Recommandations de conception pour l'intégration à des outils SIEM
L'un des piliers de la structure d'adoption du cloud est la sécurité. Lorsque vous migrez des worklads ou que vous créez des charges globales sur le cloud, implémentez différentes couches de sécurité pour réduire le risque d'attaques. Oracle Cloud Infrastructure (OCI) utilise la structure de défense renforcée pour protéger l'infrastructure cloud à différents niveaux. OCI applique également l'approche de sécurité "confiance zéro". Pour plus d'informations, reportez-vous à Approche de sécurité "confiance zéro" avec Oracle Cloud Infrastructure.
Qu'est-ce que la défense renforcée et pourquoi est-elle importante ?
La défense renforcée est une approche multicouche de la sécurité qui permet de protéger les données à l'aide de différents types de système de défense de sécurité. Si une couche de défense échoue ou pose problème, d'autres types de système de défense atténuent l'attaque et deviennent opérationnels. Par exemple, si vous enregistrez vos données dans plusieurs coffres-forts dotés de différents types de système de défense (système biométrique, accès réseau et authentification), chaque couche de sécurité augmente votre confiance en la sécurisation des données. Pour chaque couche, un système de surveillance potentiel fournit une vue complète de l'état de sécurité du coffre-fort.
De la même manière, lors de l'application de ce concept à la défense des systèmes informatiques, l'approche de la défense renforcée protège toutes les couches des systèmes. Par exemple, la structure de la défense renforcée offre une protection aux ordinateurs portables des employés, aux utilisateurs et à leur identité, aux réseaux qui connectent les systèmes et aux applications qui protègent vos données.
Eléments de la défense renforcée
La défense renforcée se concentre sur les domaines de contrôle suivants :
- Contrôles physiques : empêcher l'accès aux systèmes physiques. Ce contrôle est généralement assuré par du personnel de sécurité, plutôt que par des systèmes biométriques ou des portes de sécurité.
- Contrôles techniques : empêcher l'accès aux systèmes informatiques, y compris au matériel et aux logiciels. Ce contrôle inclut les pare-feu, les systèmes de détection des intrusions, les outils d'analyse Web, l'accès juste-à-temps, la segmentation réseau et le cryptage des données. Ce contrôle est également implémenté via la surveillance de vos propres systèmes à l'aide de plates-formes SIEM (gestion des informations et des événements de sécurité) et SOAR (sécurité, orchestration, automatisation et réponse).
- Contrôles administratifs : évaluez et vérifiez la sécurité via la mise en place de stratégies de sécurité, l'évaluation des risques de cybersécurité et la gestion des employés et des fournisseurs.
Pour plus d'informations, reportez-vous à Sécurisation des données sur le cloud et en dehors : défense renforcée.
Modèle d'intégration à des outils SIEM
Une plate-forme SIEM est requise pour améliorer la réactivité aux attaques de sécurité. Grâce aux systèmes SIEM, vous pouvez surveiller les événements de sécurité provenant de différentes sources telles que les réseaux, les appareils et les identités. Vous pouvez également analyser ces signaux en temps réel à l'aide de l'apprentissage automatique afin de corréler différents signaux et d'identifier les activités de piratage menaçantes et les événements de sécurité anormaux présents sur le réseau. Plusieurs outils SIEM tiers disponibles peuvent être intégrés aux journaux et aux événements générés dans OCI. Si votre plate-forme SIEM n'est pas prise en charge, nous vous recommandons de contacter votre représentant Oracle.
Consolidation des journaux de service
Lorsque vous intégrez des systèmes de surveillance à OCI, vous pouvez consolider les journaux générés dans OCI Logging. Logging permet d'accéder à tous les journaux à partir des ressources OCI, gère l'ensemble des journaux de la location et est hautement évolutif. Les journaux contiennent des informations de diagnostic critiques qui décrivent les modalités d'accès aux ressources et leurs performances.
Les types de journal sont les suivants :
- Journaux d'audit : journaux liés aux événements émis par le service OCI Audit.
- Journaux de service : journaux émis par les services natifs OCI, comme API Gateway, Events, Functions, Load Balancing et Object Storage, et journaux de flux de réseau cloud virtuel. Chacun de ces services pris en charge comporte des catégories de journalisation prédéfinies que vous pouvez activer ou désactiver sur vos ressources respectives.
- Journaux personnalisés : journaux contenant des informations de diagnostic issues d'applications personnalisées, d'autres fournisseurs de cloud ou d'un environnement sur site. Les journaux personnalisés peuvent être inclus via l'API ou la configuration de l'agent de surveillance unifié. Vous pouvez configurer une instance OCI Compute pour télécharger directement les journaux personnalisés via l'agent de surveillance unifié. Les journaux personnalisés sont pris en charge dans les scénarios de machine virtuelle et Bare Metal.
