Documentation Oracle Cloud Infrastructure

Sécurisation de Vulnerability Scanning

Cette rubrique fournit des informations et des recommandations de sécurité pour Oracle Cloud Infrastructure Vulnerability Scanning Service.

Vulnerability Scanning vous aide à améliorer l'état de la sécurité dans Oracle Cloud en examinant régulièrement les hôtes à la recherche de vulnérabilités potentielles.

Responsabilités en matière de sécurité

Pour utiliser Vulnerability Scanning en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.

En général, Oracle assure la sécurité de l'infrastructure et des opérations sur le cloud, par exemple les contrôles d'accès des opérateurs de cloud et l'application de patches de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources cloud. La sécurité dans le cloud est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

  • Sécurité physique : Oracle est en charge de la protection de l'infrastructure globale qui exécute tous les services offerts par Oracle Cloud Infrastructure. Cette infrastructure comprend le matériel, les logiciels, les fonctions de réseau et les installations qui exécutent les services Oracle Cloud Infrastructure.
  • Sécurité des bases de données : Oracle est responsable de la sécurisation et de l'application de patches à la base de données utilisée pour stocker les ressources Vulnerability Scanning, y compris les recettes d'analyse, les cibles d'analyse et les résultats d'analyse.

Vos responsabilités en matière de sécurité sont décrites sur cette page et englobent les domaines suivants :

  • Contrôle d'accès : limitez au maximum les privilèges. Les utilisateurs doivent disposer uniquement des droits d'accès nécessaires pour faire leur travail.

Tâches initiales liées à la sécurité

Utilisez cette liste de contrôle afin d'identifier les tâches que vous effectuez pour sécuriser l'analyse des vulnérabilités dans une nouvelle location Oracle Cloud Infrastructure.

Tâche Informations supplémentaires
Utilisez des stratégies IAM pour contrôler qui peut configurer Vulnerability Scanning et qui peut afficher les résultats de l'analyse. Stratégies IAM
Configurez une passerelle de service pour analyser les instances Compute qui ne disposent pas d'adresses IP publiques. Sécurité réseau

Tâches de routine liées à la sécurité

Après vous être familiarisé avec Vulnerability Scanning, utilisez cette liste de contrôle pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.

Tâche Informations supplémentaires
Répondre aux vulnérabilités détectées dans les rapports d'analyse
Réalisation d'un audit de sécurité Audit en cours

Stratégies IAM

Utilisez des stratégies pour limiter l'accès à Vulnerability Scanning.

Une stratégie précise qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, reportez-vous à Fonctionnement des stratégies.

Affectez à un groupe les privilèges minimaux qui sont requis pour assumer ses responsabilités. Chaque stratégie comporte un verbe décrivant les actions que le groupe est autorisé à effectuer. Les verbes disponibles sont les suivants, de l'accès le plus restreint à l'accès le plus étendu : inspect, read, use et manage.

Tenez compte des questions organisationnelles suivantes lors de la création de stratégies pour l'analyse des vulnérabilités.

  • Existe-t-il un groupe dédié responsable de la configuration de Vulnerability Scanning entre les ressources de tous les compartiments ?
  • Les administrateurs de compartiment sont-ils responsables de la configuration de l'analyse des vulnérabilités pour les ressources de leurs compartiments individuels ?
  • Existe-t-il un groupe dédié qui surveille les résultats d'analyse des ressources dans tous les compartiments, puis communique ces résultats aux propriétaires de compartiment ou de ressource ?
  • Les administrateurs de compartiment surveillent-ils les résultats de l'analyse des ressources dans leurs compartiments individuels, puis communiquent-ils ces résultats aux propriétaires de ressource ?
  • Les propriétaires de ressources ont-ils besoin d'accéder aux résultats de l'analyse ?

Afin d'utiliser l'analyse basée sur un agent pour les instances de calcul (hôtes), vous devez également autoriser le service Vulnerability Scanning à déployer l'agent Oracle Cloud vers les instances cible.

Nous vous recommandons d'accorder les droits d'accès DELETE à un ensemble minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données due à des suppressions involontaires par des utilisateurs autorisés ou par des acteurs malveillants. Accordez le droit d'accès DELETE uniquement aux administrateurs de location et de compartiment.

Autoriser les utilisateurs du groupe SecurityAdmins à analyser les ressources dans l'ensemble de la location

Un groupe dédié est responsable de la configuration de l'analyse des vulnérabilités entre les ressources de tous les compartiments.

