Surveiller et vérifier votre environnement
Assurez-vous d'utiliser les contrôles appropriés pour surveiller et vérifier votre environnement
Activer le protection d'infrastructure en nuage pour la surveillance
Architecte d'entreprise, architecte de la sécurité
Assurez-vous que le service de protection d'infrastructure en nuage est activé au niveau racine de votre location pour surveiller tous vos compartiments. Oracle Cloud Guard détecte les ressources mal configurées et les activités non sécurisées dans l'ensemble des locataires et offre aux administrateurs de la sécurité la visibilité nécessaire pour trier et résoudre les problèmes de sécurité dans le nuage. Les inconsistances de sécurité peuvent être corrigées automatiquement à l'aide de recettes de sécurité prédéfinies pour faire évoluer efficacement le centre d'opérations de sécurité. Oracle fournit des réciproques de détecteur (un composant du service de protection d'infrastructure en nuage qui identifie les problèmes de sécurité potentiels, en fonction de la configuration ou de l'activité des ressources) pour activer la sécurité des instances dans le service de protection d'infrastructure en nuage.
La sécurité des instances est une recette d'Oracle Cloud Guard qui surveille les hôtes de calcul pour détecter les activités suspectes. La sécurité d'instance assure la sécurité d'exécution pour les charges de travail des hôtes virtuels et sans système d'exploitation du service de calcul. La sécurité de l'instance étend le service de protection d'infrastructure en nuage de la gestion de la posture de sécurité infonuagique à la protection des charges de travail infonuagiques. La sécurité de l'instance garantit que les besoins de sécurité sont satisfaits en un seul endroit, avec une visibilité cohérente et une compréhension globale de l'état de sécurité de l'infrastructure.
Configurer la vérification
Architecte d'entreprise, architecte de la sécurité
Le service Oracle Cloud Infrastructure Audit enregistre automatiquement les appels à tous les points d'extrémité d'API publique d'Oracle Cloud Infrastructure pris en charge en tant qu'événements de journal.Le service Oracle Cloud Infrastructure Object Storage prend en charge la journalisation des événements liés aux seaux, mais pas celle des événements liés aux objets. Les événements de journal enregistrés par le service Oracle Cloud Infrastructure Audit incluent les appels d'API effectués par la console Oracle Cloud Infrastructure, l'interface de ligne de commande, les clés de développement logiciel, vos propres clients personnalisés ou d'autres services Oracle Cloud Infrastructure. Les informations figurant dans les journaux sont les suivantes :
- Heure de l'activité de l'API.
- Source de l'activité.
- Cible de l'activité.
- Type d'action.
- Type de réponse.
Chaque événement de journal inclut un ID en-tête, des ressources cibles, l'heure de l'événement enregistré, les paramètres de demande et les paramètres de réponse. Vous pouvez consulter les événements enregistrés par le service Oracle Cloud Infrastructure Audit à l'aide de la console, de l'API ou de la trousse SDK pour Java. Les données d'événement peuvent être utilisées pour effectuer des diagnostics, suivre l'utilisation des ressources, surveiller la conformité et collecter les événements liés à la sécurité.
Si vous disposez d'outils de tierce partie qui doivent accéder aux données du service Oracle Cloud Infrastructure Audit, configurez un centre de connecteurs de service pour copier des données Oracle Cloud Infrastructure Audit dans un magasin d'objets, avec une période de conservation appropriée définie.
Vérifier vos politiques
Architecte d'entreprise, architecte de la sécurité
Un vérificateur de politique peut vérifier les politiques IAM de manière ad hoc à l'aide de la console Oracle Cloud Infrastructure. Plusieurs options peuvent également être utilisées pour générer des rapports de politique aux fins d'analyse hors ligne.
Le service de protection d'infrastructure en nuage comporte deux recettes de détecteur de configuration et une recette de détecteur d'activité spécifiquement pour les politiques IAM :
- La politique donne trop de privilèges.
- privilège d'administration de location accordé au groupe.
- Politique de sécurité modifiée.
Bien que les recettes gérées par Oracle puissent être modifiées, Oracle recommande de cloner les recettes pour vous permettre de modifier les objets ciblés par ces règles (au moyen de marqueurs ou de compartiments). Cela permet aux environnements de production d'une location d'avoir des contrôles plus stricts, tout en assouplissant les restrictions dans les environnements hors production qui résident dans un compartiment différent de la location. Si vous devez vérifier les politiques IAM à un niveau plus granulaire, Oracle recommande d'utiliser le détecteur Politique de sécurité modifiée pour déclencher un événement qui :
- Déclenche une révision manuelle au moyen de la politique.
