Concepts du service de protection d'infrastructure en nuage

Il est essentiel de bien comprendre les composants et la terminologie du service Protection d'infrastructure en nuage.

Le service de protection d'infrastructure en nuage recherche dans vos ressources Oracle Cloud Infrastructure des faiblesses en matière de sécurité liées à la configuration, ainsi que des activités risquées effectuées par vos opérateurs et utilisateurs. Lors de la détection, le service Protection d'infrastructure en nuage peut suggérer, aider ou prendre des mesures correctives, en fonction de votre configuration.

Le diagramme suivant donne un aperçu de haut niveau du flux du système Protection d'infrastructure en nuage. Vous pouvez vous référer à ce diagramme lorsque vous vérifiez les concepts du service Cloud Guard dont les définitions suivent.

Ces termes sont importants pour vous aider à comprendre votre travail dans Cloud Guard :

Cible

Définit la portée de ce que le service de protection d'infrastructure en nuage doit vérifier. Pour Oracle Cloud Infrastructure, cette portée est liée au compartiment où la cible est définie et à tous les compartiments enfants de ce point jusqu'à ce qu'une autre cible soit rencontrée. L'autre cible rencontrée prend le relais à partir de ce point jusque dans les compartiments descendants.

• Une cible peut être constituée de toute votre location OCI (cible au compartiment racine).
• Pour surveiller les politiques GIA, le compartiment racine doit être une cible.
• Vous devez spécifier au moins une cible lorsque vous activez le protection d'infrastructure en nuage. Vous pouvez modifier cette cible et en définir d'autres ultérieurement.
• Les cibles ne peuvent pas se chevaucher, et une seule cible à la fois est appliquée à un compartiment et à ses ressources.
• Un compartiment (et ses enfants) peut être exempté des contrôles s'il est déclaré cible, mais aucune recette de détecteur ne doit lui être appliquée.

Détecteur

Effectue des vérifications et identifie les problèmes de sécurité potentiels en fonction de leur type et de leur configuration.

Recette de détecteur

Fournit les informations de référence pour l'examen des ressources et des activités dans la cible.

Recette de détecteur gérée par Oracle

• Fournie par Cloud Guard.
• Permet de définir uniquement la portée des ressources pour lesquelles une règle déclenche un problème.
• Ne vous permet pas de désactiver les règles ou de modifier le niveau de risque d'une règle.
• Peut être mise à jour à tout moment pour inclure de nouvelles valeurs par défaut et de nouveaux paramètres.

  Cliquez sur Notes de version pour obtenir ces mises à jour.

Recette de détecteur gérée par l'utilisateur

• Créée en clonant une recette gérée par Oracle.
• Permet de définir la portée des ressources pour lesquelles une règle déclenche un problème.
• Vous permet également de désactiver des règles individuelles et de modifier le niveau de risque d'une règle.

Recette de détecteur d'activité OCI

Jeu de règles conçues spécifiquement pour détecter des actions sur des ressources qui pourraient poser un problème de sécurité.

Recette de détecteur de configuration OCI

Jeu de règles conçues spécifiquement pour détecter les paramètres de configuration des ressources qui pourraient poser un problème de sécurité.

Recette de configuration de la sécurité des conteneurs OCI

Ensemble de règles conçues spécifiquement pour aider une organisation à définir la façon dont elle a l'intention d'exploiter ses charges de travail conteneurisées, puis à appliquer ces intentions.

Recette du détecteur de sécurité d'instance OCI

Jeu de règles conçu spécifiquement pour assurer la sécurité d'exécution des charges de travail des hôtes virtuels et sans système d'exploitation du service de calcul.

Recette de détecteur de menaces OCI

Jeu de règles conçues spécifiquement pour détecter de subtils modèles d'activité dans votre environnement qui pourraient s'accumuler et poser un problème de sécurité.

Règle de détecteur

Fournit une définition précise d'une classe de ressources, avec des actions ou des configurations spécifiques, qui entraînent un détecteur à signaler un problème. Une recette de détecteur se compose de plusieurs règles de détecteur. Si une règle est déclenchée, le détecteur signale un problème. Chaque règle d'une recette de détecteur peut être configurée individuellement.

