Documentation sur Oracle Cloud Infrastructure

Activation de la sécurité d'instance

Activer la sécurité des instances dans le service de protection d'infrastructure en nuage.

Pour activer la sécurité des instances dans votre location :

Application d'une recette de sécurité d'instance à une nouvelle cible du service de protection d'infrastructure en nuage

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Protection d'infrastructure en nuage, sélectionnez Configuration.
  2. Sous Cibles, sélectionnez Créer une nouvelle cible.
  3. Dans la page Créer une cible, dans le panneau Informations de base, entrez un nom de cible et une description facultative pour la cible.
  4. Sélectionnez le compartiment à affecter à la cible.
  5. Sélectionnez Suivant.
  6. Dans le panneau Configuration, sous Recette de sécurité des instances, sélectionnez Toutes les instances de calcul et sélectionnez l'une des recettes de détecteur de sécurité des instances gérées par Oracle :
    • Recette de détecteur de sécurité d'instance OCI - Entreprise (gérée par Oracle)
    • Recette de détecteur de sécurité d'instance OCI (gérée par Oracle)
    Voir Recettes de détecteur de sécurité d'instance.
  7. Vérifiez la nouvelle cible et sélectionnez Créer.
  8. Sous Configuration, sélectionnez l'onglet Sécurité de l'instance, sélectionnez Activer/Modifier à côté de Détails de la configuration du service de journalisation.
  9. Dans la page des détails de la configuration du service de journalisation, vous pouvez activer la journalisation brute de sécurité d'instance pour une région.
  10. Pour la région souhaitée, sélectionnez Activer le journal.
  11. Dans le panneau Activer le journal, sélectionnez le compartiment.
  12. Sélectionnez un groupe de journaux existant ou créez-en un nouveau en sélectionnant Créer un groupe. Voir Gestion des groupes de journaux.
  13. Sélectionnez la durée de conservation du journal pour les valeurs comprises entre 30 et 180 jours, ou définissez une valeur de conservation de journal personnalisée.
  14. Sélectionnez Activer le journal.
Note

Si vous n'activez pas les journaux bruts de sécurité d'instance ici, vous pouvez les activer à partir de la console du service de journalisation. Voir Activation des journaux à partir du service de journalisation.

Application d'une recette de sécurité d'instance à une cible du service de protection d'infrastructure en nuage

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Protection d'infrastructure en nuage, sélectionnez Configuration.
  2. Localisez la cible que vous souhaitez utiliser et sélectionnez le nom de la cible.
  3. Sous Configuration, sélectionnez l'onglet Sécurité de l'instance et sélectionnez Ajouter des recettes et choisissez l'une des recettes de détecteur de sécurité des instances gérées par Oracle :
    Voir Recettes de détecteur de sécurité d'instance.
  4. Acceptez l'invite pour ajouter les politiques de sécurité d'instance à votre environnement.
  5. Dans la boîte de dialogue Ajouter des recettes de détecteur, sélectionnez la recette de détecteur de sécurité d'instance gérée par Oracle à utiliser et sélectionnez Ajouter des recettes.
  6. Faites défiler vers le bas et à côté de Journalisation, sélectionnez Activer/Modifier.
  7. Pour chaque région, sélectionnez le menu Actions (menu actions) et sélectionnez Activer le journal.
    1. Dans le panneau Activer le journal, le compartiment dans lequel se trouve la cible est affiché. Vous ne pouvez pas la modifier.
    2. Sélectionnez un groupe de journaux existant ou créez-en un nouveau en sélectionnant Créer un groupe. Voir Gestion des groupes de journaux.
    3. Sélectionnez la durée de conservation du journal pour les valeurs comprises entre 30 et 180 jours, ou définissez une valeur de conservation de journal personnalisée.
    4. Sélectionnez Activer le journal.

La dernière étape de l'activation de la sécurité d'instance consiste à ajouter les énoncés de politique dans la console.

Note

Si vous n'activez pas les journaux bruts de sécurité d'instance ici, vous pouvez les activer à partir de la console du service de journalisation. Voir Activation des journaux à partir du service de journalisation.

Énoncés de politique pour la sécurité d'instance

Vous devez ajouter ces politiques dans la console dans le cadre de l'activation de la sécurité d'instance.

Les politiques permettent à l'agent de sécurité d'instance d'accéder aux ressources requises dans la location. Sans ces politiques, vous n'obtiendrez aucun résultat.

Pour plus d'informations sur l'entrée des énoncés de politique dans la console, voir Création d'une politique.

Énoncés de politique d'utilisateur

Ces politiques permettent aux utilisateurs d'utiliser la sécurité des instances pour les interrogations sur demande et les interrogations programmées. Ajoutez-les à vos politiques d'utilisateur, en remplaçant group par le nom d'un groupe d'utilisateurs approprié.

