Documentation Oracle Cloud Infrastructure

Concepts relatifs à Cloud Guard

Familiarisez-vous avec les composants et la terminologie Cloud Guard.

Cloud Guard examine vos ressources Oracle Cloud Infrastructure pour détecter les failles de sécurité liées à la configuration, ainsi que vos opérateurs et utilisateurs à la recherche d'activités à risque. Lors de la détection, Cloud Guard peut suggérer, accompagner ou effectuer des actions correctives, en fonction de votre configuration.

Le schéma suivant fournit un aperçu général du flux système Cloud Guard. Vous pouvez vous référer à ce schéma lorsque vous passez en revue les concepts Cloud Guard définis ci-après.

Image du flux système général dans Cloud Guard

Conseil

Regardez la vidéo de présentation du service Cloud Guard.

Vous devez comprendre les termes suivants pour utiliser Cloud Guard :

Cible
Définit la portée de ce que Cloud Guard doit vérifier. Pour Oracle Cloud Infrastructure, cette portée est liée au compartiment dans lequel la cible est définie et à tous les compartiments enfant jusqu'à ce qu'une autre cible soit rencontrée. La nouvelle cible rencontrée prend le relais à partir de ce point vers les compartiments descendants.
  • Une cible peut se composer de l'intégralité de votre location OCI (cible dans le compartiment racine).
  • Pour surveiller les stratégies IAM, le compartiment racine doit être une cible.
  • Vous devez spécifier au moins une cible lorsque vous activez Cloud Guard. Vous pouvez modifier cette cible et en définir d'autres ultérieurement.
  • Les cibles ne peuvent pas se chevaucher, et une seule cible à la fois est appliquée à un compartiment et à ses ressources.
  • Un compartiment (et ses enfants) peut être exempté de vérifications en étant déclaré comme cible sans recette de détecteur appliquée à cette cible.
Détecteur
Effectue les vérifications et identifie les problèmes de sécurité potentiels en fonction de leur type et de leur configuration.
Recette de détecteur
Fournit les valeurs de référence pour l'examen des ressources et des activités de la cible.
Recette de détecteur gérée par Oracle
  • Fournie par Cloud Guard.
  • Permet de définir uniquement la portée des ressources pour lesquelles une règle déclenche un problème.
  • Ne permet pas de désactiver des règles ou de modifier le niveau de risque d'une règle.
  • Peut être mise à jour pour inclure de nouveaux paramètres et valeurs par défaut à tout moment.

    Consultez les notes sur la version de Cloud Guard pour connaître ces mises à jour.

Recette de détecteur gérée par l'utilisateur
  • Créée en clonant une recette gérée par Oracle.
  • Permet de définir la portée des ressources pour lesquelles une règle déclenche un problème.
  • Permet également de désactiver des règles individuelles et de modifier le niveau de risque d'une règle.
Recette de détecteur d'activité OCI
Ensemble de règles conçu spécifiquement pour détecter les actions sur les ressources susceptibles de poser un problème de sécurité.
Recette de détecteur de configuration OCI
Ensemble de règles conçu spécifiquement pour détecter les paramètres de configuration de ressource susceptibles de poser un problème de sécurité.
Recette de configuration de la sécurité du conteneur OCI
Ensemble de règles conçues spécifiquement pour aider une organisation à définir la façon dont elle entend exploiter ses charges de travail en conteneur, puis à appliquer ces intentions.
Recette de détecteur de sécurité d'instance OCI
Ensemble de règles conçu spécifiquement pour assurer la sécurité d'exécution des charges de travail dans les hôtes Bare Metal et virtuels Compute.
recette de détecteur de menace OCI
Ensemble de règles conçues spécifiquement pour détecter dans votre environnement des modèles d'activité subtils dont l'accumulation est susceptible de poser un problème de sécurité.
Règle de détecteur
Fournit une définition donnée de classe de ressources, avec des actions ou configurations spécifiques, qui font qu'un détecteur signale un problème. Une recette de détecteur se compose de plusieurs règles de détecteur. Si une règle est déclenchée, le détecteur doit signaler un problème. Chaque règle d'une recette de détecteur peut être configurée individuellement.
Problème
Action ou paramètre sur une ressource susceptible de causer un problème de sécurité. Cloud Guard surveille l'activité réseau de votre location Oracle Cloud Infrastructure pour identifier et résoudre les problèmes. Les problèmes :
  • sont créés lors de la découverte d'un écart par rapport à une règle de détecteur,
  • sont définis par le type de détecteur qui les crée (activité ou configuration),
  • contiennent des données sur le type de problème spécifique trouvé,
  • peuvent être résolus, rejetés ou corrigés.
Répondeur
Action que Cloud Guard peut effectuer lorsqu'un détecteur a identifié un problème. Les actions disponibles sont propres aux ressources. Les répondeurs sont structurés de façon semblable aux détecteurs :
Recette de répondeur
Définit l'action ou l'ensemble d'actions à entreprendre en réaction à un problème identifié par un détecteur.
Recette de répondeur gérée par Oracle
  • Fournie par Cloud Guard.
  • Ne permet pas de désactiver les règles.
  • Peut être mise à jour pour inclure de nouveaux paramètres et valeurs par défaut à tout moment.

