Documentation sur Oracle Cloud Infrastructure

Préalables

Exécutez ces tâches avant d'activer le service de protection d'infrastructure en nuage.

Note

Le service de protection d'infrastructure en nuage n'est pas disponible pour les locations Oracle Cloud Infrastructure gratuites. Avant de tenter d'activer le service de protection d'infrastructure en nuage, assurez-vous que :
  • Vous avez une location payante.
  • Le type de compte de votre location est l'un des suivants :
    • default_dbaas
    • enterprise_dbaas
    • enterprise

Création du groupe d'utilisateurs du service de protection d'infrastructure en nuage

Pour permettre aux utilisateurs de travailler avec Cloud Guard, créez un groupe d'utilisateurs avec des privilèges d'administrateur.

Le service Protection d'infrastructure en nuage traite les informations de sécurité globalement et devrait être accessible à un public restreint.

  1. Connectez-vous à la console Oracle Cloud Infrastructure en tant qu'administrateur de location.
  2. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  3. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Groupes. Une liste des groupes du domaine s'affiche.

    Vous devez être autorisé à travailler dans un compartiment pour voir les ressources qu'il contient. Si vous n'êtes pas certain du compartiment à utiliser, communiquez avec un administrateur. Pour plus d'informations, voir Présentation des compartiments.

  4. Sélectionnez Créer un groupe.
  5. Remplissez les champs obligatoires, puis sélectionnez Créer.
    Indiquez un nom qui identifie clairement le groupe, comme CloudGuardUsers. Évitez d'entrer des informations confidentielles.

Étape suivante

Ajoutez des utilisateurs du service de protection d'infrastructure en nuage au groupe que vous avez créé.

Si vous prévoyez d'utiliser un fournisseur d'identités (IdP), comme Oracle Identity Cloud Service, pour l'authentification fédérée des utilisateurs, vous devez mapper le groupe du fournisseur d'identités au groupe du service de gestion des identités et des accès (GIA) pour OCI que vous avez créé. Voir Gestion des utilisateurs du service Oracle Identity Cloud dans la console pour connaître les étapes à suivre pour le service d'identité Oracle Cloud.

Énoncés de politique pour les utilisateurs

Ajoutez un énoncé de politique qui permet au groupe d'utilisateurs du service Protection d'infrastructure en nuage que vous avez défini de gérer les ressources du service Protection d'infrastructure en nuage.

Note

Vous pouvez trouver toutes les politiques requises pour activer le service de protection d'infrastructure en nuage dans la rubrique Politiques communes du service Oracle Cloud Infrastructure Identity and Access Management (IAM). Sur cette page, recherchez "Protection d'infrastructure en nuage" et développez les quatre listes que vous trouvez.

Pour des informations détaillées sur les différentes politiques du service Cloud Guard, voir Politiques du service Cloud.

Pour gérer les ressources Cloud Guard, ajoutez l'énoncé suivant pour activer tous les utilisateurs du groupe CloudGuardUsers. Si vous n'avez pas nommé le groupe CloudGuardUsers, utilisez à la place le nom que vous avez affecté.

allow group <identity_domain_name>/CloudGuardUsers to manage cloud-guard-family in tenancy

Si le groupe d'utilisateurs du service de protection d'infrastructure en nuage ne se trouve pas dans le domaine d'identité par défaut, vous devez inclure <identity_domain_name>, suivi d'une barre oblique ("/"), avant le nom du groupe :

allow group <identity_domain_name>/CloudGuardUsers to manage cloud-guard-family in tenancy

Avec cette politique en place, les utilisateurs que vous ajoutez au groupe d'utilisateurs du service protection d'infrastructure en nuage sont maintenant prêts à poursuivre l'activation de .

Note

Si, pour une raison quelconque, vous choisissez de ne pas ajouter l'énoncé de politique exact ci-dessus, au minimum : 
allow group CloudGuardUsers to use cloud-guard-config in tenancy

Si le groupe d'utilisateurs du service de protection d'infrastructure en nuage ne se trouve pas dans le domaine d'identité par défaut, vous devez inclure <identity_domain_name>, suivi d'une barre oblique ("/"), avant le nom du groupe :

allow group <identity_domain_name>/CloudGuardUsers to use cloud-guard-config in tenancy
Permissions et politiques GIA correspondantes

Selon les fonctions de sécurité standard qui pourraient exister dans une organisation, Cloud Guard prend en charge les rôles d'administrateur suivants. Chaque rôle a des noms de ressource IAM correspondants et des politiques que vous pouvez utiliser pour contrôler l'accès aux fonctions du service de protection d'infrastructure en nuage.