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy
Autoriser les utilisateurs du groupe SalesAdmins à analyser les ressources dans le compartiment SalesApps

Les administrateurs de compartiment sont responsables de la configuration de l'analyse des vulnérabilités pour les ressources de leurs compartiments individuels.

Allow group SalesAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesApps
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesApps
Autoriser les utilisateurs du groupe SecurityAuditors à visualiser les résultats d'analyse pour l'ensemble de la location

Un groupe dédié surveille les résultats de l'analyse des vulnérabilités à la recherche de ressources dans tous les compartiments.

Allow group SecurityAuditors to read vss-family in tenancy
Autoriser les utilisateurs du groupe SalesAuditors à visualiser les résultats de l'analyse dans le compartiment SalesApps

Les administrateurs de compartiment surveillent les résultats de l'analyse à la recherche de ressources dans leurs compartiments individuels.

Allow group SalesAuditors to read vss-family in compartment SalesApps

Pour plus d'informations sur les stratégies Vulnerability Scanning et pour afficher d'autres exemples, reportez-vous à Stratégies IAM Scanning.

Sécurité réseau

Utilisez Vulnerability Scanning pour analyser les ressources qui se trouvent sur des sous-réseaux privés ou ne disposent pas d'adresses IP publiques.

Une instance Compute est associée à un VCN (réseau cloud virtuel) et à un sous-réseau . Lorsque vous créez un sous-réseau dans un VCN, par défaut, le sous-réseau est considéré comme public et la communication Internet est autorisée. Si une instance à analyser se trouve sur un sous-réseau privé ou n'a pas d'adresse IP publique, le VCN doit inclure une passerelle de service et une règle de routage pour la passerelle de service. Reportez-vous à Accès aux services Oracle : passerelle de service.

Audit en cours

Localisez les journaux d'accès et d'autres données de sécurité pour Vulnerability Scanning.

Le service Audit enregistre automatiquement tous les appels d'API vers les ressources Oracle Cloud Infrastructure. Vous pouvez atteindre vos objectifs de sécurité et de conformité en utilisant le service Audit pour surveiller l'ensemble de l'activité utilisateur dans votre location. Comme tous les appels de la console, du kit SDK et de l'interface de ligne de commande passent par nos API, toutes les activités de ces sources sont incluses. Les enregistrements d'audit sont disponibles via une API de requête filtrable authentifiée, ou ils peuvent être extraits en tant que fichiers en batch à partir d'Object Storage. Le contenu du journal d'audit inclut l'activité survenue, l'utilisateur qui l'a lancée, la date et l'heure de la demande, ainsi que l'adresse IP source, l'agent utilisateur et les en-têtes HTTP de la demande. Reportez-vous à Visualisation des événements de journal d'audit.

Par exemple, vous pouvez régulièrement auditer toutes les activités d'API liées à la création, à la mise à jour et à la suppression de cibles d'analyse. Vous pouvez rechercher les événements suivants dans le service Audit :

  • CreateHostScanTarget
  • UpdateHostScanTarget
  • DeleteHostScanTarget
Exemple de journal d'audit

Extrait d'un événement CreateHostScanTarget dans le service Audit.

{
  "eventType": "com.oraclecloud.vulnerabilityScanning.CreateHostScanTarget.begin",
  "cloudEventsVersion": "0.1",
  "eventTypeVersion": "2.0",
  "source": "vulnerabilityScanning",
  "eventId": "<unique_ID>",
  "eventTime": "2021-09-20T13:19:20.046Z",
  "contentType": "application/json",
  "data": {
    "eventGroupingId": "<unique_ID>",
    "eventName": "CreateHostScanTarget",
    "compartmentId": "<unique_ID>",
    "compartmentName": "MyCompartment",
    "resourceName": "MyScanTarget",
    "resourceId": "<unique_ID>",
    "availabilityDomain": "AD3",
    "freeformTags": {},
    "definedTags": {},
    "identity": {
      "principalName": "myuser",
      "principalId": "<unique_ID>",
      "authType": "natv",
      "callerName": null,
      "callerId": null,
      "tenantId": "<unique_ID>",
      "ipAddress": "<IP_address>",
      "credentials": "<credentials>",
      "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36",
      "consoleSessionId": "<unique_ID>"
    },
    ...
  }
}

Pour obtenir la liste de tous les événements d'analyse de vulnérabilité, reportez-vous à Evénements d'analyse.