Problème

Action ou paramètre appliqué à une ressource susceptible de causer un problème de sécurité. Le service de protection d'infrastructure en nuage surveille l'activité réseau de votre location Oracle Cloud Infrastructure pour identifier et résoudre les problèmes. Problèmes :

• Sont créés lorsque le service Protection d'infrastructure en nuage découvre un écart par rapport à une règle de détecteur.
• Sont définis par le type de détecteur qui les crée : activité ou configuration.
• Contiennent des données sur le type de problème trouvé.
• Peuvent être résolus, omis ou corrigés.

Répondant

Action que le service de protection d'infrastructure en nuage peut exécuter lorsqu'un détecteur a identifié un problème. Les actions disponibles sont propres aux ressources. Les répondants sont structurés de la même manière que les détecteurs :

Recette de répondant

Définit l'action ou le jeu d'actions à effectuer en réponse à un problème identifié par un détecteur.

Recette de répondant gérée par Oracle

• Fournie par Cloud Guard.
• Ne vous permet pas de désactiver les règles.
• Peut être mise à jour à tout moment pour inclure de nouvelles valeurs par défaut et de nouveaux paramètres.

  Cliquez sur Notes de version pour obtenir ces mises à jour.

Recette de répondant gérée par l'utilisateur

• Créée en clonant la recette gérée par Oracle.
• Permet de désactiver des règles individuelles et de modifier le niveau de risque d'une règle.

Règle de répondant

Définit les actions spécifiques à effectuer. Si une règle de répondant est déclenchée, elle déclenche le répondant. Chaque règle d'une recette de détecteur peut être configurée individuellement.

Le service de protection d'infrastructure en nuage fournit un jeu de répondants avec des règles par défaut. Vous pouvez utiliser ces répondants tels quels. Vous pouvez cloner l'un des répondants par défaut et modifier les règles pour répondre à des besoins spécifiques. Vous pouvez activer et désactiver les règles de répondant individuellement. Vous pouvez limiter la portée d'application des règles individuelles à l'aide de conditions.

Liste gérée

Liste réutilisable des paramètres qui facilite la définition de la portée des règles de détecteur et de répondant. Par exemple, une liste prédéfinie "Espace d'adresses IP Oracle fiables" contient toutes les adresses IP Oracle que vous souhaitez considérer comme fiables lorsque vous définissez des règles pour les détecteurs et les répondants.

régions dans le service Protection d'infrastructure en nuage

L'activité surveillée par le service Protection d'infrastructure en nuage peut se produire dans deux types de régions :

Région d'inscription

Région par défaut pour votre location du service Protection d'infrastructure en nuage. Première région définie lorsque votre location Cloud Guard a été activée.

Note

La région d'inscription que vous sélectionnez engage votre organisation à respecter toutes les exigences juridiques du pays où la région d'inscription est hébergée. Voir Sélectionner avec soin votre région de production de rapports.

Pour consulter le nom de la région de production de rapports, voir Consultation de la région de production de rapports.

L'intégration avec les services d'avis et d'événements pour envoyer un avis se fait uniquement dans la région d'inscription. La sélection d'une région particulière dans la liste Régions en haut de la console n'a aucun effet sur les informations affichées. Pour filtrer les informations par région, utilisez les filtres des pages Protection d'infrastructure-service.

Régions surveillées

Autres régions que surveille votre location du service de protection d'infrastructure en nuage.

Région principale OCI

Pour le service de protection d'infrastructure en nuage, la région principale OCI est une constante immuable dans l'environnement OCI.

Note

Vous spécifiez la région de production de rapports du service de protection d'infrastructure en nuage lorsque vous activez ce service. Dans toutes les tâches de configuration et de dépannage que vous effectuez après l'activation, vous devez spécifier la région de rapport du service de protection d'infrastructure en nuage, et non la région principale OCI.