Conseils de conception pour l'intégration d'un système SIEM

La sécurité est l'un des piliers du cadre d'adoption de l'environnement en nuage. Lorsque vous migrez des pistes de travail ou créez des charges de travail pour l'ion du nuage, mettez en oeuvre différentes couches de sécurité pour réduire le risque d'attaque. Oracle Cloud Infrastructure (OCI) utilise le cadre de défense en profondeur (DiD) pour protéger l'infrastructure en nuage à différents niveaux. OCI applique également le modèle de sécurité basé sur la confiance zéro. Pour plus d'informations, voir Mise en oeuvre du modèle de sécurité basé sur la confiance zéro avec Oracle Cloud Infrastructure.

Qu'est-ce que la défense en profondeur et pourquoi est-elle importante?

La défense en profondeur est une approche multicouche de la sécurité qui aide à protéger les données en utilisant différents types de mesure de sécurité. Si une couche de défense échoue ou est compromise, d'autres types de mesure atténuent l'attaque et deviennent opérationnelles. Par exemple, si vous enregistrez vos données dans plusieurs coffres-forts avec différents types de mesure de sécurité tels que la biométrie, l'accès par le réseau et l'authentification, chaque couche de sécurité vous rassure quant à la protection de vos données. Pour chaque couche, il existe un système de surveillance potentiel qui fournit une vue complète de l'état de sécurité de votre coffre-fort.

De même, lors de l'application de ce concept à la protection des systèmes informatiques, la défense en profondeur protège toutes les couches de vos systèmes. Par exemple, le cadre de défense en profondeur protège les ordinateurs portables des employés, les utilisateurs et leur identité, les réseaux qui connectent les systèmes et les applications qui protègent vos données.

Éléments de la défense en profondeur

La défense en profondeur se concentre sur les domaines de contrôle suivants :

  • Contrôles physiques : Empêcher l'accès aux systèmes physiques. Le personnel de sécurité exerce généralement ce contrôle, au lieu de systèmes biométriques ou de portes sécurisées.
  • Contrôles techniques : Empêcher l'accès aux systèmes informatiques, y compris le matériel et les logiciels. Ce contrôle comprend l'installation de pare-feu et de systèmes de détection d'intrusion, les analyseurs Web, l'accès juste à temps, la segmentation du réseau et le chiffrement des données. Ce contrôle est également mis en œuvre en surveillant vos propres systèmes à l'aide de plates-formes de gestion des informations et des événements de sécurité (SIEM) et en utilisant des plates-formes de sécurité, d'orchestration, d'automatisation et de réponse (SOAR).
  • Contrôles administratifs : Mesurez et vérifiez la sécurité grâce à la mise en oeuvre de politiques de sécurité, à l'évaluation des risques en matière de cybersécurité et à la gestion des employés et des fournisseurs.

Pour plus d'informations, voir Assurer la sécurité de vos données dans le nuage et en dehors : Défense en profondeur.

Modèle d'intégration de la gestion des informations et des événements de sécurité (SIEM)

Une plate-forme SIEM est requise pour améliorer la réactivité face aux attaques de sécurité. Grâce aux systèmes SIEM, vous pouvez surveiller les événements de sécurité provenant de différentes sources, y compris les réseaux, les appareils et les identités. Vous pouvez également analyser ces signaux en temps réel à l'aide de l'apprentissage automatique pour corréler différents signaux et identifier les activités de piratage menaçantes et les événements de sécurité anormaux qui traversent le réseau. Plusieurs systèmes SIEM de tierce partie sont disponibles pour l'intégration avec les journaux et les événements produits dans OCI. Si votre plate-forme SIEM n'est pas prise en charge, nous vous recommandons de communiquer avec votre représentant Oracle pour obtenir du soutien.

Consolidation des journaux de service

Lorsque vous intégrez des systèmes de surveillance avec OCI, vous pouvez consolider les journaux générés dans le service de journalisation pour OCI. Le service de journalisation fournit un accès à tous les journaux des ressources OCI, gère entièrement tous les journaux de votre location et est hautement évolutif. Les journaux comprennent des informations de diagnostic critiques qui décrivent la performance des ressources et leur mode d'accès.

Les types de journal sont les suivants :

  • Journaux du service de vérification : Journaux liés aux événements émis par le service Vérification pour OCI.
  • Journaux de service : : Émis par les services OCI natifs, tels que Passerelle d'API, Événements, Fonctions, Équilibrage de charge, Stockage d'objets et les journaux des flux dans le réseau en nuage virtuel. Chacun de ces services pris en charge comporte des catégories de journalisation prédéfinies que vous pouvez activer ou désactiver pour vos ressources respectives.
  • Journaux personnalisés : Journaux contenant des informations de diagnostic provenant d'applications personnalisées, d'autres fournisseurs de services infonuagiques ou d'un environnement sur place. Les journaux personnalisés peuvent être ingérés au moyen de l'API ou en configurant l'agent unifié de surveillance. Vous pouvez configurer une instance du service de calcul OCI pour charger directement les journaux personnalisés au moyen de l'agent de surveillance unifiée. Les journaux personnalisés sont pris en charge dans les scénarios de machine virtuelle et sans système d'exploitation.

