempo e incluso permite a un cliente ser un proveedor de servicios gestionados (MSP) con sus propios inquilinos. Se pueden crear bloques de almacenamiento adicionales para separar los flujos de datos recopilados.

Stellar Cyber aprovecha las herramientas de integración y despliegue continuos de OCI (repositorio de código y registro de contenedor) junto con OCI DevOps para escalar y supervisar el cluster de OKE. Un host bastión se utiliza como servidor de salto para administrar el sistema.

Stellar Cyber planea aprovechar las ofertas PaaS adicionales de OCI como:

• Oracle Functions para proporcionar una arquitectura sin servidor
• Oracle Cloud Infrastructure Streaming y Oracle Stream Analytics para sustituir Kafka como manejador de datos de transmisión
• Oracle API Gateway para sustituir sus propios servicios de API por el acceso de los clientes
• Oracle Autonomous Data Warehouse para su lago de datos
• Malla de servicio de Oracle Cloud Infrastructure para la comunicación entre microservicios y microservicios cifrada y autenticada mutuamente

Mediante el uso de las ofertas de PaaS, Stellar Cyber reducirá el esfuerzo necesario para operar y mantener estos servicios.

En el siguiente diagrama se ilustra esta arquitectura de referencia.

Descripción de la ilustración stellar-cyber-oci-architecture.png

stellar-cyber-oci-architecture-oracle.zip

La arquitectura tiene los siguientes componentes:

• arrendamiento

  Un arrendamiento es una partición segura y aislada que Oracle configura en Oracle Cloud al registrarse en Oracle Cloud Infrastructure. Puede crear, organizar y administrar sus recursos en Oracle Cloud dentro de su arrendamiento. Un arrendamiento es sinónimo de una compañía u organización. Normalmente, una compañía tendrá un solo arrendamiento y reflejará su estructura organizativa dentro de ese arrendamiento. Un único arrendamiento suele estar asociado a una sola suscripción, y una única suscripción suele tener un solo arrendamiento.

• Región

  Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones, y las grandes distancias pueden separarlas (entre países e incluso continentes).

• Compartimento

  Los compartimentos son particiones lógicas entre regiones dentro de un arrendamiento de Oracle Cloud Infrastructure. Utilice compartimentos para organizar los recursos en Oracle Cloud, controlar el acceso a los recursos y definir cuotas de uso. Para controlar el acceso a los recursos de un compartimento determinado, debe definir políticas que especifiquen quién puede acceder a los recursos y qué acciones pueden realizar.

• Dominio de disponibilidad

  Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten una infraestructura, como la alimentación o la refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, es improbable que un fallo en un dominio de disponibilidad afecte a los otros dominios de la región.

• Red virtual en la nube (VCN) y subredes

  Una VCN es una red personalizable y definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de centros de datos tradicionales, las redes virtuales le proporcionan un control completo de su entorno de red. Una VCN puede tener varios bloques CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, que se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está compuesta por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

• Lista de seguridad

  Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.

• Tabla de ruta

  Las tablas de rutas virtuales contienen reglas para enrutar el tráfico desde subredes hasta destinos fuera de una VCN, normalmente a través de gateways.

• Gateway de internet

  El gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.

• Gateway de traducción de direcciones de red (NAT)

  Un gateway de NAT permite a los recursos privados de una VCN acceder a los hosts de Internet, sin exponer dichos recursos a las conexiones de Internet entrantes.

• Gateway de servicio

  El gateway de servicios proporciona acceso desde una VCN a otros servicios, como Oracle Cloud Infrastructure Object Storage. El tráfico desde la VCN al servicio Oracle recorre el tejido de red de Oracle y no Internet.

• firewall de aplicaciones web (WAF)

  Oracle Cloud Infrastructure Web Application Firewall (WAF) es un servicio compatible con el sector de tarjetas de pago (PCI), basado en regiones y de aplicación de borde que está asociado a un punto de aplicación, como un equilibrador de carga o un nombre de dominio de aplicación web. WAF protege las aplicaciones frente al tráfico de Internet no deseado y malicioso. WAF puede proteger cualquier punto final orientado a Internet, lo que proporciona un cumplimiento de reglas consistente en todas las aplicaciones de clientes.

• DNS

  El servicio de sistema de nombres de dominio (DNS) de Oracle Cloud Infrastructure es una red de sistema de nombres de dominio (DNS) global con grandes posibilidades de ampliación que ofrece rendimiento, resiliencia y escalabilidad de DNS mejorados, para que los usuarios finales se conecten a la aplicación de los clientes lo antes posible, desde cualquier lugar.

• Equilibrador de carga

  El servicio Oracle Cloud Infrastructure Load Balancing proporciona una distribución automatizada de tráfico desde un único punto de entrada a varios servidores en el backend.