Rôle d'administrateur Fonctions du service de sécurité en nuage Ressources pour les autorisations IAM Fonctions accessibles
Propriétaire du service (racine ou superadministrateur)
  • Activer le service protection d'infrastructure en nuage
  • Créer des groupes et des politiques GIA
 cloud-guard-family Gérer cloud-guard-family dans la location
Architecte de la sécurité (analyste de sécurité)
  • Cloner des recettes de détecteur
  • Gérer les détecteurs
  • Affecter des recettes de détecteur à des cibles
  • Lire/gérer les problèmes et les notes de problèmes et d'autres mesures

cloud-guard-detectors

cloud-guard-targets

cloud-guard-detector-recipes

cloud-guard-responder-recipes

cloud-guard-managed-lists

cloud-guard-problems

cloud-guard-risk-scores

cloud-guard-security-scores

 Gérer/inspecter/lire* ces ressources dans la location/le compartiment
Administrateur des opérations de sécurité
  • Gérer, inspecter ou lire* les problèmes du service de protection d'infrastructure en nuage
 cloud-guard-problems Gérer/inspecter/lire* les problèmes du service de protection d'infrastructure en nuage

* Lire et Inspecter : Lire permet d'afficher les détails des problèmes répertoriés; Inspecter permet uniquement d'afficher la liste des problèmes. Lire est un surensemble d'Inspecter.

Attention

Assurez-vous que seul l'administrateur racine peut supprimer des cibles.
Exemples de cas d'utilisation de la politique

Les cas d'utilisation énumérés dans le tableau suivant fournissent des exemples de rôles d'administrateur et de politiques GIA que vous pouvez configurer pour les prendre en charge.

Cas d'utilisation Politiques minimales requises Fonctions autorisées, non autorisées Autorisations d'autorisation.
Accès en lecture seule aux données et à la configuration de Cloud Guard pour tous les compartiments L'administrateur peut créer un groupe spécial comme cgreadgroup, lui ajouter des utilisateurs, puis ajouter ces politiques :
  • allow group cgreadgroup to read cloud-guard-family in tenancy
  • allow group cgreadgroup to read compartments in tenancy

Autorisé : Lire les pages Aperçu, problèmes, détecteurs, cibles et activité de répondant.

Non autorisé : Modifier ou copier les recettes de détecteur, créer des cibles, supprimer des recettes des cibles et créer des listes gérées.

 Page Aperçu - Lire : Oui
Problèmes - Lire : Oui
Problèmes - Gérer : Non
Problèmes - Corriger : Non
Cibles - Lire : Oui
Cibles - Gérer : Non
Recettes/Règles de détecteur - Lire : Oui
Recettes/Règles de détecteur - Gérer : Non
Activité de répondant - Lire : Oui
Accès en lecture seule aux données et à la configuration du service Cloud Guard pour un compartiment L'administrateur peut créer un groupe spécial comme cggroupcomptonly, lui ajouter des utilisateurs, puis ajouter ces politiques ('OCIDemo' est le nom du compartiment ici) :
  • allow group cggroupcomptonly to read compartments in tenancy where target.compartment.name = 'OCIDemo'
  • allow group cggroupcomptonly to read cloud-guard-family in compartment OCIDemo
  • allow group cggroupcomptonly to inspect cloud-guard-config in tenancy

Autorisé : Lire les données uniquement pour le compartiment spécifié, dans les pages Aperçu, Problèmes, détecteurs et cibles.

Non autorisé : Lire les pages montrant les données d'autres compartiments.

 Page Aperçu - Lire : Oui
Problèmes - Lire : Oui
Problèmes - Gérer : Non
Problèmes - Corriger : Non
Cibles - Lire : Oui
Cibles - Gérer : Non
Recettes/Règles de détecteur - Lire : Oui
Recettes/Règles de détecteur - Gérer : Non
Activité de répondant - Lire : Oui
Accès en lecture seule aux recettes de détecteur du service Protection d'infrastructure en nuage L'administrateur peut créer un groupe spécial comme cgreaddetrecipes, lui ajouter des utilisateurs, puis ajouter ces politiques :
  • allow group cgreaddetrecipes to read cloud-guard-detector-recipes in tenancy
  • allow group cgreaddetrecipes to read compartments in tenancy
  • allow group cgreaddetrecipes to inspect cloud-guard-config in tenancy

Autoriser : Lire les pages pour les recettes et les règles de détecteur.