- Appelle une fonction pour effectuer une enquête ou une correction.
Lorsque vous vérifiez vos politiques, tenez compte des problèmes potentiels suivants :
- Où sont définies vos politiques et sont-elles conformes aux normes de votre organisation en matière d'utilisation des compartiments?
- Vérifier l'utilisation des groupes dynamiques. Ces groupes accordent-ils trop de privilèges?
- Quels services sont configurés et où se trouvent-ils? Il se peut que certains services soient limités à certains compartiments ou groupes.
- Localisez toute suppression d'énoncés en double.
- Identifier les politiques qui accordent des privilèges à l'ensemble de la location.
- Identifier les groupes qui ont plus de privilèges que nécessaire.
Oracle Access Governance Cloud Service est une solution en nuage natif d'identité et de gouvernance et d'administration qui fournit un provisionnement d'utilisateur, des révisions d'accès et des analyses d'identité pour vous aider à définir et à régir les privilèges d'accès. Exploiter les informations exploitables sur les politiques de l'intelligence artificielle ou de l'intelligence d'apprentissage automatique pour faciliter la vérification de vos politiques.
Surveiller les journaux de flux VCN
Architecte d'entreprise, architecte de la sécurité
- Surveillez les détails du trafic qui passe par un VCN.
- Vérifiez le trafic et dépannez les listes de sécurité.
- Activer et gérer les journaux de flux à partir du centre de commandes réseau.
- Utilisez des filtres de capture pour évaluer et sélectionner le trafic à inclure dans le journal de flux.
- Tirez parti d'Oracle Cloud Infrastructure Logging pour envoyer les informations de journal à un groupe de journaux spécifié.
- Activez les journaux de flux pour toutes les cartes vNIC d'un VCN, d'un sous-réseau, d'instances spécifiques à une cible, d'équilibreurs de charge de réseau ou de cartes vNIC de ressource en tant que points d'activation.
Rechercher en continu les vulnérabilités
Architecte d'entreprise, architecte de la sécurité
- Logiciel ou micrologiciel obsolète.
- Défauts non corrigés (par exemple, systèmes d'exploitation, logiciels ou plugiciels non corrigés).
- Paramètres mal configurés.
- Code non sécurisé ou erreurs de programmation.
- Mots de passe ou mécanismes d'authentification faibles.
Le service de balayage de vulnérabilité Oracle améliore votre sécurité dans Oracle Cloud Infrastructure en vérifiant régulièrement si les hôtes présentent des vulnérabilités potentielles. Le service génère des rapports avec des mesures et des détails sur ces vulnérabilités.
Les principales capacités du service de balayage de vulnérabilités Oracle sont les suivantes :
- Une suite de balayage simple, activée par défaut, normative et gratuite qui est étroitement intégrée à la plate-forme Oracle Cloud Infrastructure.
- Plugiciels et moteurs par défaut basés sur les moteurs de balayage à code source libre créés par Oracle Cloud Infrastructure pour le balayage d'hôte et de conteneur.
- Oracle Cloud Infrastructure gère le déploiement, la configuration et la mise à niveau de ces moteurs et agents dans l'ensemble du parc de clients.
- Les problèmes détectés par la suite de balayage seront traités par Oracle Cloud Guard, avec des règles et un apprentissage automatique permettant de hiérarchiser les vulnérabilités critiques.
- Oracle Cloud Infrastructure prendra des mesures (alerte, correction automatique ou mise en quarantaine) par l'intermédiaire des répondants pour réduire le temps entre la détection et les mesures correctives, y compris au moyen de zones de sécurité maximale.
- Intégration à des scanners de vulnérabilités tiers tels que Qualys Vulnerability Management, Detection and Response.
Agréger les journaux de service dans les plates-formes SIEM
Architecte d'entreprise, architecte de sécurité, architecte de réseau
Les plates-formes SIEM vous permettent de surveiller les événements de sécurité provenant de différentes sources, notamment les réseaux, les appareils et les identités. Vous pouvez également analyser ces signaux en temps réel à l'aide de l'apprentissage automatique pour corréler différents signaux et identifier les activités de piratage menaçantes et les événements de sécurité anormaux qui traversent le réseau.
OCI peut envoyer des journaux et des événements à plusieurs plates-formes SIEM tierces.
En savoir plus
- Meilleures pratiques de sécurité
- Gestion de la posture de sécurité du service de protection d'infrastructure en nuage
- Sécurisation du service GIA
- Fédération GIA
- Conseils de conception pour l'intégration d'un système SIEM
- Annonce de l'intégration d'OCI VSS avec Qualys
- Balayage de vulnérabilités
- Oracle Cloud Guard : À propos de la sécurité des instances