• Recursos informáticos

  El servicio Oracle Cloud Infrastructure Compute permite aprovisionar y gestionar hosts informáticos en la nube. Puede iniciar instancias informáticas con unidades que cumplan los requisitos de recursos de CPU, memoria, ancho de banda de red y almacenamiento. Después de crear una instancia informática, puede acceder a ella de forma segura, reiniciarla, asociar y desconectar volúmenes y terminarla cuando ya no lo necesite.

• Container Engine para Kubernetes

  Oracle Cloud Infrastructure Container Engine for Kubernetes es un servicio totalmente gestionado, ampliable y disponible que puede utilizar para desplegar las aplicaciones en contenedor en la nube. Especifique los recursos informáticos que necesitan sus aplicaciones y Container Engine for Kubernetes los proporciona en Oracle Cloud Infrastructure en un arrendamiento existente. Container Engine for Kubernetes utiliza Kubernetes para automatizar el despliegue, el ajuste y la gestión de aplicaciones en contenedores en clusters de hosts.

• Volumen en bloque

  Con los volúmenes de almacenamiento en bloque, puede crear, asociar, conectar y mover los volúmenes de almacenamiento, así como cambiar el rendimiento de los mismos para que se ajusten a los requisitos de almacenamiento, rendimiento y aplicación. Después de asociar y conectar un volumen a una instancia, puede utilizar el volumen como si se tratara de una unidad de disco duro normal. También puede conectar un volumen y asociarlo a otra instancia sin perder datos.

• Almacenamiento de archivos

  El servicio Oracle Cloud Infrastructure File Storage ofrece un sistema de archivos de red duradero, escalable, seguro y empresarial. Puede conectarse a un sistema de archivos del servicio File Storage desde cualquier instancia con hardware dedicado, de máquina virtual o de contenedor en una VCN. También puede acceder a un sistema de archivos desde fuera de la VCN mediante Oracle Cloud Infrastructure FastConnect y la VPN IPSec.

• Vault

  Oracle Cloud Infrastructure Vault permite gestionar de forma centralizada las claves de cifrado que protegen los datos y las credenciales secretas que utiliza para proteger el acceso a los recursos en la nube. Puede utilizar el servicio Vault para crear y gestionar almacenes, claves y secretos.

• Notificaciones

  El servicio Oracle Cloud Infrastructure Notifications transmite mensajes a componentes distribuidos a través de un patrón de publicación y suscripción, lo que proporciona mensajes seguros, altamente fiables, de baja latencia y duraderos para aplicaciones alojadas en Oracle Cloud Infrastructure.

• Auditoría

  El servicio Oracle Cloud Infrastructure Audit registra automáticamente las llamadas a todos los puntos finales de la interfaz pública de programación de aplicaciones (API) de Oracle Cloud Infrastructure soportados como eventos de log. Actualmente, todos los servicios soportan el registro mediante Oracle Cloud Infrastructure Audit.

• Política

  Una política de Oracle Cloud Infrastructure Identity and Access Management especifica quién puede acceder a qué recursos y cómo. El acceso se otorga en el nivel de grupo y compartimento, lo que significa que puede escribir una política que proporcione a un grupo un tipo específico de acceso dentro de un compartimento específico, o al arrendamiento.

Consiga una posición destacada en la creación y el despliegue

¿Desea mostrar lo que ha creado en Oracle Cloud Infrastructure? ¿Le interesa compartir sus lecciones aprendidas, mejores prácticas y arquitecturas de referencia con nuestra comunidad global de arquitectos en la nube? Permítanos ayudarle a comenzar.

1. Descargar la plantilla (PPTX)

   Ilustre su propia arquitectura de referencia arrastrando y soltando los iconos en el esquema de ejemplo.

2. Ver el tutorial de arquitectura

   Obtenga instrucciones paso a paso sobre cómo crear una arquitectura de referencia.

3. Enviar el diagrama

   Envíenos un correo electrónico con su diagrama. Nuestros arquitectos en la nube revisarán su diagrama y se pondrán en contacto con usted para analizar su arquitectura.

Explorar más

Obtenga más información sobre las funciones de esta arquitectura.

• Marco de mejores prácticas para Oracle Cloud Infrastructure

• Documentación de Oracle Cloud Infrastructure

• Uso de transmisión con Apache Kafka

• Despliegue de Elasticsearch en Oracle Cloud Infrastructure mediante una plantilla de Terraform (Blog)

• Despliegue de Oracle Container Engine for Kubernetes (Tutorial)

• Estimador de costos de Oracle Cloud

Agradecimientos

• Autores: Robert Huie, Sasha Banks-Louie
• Colaboradores: Ganesh Pitchaiah, Robert Lies