Non autorisé : cloner ou supprimer des recettes. Gérer les règles pour une recette, consulter les pages hors Détecteurs et Répondants.

 Page Aperçu - Lire : Non
Problèmes - Lire : Non
Problèmes - Gérer : Non
Problèmes - Corriger : Non
Cibles - Lire : Non
Cibles - Gérer : Non
Recettes/Règles de détecteur - Lire : Oui
Recettes/Règles de détecteur - Gérer : Non
Activité de répondant - Lire : Non
Accès en lecture seule aux problèmes du service Protection d'infrastructure en nuage, sauf Note de sécurité et Note de risque L'administrateur peut créer un groupe spécial comme cgreadproblems, lui ajouter des utilisateurs, puis ajouter ces politiques :
  • allow group cgreadproblems to read cloud-guard-problems in tenancy
  • allow group cgreadproblems to read compartments in tenancy
  • allow group cgreadproblems to inspect cloud-guard-config in tenancy

Autorisé dans la page Aperçu, voir :

  • Instantané des problèmes
  • Problèmes regroupés par...
  • Problèmes d'activité de l'utilisateur
  • Courbe de tendance des nouveaux problèmes

Non autorisé dans la page Aperçu, accéder à :

  • Note de sécurité
  • Note de risque
  • Recommandations de sécurité
  • Statut de répondant
  • Courbe de tendance des notes de sécurité
  • Courbe de tendance des mesures correctives

L'accès à toutes les autres pages est également interdit.

 Page Aperçu - Lire :

(limité à Instantané des problèmes, Problèmes regroupés par..., Problèmes d'activité de l'utilisateur et Courbe de tendance des nouveaux problèmes)

 Oui
Problèmes - Lire : Non
Problèmes - Gérer : Non
Problèmes - Corriger : Non
Cibles - Lire : Non
Cibles - Gérer : Non
Recettes/Règles de détecteur - Lire : Non
Recettes/Règles de détecteur - Gérer : Non
Activité de répondant - Lire : Non
Accès en lecture seule aux problèmes Cloud Guard, Note de sécurité et Note de risque inclus L'administrateur peut créer un groupe spécial d'utilisateurs comme dans la rangée précédente, avec des politiques détaillées, puis ajouter ces politiques :
  • allow group cgreadproblems to inspect cloud-guard-risk-scores in tenancy
  • allow group cgreadproblems to inspect cloud-guard-security-scores in tenancy

Autorisé dans la page Aperçu, voir :

  • Note de sécurité
  • Note de risque
  • Instantané des problèmes
  • Problèmes regroupés par...
  • Problèmes d'activité de l'utilisateur
  • Courbe de tendance des nouveaux problèmes

Non autorisé dans la page Aperçu, accéder à :

  • Recommandations de sécurité
  • Statut de répondant
  • Courbe de tendance des notes de sécurité
  • Courbe de tendance des mesures correctives

L'accès à toutes les autres pages est également interdit.

 Page Aperçu - Lire :

(limité à Note de sécurité, Note de risque, Instantané des problèmes, Problèmes regroupés par..., Problèmes d'activité de l'utilisateur et Courbe de tendance des nouveaux problèmes)

 Oui
Problèmes - Lire : Non
Problèmes - Gérer : Non
Problèmes - Corriger : Non
Cibles - Lire : Non
Cibles - Gérer : Non
Recettes/Règles de détecteur - Lire : Non
Recettes/Règles de détecteur - Gérer : Non
Activité de répondant - Lire : Non
Informations de référence sur les permissions du service Protection d'infrastructure en nuage

Le tableau suivant résume les permissions disponibles dans le service de protection d'infrastructure en nuage.

Autorisations Fonction Portée requise Notes

cloud-guard-family

Regroupe toutes les permissions qui existent pour le service de protection d'infrastructure en nuage en une seule.

L'utilisation des méta-verbes inspect, read, use et manage pour ceci accorde les mêmes privilèges pour toutes les autres permissions.

Utilisez cette permission avec prudence.

location ou compartiment

Nom commun pour toutes les permissions.

cloud-guard-detectors

Plus nécessaire. Les données statiques sont disponibles sans permission.

s. o.