Pour plus d'informations sur la consolidation des journaux à l'aide de Logging et d'OCI Service Connector Hub, reportez-vous à Consolidation des journaux de sécurité dans la zone de renvoi OCI CIS.
Il est recommandé de capturer également les événements générés par Cloud Guard pour obtenir suffisamment de données détaillées à envoyer à la plate-forme SIEM. Ce processus vous aide à vous préparer à d'éventuels problèmes de sécurité.
Pour plus d'informations sur l'export des événements générés par Cloud Guard, reportez-vous à Intégration d'Oracle Cloud Guard à des systèmes externes à l'aide d'OCI Events et Functions.
Architecture de référence SIEM tierce
Dans une architecture de référence SIEM tierce, Logging capture des journaux de différentes sources, par exemple des journaux d'audit, des journaux de service (journaux de flux de réseau cloud virtuel) et des journaux personnalisés. Il existe un flux distinct pour chaque journal. Chaque journal est connecté à son flux grâce à Service Connector Hub, qui écrit les journaux dans le service OCI Streaming. En parallèle, les événements générés par Cloud Guard sont collectés et normalisés via une fonction OCI qui écrit les événements dans OCI Streaming.
OCI Streaming peut ensuite communiquer avec une plate-forme SIEM tierce, telle que Splunk ou QRadar, qui collecte les données transmises pour une analyse plus approfondie. Pour obtenir un exemple, reportez-vous à Implémentation d'un système SIEM dans Splunk à l'aide de journaux transmis à partir d'Oracle Cloud.
L'architecture de référence SIEM comprend les composants architecturaux suivants.
- région
Une région OCI est une zone géographique précise qui contient un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres et de grandes distances peuvent les séparer d'un pays ou d'un continent à l'autre.
- domaine de disponibilité
Les domaines de disponibilité sont des centres de données autonomes indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées de celles des autres, ce qui garantit la tolérance aux pannes. Les domaines de disponibilité ne partagent ni infrastructure (par exemple, alimentation, système de refroidissement), ni réseau de domaine de disponibilité interne. Par conséquent, il est peu probable qu'une panne sur un domaine de disponibilité affecte les autres domaines de disponibilité de la région.
- réseaux cloud virtuels et sous-réseaux
Un réseau cloud virtuel est un réseau personnalisable défini par logiciel que vous configurez dans une région OCI. Comme les réseaux de centre de données traditionnels, les réseaux cloud virtuels vous donnent un contrôle total sur l'environnement réseau. Un réseau cloud virtuel peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après l'avoir créé. Vous pouvez segmenter un réseau cloud virtuel en plusieurs sous-réseaux ciblant une région ou un domaine de disponibilité. Chaque sous-réseau est composé d'une plage contiguë d'adresses qui ne chevauchent pas celles des autres sous-réseaux du réseau cloud virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.
- Logging
Logging est un service évolutif et entièrement géré qui permet d'accéder aux journaux à partir des ressources du cloud. Les types de journal incluent les journaux d'audit, les journaux de service et les journaux personnalisés.
- Streaming
Streaming offre une solution de stockage évolutive et durable entièrement gérée, adaptée à l'inclusion de flux de données importants transmis en continu, que vous pouvez utiliser et traiter en temps réel. Vous pouvez utiliser Streaming pour l'inclusion de grands volumes de données telles que celles des journaux d'application, de la télémétrie opérationnelle et des flux de clics sur le Web, ou pour d'autres cas d'emploi dans lesquels des données sont générées et traitées de manière continue et séquentielle suivant un modèle d'échange de messages de type publication-abonnement.
- Service Connector Hub
Service Connector Hub est une plate-forme cloud de bus de messages qui orchestre les déplacements de données entre des services OCI. Vous pouvez utiliser la plate-forme pour déplacer des données entre les services OCI. Les données sont déplacées à l'aide de connecteurs de service. Un connecteur de service indique le service source qui contient les données à déplacer, les tâches à effectuer sur les données et le service cible auquel les données doivent être fournies une fois les tâches terminées.
- Oracle Cloud Guard
Cloud Guard vous permet de surveiller, d'identifier, d'atteindre et de maintenir une posture de sécurité élevée sur Oracle Cloud. Utilisez le service pour examiner les failles de sécurité de vos ressources OCI liées à la configuration, ainsi que les activités à risque de vos opérateurs et utilisateurs. Lors de la détection, Cloud Guard peut suggérer, accompagner ou effectuer des actions correctives, en fonction de votre configuration.