Allow group <group> to { INSTANCE_READ } in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_READ} in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_CREATE} in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_INSPECT } in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_DELETE } in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_READ} in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_CREATE} in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_INSPECT } in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_DELETE } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_INSPECT} in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_READ } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_CREATE } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_DELETE } in compartment <compartment>

Énoncés de politique de journalisation de service

Ces politiques permettent aux utilisateurs d'accéder aux journaux. Ajoutez-les à vos politiques d'utilisateur, en remplaçant group par le nom d'un groupe d'utilisateurs approprié.

Allow group <group> to { CG_SERVICE_LOGGING_READ } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_CREATE } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_UPDATE } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_DELETE } in compartment <compartment>

Énoncés de politique de location

Ces politiques permettent à Instance Security d'accéder aux ressources requises dans la location.

Allow any-user to { WLP_BOM_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_CONFIG_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_ADHOC_QUERY_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_ADHOC_RESULTS_CREATE } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Endorse any-user to { WLP_LOG_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_METRICS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_ADHOC_QUERY_READ } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_ADHOC_RESULTS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }

Utilisation de groupes dynamiques pour contrôler l'accès aux interrogations sur demande et programmées

Vous devez créer des groupes dynamiques pour travailler avec des interrogations sur demande (ad hoc) et programmées. Le type de ressource est :

  • Pour les interrogations sur demande, cloudguardadhocquery.
  • Pour les interrogations programmées, cloudguarddatasource.
Note

  • Chaque interrogation est automatiquement liée à un groupe dynamique en fonction du type de ressource et des marqueurs facultatifs.
  • L'accès est déterminé par le groupe dynamique auquel appartient l'interrogation.
  • Si aucune politique n'existe pour une interrogation, une exception non autorisée est générée lors de l'exécution de l'interrogation.

Cet exemple montre comment créer un groupe dynamique pour chaque type d'interrogation. Pour plus d'informations, voir Gestion des groupes dynamiques.

  1. Créez les groupes dynamiques :
    Groupe dynamique Énoncé de groupe dynamique
    adhoc_query_dg all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id'}
    scheduled_query_dg all { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-compartment-id' }

    Si vous utilisez l'agent sur place, vous pouvez utiliser les mêmes groupes dynamiques, ou vous pouvez créer des groupes dynamiques distincts en fonction du compartiment configuré pour vos instances sur place.

    Groupe dynamique Énoncé de groupe dynamique
    on_prem_adhoc_query_dg all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-on-prem-compartment-id'}
    on_prem_scheduled_query_dg all { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-on-prem-compartment-id' }
  2. Ensuite, écrivez des politiques pour accorder à l'instance de lecture l'accès aux groupes dynamiques nouvellement créés pour votre compartiment ou location (compartiment racine).
    allow dynamic-group adhoc_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguardadhocquery' }
 allow dynamic-group scheduled_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguarddatasource' }

    Si vous utilisez l'agent sur place, vous devez écrire deux politiques supplémentaires.

    allow dynamic-group on_prem_adhoc_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguardadhocquery' }

allow dynamic-group on_prem_scheduled_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguarddatasource' }

    Pour plus d'informations sur la création de politiques pour les locations ou les compartiments, voir Fonctionnement des politiques.

  3. Vous pouvez maintenant créer des interrogations :

Utilisation de marqueurs pour isoler les autorisations d'interrogation

Vous pouvez utiliser des marqueurs pour isoler et catégoriser les interrogations programmées que vous exécutez. Pour plus d'informations sur l'utilisation de marqueurs, voir Marquage.

Note

Pour utiliser des marqueurs, vous devez créer les interrogations sur demande ou programmées à l'aide de l'interface de ligne de commande ou de l'API.
  1. Créez des groupes dynamiques avec des marqueurs :
    Groupe dynamique Énoncé de groupe dynamique
    adhoc_query_dg all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id', tag.namespace.tag-key.value = 'tag-value' }
    scheduled_query_dg all { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-compartment-id', tag.namespace.tag-key.value = 'tag-value' }

    Par exemple, supposons que vous ayez un espace de noms de marqueur appelé "Departments" et un marqueur dans cet espace de noms appelé "department_type" avec une liste de valeurs de ["hr", "finance", "marketing", "it"]. L'énoncé de groupe dynamique pour une interrogation personnalisée serait

    all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id', tag.department_type.tag-key.value = 'finance' }
  2. Écrivez des politiques pour accorder à l'instance de lecture l'accès aux groupes dynamiques nouvellement créés.
    allow dynamic-group adhoc_query_dg to read instances in compartment my-compartment where all { request.principal.type = 'cloudguardadhocquery' }
allow dynamic-group scheduled_query_dg to read instances in compartment my-compartment where all { request.principal.type = 'cloudguarddatasource' }
  3. Maintenant, vous pouvez créer des interrogations à l'aide de l'interface de ligne de commande ou de l'API avec les marqueurs que vous avez définis :