Non utilisée à partir de la console.

cloud-guard-targets

Requis pour consulter et gérer les données cibles pour le compartiment ou la location.

Le méta-verbe inspect est nécessaire pour alimenter la liste de sélection un minimum afin de filtrer les problèmes. Sa portée peut être la location, ou un ou plusieurs compartiments.

Le méta-verbe read accorde le privilège de voir la configuration cible.

Le méta-verbe use est requis pour mettre à jour toute cible créée précédemment.

Le méta-verbe manage est requis pour gérer le cycle de vie de la cible.

Recommandé : Définissez la portée de cette permission au compartiment pour autoriser l'utilisateur à effectuer des opérations dans ce compartiment uniquement.

location ou compartiment

Les données sont utilisées dans la page Cibles et permettent également d'alimenter le champ déroulant pour filtrer la page Problèmes.

cloud-guard-config

Requis pour consulter la configuration du service de protection d'infrastructure en nuage pour la location.

Sans cette permission, les utilisateurs ne peuvent pas consulter les pages Aperçu et d'autres du service de protection d'infrastructure en nuage. Ils sont redirigés vers la page Activer du service de protection d'infrastructure en nuage.

Le méta-verbe inspect permet de voir le statut d'activation de la protection d'infrastructure en nuage ainsi que les détails de la région d'inscription configurée.

Les méta-verbes use ou manage doivent être réservés aux utilisateurs nécessitant la capacité d'activer ou de désactiver la protection d'infrastructure en nuage.

location

Ces données servent à identifier le statut du service de protection d'infrastructure en nuage et les détails de la région d'inscription. Tous les appels ultérieurs depuis la console sont redirigés vers la région d'inscription pour effectuer des opérations CRUDL.

La région d'inscription configurée est affichée dans la page Paramètres.

cloud-guard-managed-lists

Requis pour consulter et gérer les données de liste gérée pour le compartiment ou la location.

Le méta-verbe inspect est requis avec une portée sur la location si les utilisateurs doivent cloner des listes gérées par Oracle qui existent dans le compartiment racine.

Le méta-verbe read est requis pour voir la configuration d'une liste gérée et pour associer celle-ci à un groupe conditionnel, ou à des paramètres qui existent dans la cible, la recette de détecteur ou la recette de répondant. Si une liste gérée existe dans la portée de la location, la politique devrait porter sur la location; si une liste gérée existe dans le compartiment, la politique devrait porter sur le compartiment.

Le méta-verbe use offre des capacités supplémentaires par rapport à read, pour modifier une liste gérée déjà accessible en lecture.

Le méta-verbe manage est requis pour créer une liste gérée et pour gérer le cycle de vie des listes gérées créées par le client.

location ou compartiment

Les données sont utilisées dans la page Listes gérées et servent également à charger les valeurs associant une liste gérée à des groupes conditionnels ou à des paramètres qui existent dans des cibles, des recettes de détecteur ou des recettes de répondant.

cloud-guard-problems

Requis pour voir et exécuter des actions sur les problèmes existant dans le compartiment ou la location.

Le métadonnées inspect est requis pour afficher les données de la page Aperçu, ainsi que pour répertorier les problèmes de la page Projets. Il peut porter sur la location, où les problèmes identifiés pour tous les compartiments sont visibles. Ou il peut porter sur un compartiment pour restreindre l'accès aux problèmes du compartiment spécifique.

Si l'objectif est de consulter les détails du problème, le méta-verbe read est requis.

Les méta-verbes use ou manage doivent être ajoutés à la politique si l'utilisateur peut exécuter des actions sur les problèmes, telles que "Marquer comme résolu," "Omettre" ou "Corriger" sur un ou plusieurs problèmes.

location ou compartiment

Les données sont utilisées dans la page Problèmes, ainsi que dans la page Aperçu, pour alimenter ces panneaux :

  • Instantané des problèmes
  • Problèmes d'activité de l'utilisateur
  • Problèmes regroupés par...
  • Courbe de tendance des nouveaux problèmes

La page d'aperçu requiert au moins le méta-verbe inspect pour afficher les panneaux.

cloud-guard-detector-recipes

Requis pour consulter et gérer les données de recette de détecteur pour le compartiment ou la location.

Si les utilisateurs doivent cloner des recettes gérées par Oracle figurant dans le compartiment racine, le méta-verbe inspect est requis avec une portée sur la location.