    Consultez les notes sur la version de Cloud Guard pour connaître ces mises à jour.

Recette de répondeur gérée par l'utilisateur
  • Créée en clonant la recette gérée par Oracle.
  • Permet de désactiver des règles individuelles et de modifier le niveau de risque d'une règle.
Règle de répondeur
Définit les actions spécifiques à entreprendre. Si une règle de répondeur est déclenchée, elle déclenche le répondeur. Chaque règle d'une recette de détecteur peut être configurée individuellement.
Cloud Guard fournit un ensemble de répondeurs avec des règles par défaut. Vous pouvez utiliser ces répondeurs tels quels. Vous pouvez cloner l'un des répondeurs par défaut et modifier les règles pour répondre à des besoins spécifiques. Vous pouvez activer et désactiver les règles de répondeur individuellement. Vous pouvez limiter la portée d'application des règles individuelles en spécifiant des conditions.
Liste gérée
Liste réutilisable de paramètres qui permet de définir plus facilement la portée des règles de détecteur et de destinataire. Par exemple, la liste prédéfinie "Espace d'adresse IP Oracle sécurisé" contient toutes les adresses IP Oracle que vous considérez comme sécurisées lorsque vous définissez des règles pour les détecteurs et les répondeurs.
Zones dans Cloud Guard
L'activité que surveille Cloud Guard peut se produire dans deux types de région :
Région de génération de rapports
Région par défaut pour votre location Cloud Guard. Première région définie lorsque la location Cloud Guard a été activée.
Remarque

La région de génération de rapports que vous sélectionnez engage votre organisation à se conformer à toutes les exigences légales du pays dans lequel la région est hébergée. Reportez-vous à Sélection soigneuse de votre région de reporting.

Pour rechercher le nom de la région de reporting, reportez-vous à la rubrique Affichage de la région de reporting.

L'intégration aux services Notifications et Events pour l'envoi de notifications se produit uniquement dans la région de génération de rapports. La sélection d'une région  particulière dans la liste Régions en haut de la console n'a aucun effet sur les informations affichées. Pour filtrer les informations par région, utilisez les filtres des pages Cloud Guard.

Régions surveillées
Autres régions surveillées par la location Cloud Guard.
Région d'origine OCI
Pour Cloud Guard, la région d'origine OCI est une constante immuable dans l'environnement OCI.
Remarque

Vous indiquez la région de génération de rapports Cloud Guard lorsque vous activez Cloud Guard. Dans toutes les tâches de configuration et de dépannage que vous effectuez après l'activation, vous devez indiquer la région de génération de rapports Cloud Guard, et non la région d'origine OCI.