Pour plus d'informations sur la consolidation des journaux à l'aide du service de journalisation et du centre de connecteurs de service OCI, voir Consolidation des journaux de sécurité dans la zone d'atterrissage OCI CIS.

À titre de meilleure pratique, saisissez également les événements générés par le service Protection d'infrastructure en nuage pour obtenir suffisamment de données détaillées à envoyer à votre plate-forme SIEM. Ce processus vous aide à vous préparer aux problèmes de sécurité potentiels.

Pour plus d'informations sur l'exportation des événements générés par le service de protection d'infrastructure en nuage, voir Intégrer le service de protection d'infrastructure en nuage aux systèmes externes à l'aide d'événements et de fonctions OCI.

Architecture de référence SIEM de tierce partie

Dans une architecture de référence SIEM de tierce partie, le service de journalisation saisit les journaux de différentes sources, notamment les journaux de vérification, les journaux de service (journaux de flux de VCN) et les journaux personnalisés. Il existe un flux distinct pour chaque journal, et chaque journal est connecté à son flux à l'aide d'un centre de connecteurs de service qui écrit les journaux dans le service de diffusion en continu pour OCI. En parallèle, les événements générés par le service de protection d'infrastructure en nuage sont collectés et normalisés au moyen d'une fonction OCI qui écrit les événements dans le service de diffusion en continu.

Le service de diffusion en continu OCI peut ensuite interagir avec une plate-forme SIEM de tierce partie, telle que Splunk ou QRadar, qui collecte les données diffusées en continu pour effectuer une analyse approfondie. Pour un exemple, voir Mettre en oeuvre un système SIEM dans Splunk à l'aide des journaux diffusés en continu depuis Oracle Cloud.

Diagramme d'une architecture de référence SIEM montrant l'intégration avec le service de journalisation OCI.

L'architecture de référence SIEM comprend les composants ci-dessous.

région

Une région OCI est une zone géographique localisée qui contient un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres, et de grandes distances peuvent séparer des régions d'un pays ou d'un continent à l'autre.

domaine de disponibilité

Les domaines de disponibilité sont des centres de données indépendants et autonomes dans une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui garantit la tolérance aux pannes. Les domaines de disponibilité ne partagent pas les éléments d'infrastructure (alimentation ou refroidissement, par exemple) ni le réseau de domaines de disponibilité interne. Par conséquent, il est peu probable qu'une défaillance qui touche un domaine de disponibilité ait une incidence sur les autres domaines de disponibilité de la région.

réseau en nuage virtuel et sous-réseaux

Un réseau en nuage virtuel (VCN) est un réseau défini par logiciel personnalisable, configuré dans une région OCI. Comme les réseaux de centre de données traditionnels, les réseaux en nuage virtuels vous offrent un contrôle complet sur votre environnement de réseau. Un VCN peut disposer de plusieurs blocs CIDR sans chevauchement que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, dont la portée peut concerner une région ou un domaine de disponibilité. Un sous-réseau est constitué d'un intervalle contigu d'adresses qui ne chevauchent pas les autres sous-réseaux dans le réseau en nuage virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

Journalisation

Le service de journalisation est un service évolutif entièrement géré qui permet d'accéder aux journaux à partir de vos ressources en nuage. Les types de journal sont les suivants : journaux de vérification, journaux de service et journaux personnalisés.

Diffusion en continu

Le service de diffusion en continu fournit un stockage entièrement géré, évolutif et durable pour l'ingestion des flux de données en continu à volume élevé que vous consommez et traitez en temps réel. Vous pouvez utiliser le service de diffusion en continu pour l'ingestion de gros volumes de données, tels que les journaux d'application, les données de télémétrie opérationnelle, les données de flux liés aux clics Web, ou pour d'autres cas d'utilisation où les données sont produites et traitées en continu et séquentiellement dans un modèle de messagerie de type publication-abonnement.

Centre de connecteurs de service

Le centre de connecteurs de service est une plate-forme de bus de messages en nuage qui orchestre le déplacement des données entre les services dans OCI. Vous pouvez utiliser cette plate-forme pour déplacer des données entre des services OCI. Les données sont déplacées à l'aide des connecteurs de service. Un connecteur de service indique le service source qui contient les données à déplacer, les tâches à effectuer sur les données et le service cible auquel les données doivent être livrées une fois les tâches terminées.

Service de protection d'infrastructure en nuage

Le service Protection d'infrastructure en nuage vous aide à surveiller, identifier, atteindre et maintenir un niveau élevé de sécurité dans Oracle Cloud. Utilisez ce service pour rechercher dans vos ressources OCI des points faibles en matière de sécurité liés à la configuration, ainsi que des activités risquées effectuées par vos opérateurs et utilisateurs. Lors de la détection, le service de protection d'infrastructure en nuage peut suggérer, aider ou prendre des mesures correctives, en fonction de votre configuration.