Le méta-verbe read est requis pour consulter une configuration de recette et attacher des recettes à une cible. Si des recettes existent dans la portée de la location, la politique devrait porter sur la location; si des recettes existent dans le compartiment, la politique devrait porter sur le compartiment.

Le méta-verbe use offre plus de capacités pour modifier des groupes conditionnels et d'autres paramètres dans les recettes existantes auxquelles les utilisateurs ont déjà accès en lecture.

Le méta-verbe manage est requis pour cloner une recette et gérer le cycle de vie des recettes clonées.

location ou compartiment

Les données sont utilisées dans la page recettes de détecteur et servent à alimenter la liste de sélection utilisée lors de l'attachement de la recette de détecteur à une cible.

cloud-guard-responder-recipes

Requis pour consulter et gérer les données de recette de répondant pour le compartiment ou la location.

Si les utilisateurs doivent cloner des recettes gérées par Oracle figurant dans le compartiment racine, le méta-verbe inspect est requis avec une portée sur la location.

Le méta-verbe read est requis pour consulter une configuration de recette et pour attacher une recette à une cible. Si des recettes existent dans la portée de la location, la politique devrait porter sur la location; si des recettes existent dans le compartiment, la politique devrait porter sur le compartiment.

Le méta-verbe use offre plus de capacités pour modifier des groupes conditionnels et d'autres paramètres dans les recettes existantes déjà accessibles en lecture.

Le méta-verbe manage est nécessaire pour cloner une recette et gérer le cycle de vie des recettes clonées.

location ou compartiment

Les données sont utilisées dans la page Recettes de réponse et permettent d'alimenter la liste de sélection lors de l'attachement d'une recette de réponse à une cible.

cloud-guard-responder-executions

Requis pour consulter et gérer les données d'activité de répondant pour le compartiment ou la location.

Le méta-verbe inspect est une exigence minimale pour charger des données dans les pages Overview (Aperçu) et Responder Activity (Activité de répondant).

Le méta-verbe read est requis pour consulter des données d'activité de répondant spécifiques. Non requis depuis la console.

Les méta-verbes use ou manage sont requis pour effectuer des actions, telles que "Ignorer" ou "Exécuter" sur une activité de répondant spécifique, ou "Ignorer" sur plusieurs.

location ou compartiment

Méta-verbe inspect :

  • Ces données sont utilisées pour alimenter le panneau Statut de répondant et Tendance des mesures correctives dans la page Aperçu.
  • Ces données sont également utilisées dans la page Activité de répondant.

Méta-verbe read :

  • Non requis pour la console.

The use or manage meta-verbs:

  • Requis pour ignorer et exécuter des actions sur une activité de répondant spécifique, ou pour en ignorer plusieurs en masse.

cloud-guard-recommendations

Requis pour consulter les recommandations qui améliorent la note de risque et la note de sécurité associées à la location.

Le méta-verbe inspect constitue l'exigence minimale.

location ou compartiment

Ces données sont visibles dans la page Aperçu du panneau Recommandations de sécurité.

cloud-guard-user-preferences

Requis pour gérer les préférences utilisateur pour la console du service de protection d'infrastructure en nuage. Sert actuellement à gérer le statut de la présentation guidée pour l'utilisateur connecté. L'enregistrement des préférences de l'utilisateur permet d'ignorer l'invite à terminer la présentation guidée lors des connexions ultérieures.

Le méta-verbe inspect constitue l'exigence minimale pour obtenir les préférences de l'utilisateur courant.

Le méta-verbe use ou manage doit également être utilisé pour conserver les préférences.

location

Ces données sont visibles dans la section Présentation guidée de la page Paramètres.

cloud-guard-risk-scores

Requis pour consulter les données sur la note de risque pour la location.

Sans cette permission, les utilisateurs ne peuvent pas consulter la note de risque associée à la location.

Le méta-verbe inspect constitue l'exigence minimale.

location

Ces données sont visibles dans le panneau Note de risque de la page Aperçu.

cloud-guard-security-scores

Requis pour consulter la note de sécurité pour la location.

Sans cette permission, les utilisateurs ne peuvent pas consulter la note de sécurité associée à la location.

Le méta-verbe inspect constitue l'exigence minimale.

location

Ces données sont visibles dans la page Aperçu, dans Notation de la sécurité et Tendance des notes de sécurité.