Documentation Oracle Cloud Infrastructure

Activer la sécurité d'instance

Activez la sécurité d'instance dans Cloud Guard.

Pour activer la sécurité d'instance dans votre location, procédez comme suit :

Application d'une recette de sécurité d'instance à une nouvelle cible Cloud Guard

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Cloud Guard, sélectionnez Configuration.
  2. Sous Cibles, sélectionnez Créer une cible.
  3. Sur la page Créer une cible, dans le panneau Informations de base, entrez un nom de cible et éventuellement une description pour la cible.
  4. Sélectionnez le compartiment à affecter à la cible.
  5. Sélectionnez Suivant.
  6. Dans le panneau Configuration, sous Recette de sécurité d'instance, sélectionnez Toutes les instances de calcul et sélectionnez l'une des recettes de détecteur de sécurité d'instance gérées par Oracle :
    • Recette de détecteur de sécurité d'instance OCI : Enterprise (gérée par Oracle)
    • Recette de détecteur de sécurité d'instance OCI (gérée par Oracle)
    Reportez-vous à Recettes de détecteur de sécurité d'instance.
  7. Vérifiez la nouvelle cible et sélectionnez Créer.
  8. Sous Configuration, sélectionnez l'onglet Sécurité de l'instance, puis Activer/Modifier en regard de Détails de la configuration de journalisation.
  9. Sur la page de détails de la configuration de journalisation, vous pouvez activer la journalisation brute de sécurité d'instance pour une région.
  10. Pour la région voulue, sélectionnez Activer le journal.
  11. Dans le panneau Activer le journal, sélectionnez le compartiment.
  12. Sélectionnez un groupe de journaux existant ou créez-en un en sélectionnant Créer un groupe. Reportez-vous à Gestion des groupes de journaux.
  13. Sélectionnez la durée de conservation du journal, pour les valeurs comprises entre 30 et 180 jours, ou définissez une valeur de conservation de journal personnalisée.
  14. Sélectionnez Activer le journal.
Remarque

Si vous n'activez pas les journaux bruts de sécurité d'instance ici, vous pouvez les activer à partir de la console du service Logging. Reportez-vous à Activation des journaux à partir du service Logging.

Application d'une recette de sécurité d'instance à une cible Cloud Guard

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Cloud Guard, sélectionnez Configuration.
  2. Localisez la cible à utiliser et sélectionnez le nom de la cible.
  3. Sous Configuration, sélectionnez l'onglet Sécurité d'instance, puis Ajouter des recettes et choisissez l'une des recettes de détecteur de sécurité d'instance gérées par Oracle :
    Reportez-vous à Recettes de détecteur de sécurité d'instance.
  4. Acceptez l'invite pour ajouter les stratégies de sécurité d'instance à votre environnement.
  5. Dans la boîte de dialogue Ajouter des recettes de détecteur, choisissez la recette de détecteur de sécurité d'instance gérée par Oracle à utiliser, puis sélectionnez Ajouter des recettes.
  6. Faites défiler la page vers le bas et en regard de Journalisation, sélectionnez Activer/Modifier.
  7. Pour chaque région voulue, sélectionnez le menu Actions (menu Actions) et sélectionnez Activer le journal.
    1. Dans le panneau Activer le journal, le compartiment dans lequel se trouve la cible est affiché. Vous ne pouvez pas le modifier.
    2. Choisissez un groupe de journaux existant ou créez-en un en sélectionnant Créer un groupe. Reportez-vous à Gestion des groupes de journaux.
    3. Choisissez la durée de conservation du journal, pour les valeurs comprises entre 30 et 180 jours, ou définissez une valeur de conservation de journal personnalisée.
    4. Sélectionnez Activer le journal.

La dernière étape de l'activation de la sécurité d'instance consiste à ajouter les instructions de stratégie dans la console.

Remarque

Si vous n'activez pas les journaux bruts de sécurité d'instance ici, vous pouvez les activer à partir de la console du service Logging. Reportez-vous à Activation des journaux à partir du service Logging.

Instructions de stratégie pour la sécurité d'instance

Vous devez ajouter ces stratégies dans la console dans le cadre de l'activation de la sécurité d'instance.

Les stratégies permettent à l'agent de sécurité d'instance d'accéder aux ressources requises dans la location. Sans ces stratégies, vous n'obtiendrez aucun résultat.

Pour plus d'informations sur la saisie des instructions de stratégie dans la console, reportez-vous à Création d'une stratégie.

Instructions de stratégie utilisateur

Ces stratégies fournissent des droits d'accès utilisateur permettant d'utiliser la sécurité d'instance pour les requêtes à la demande et les requêtes programmées. Ajoutez-les à vos stratégies utilisateur, en remplaçant group par le nom d'un groupe d'utilisateurs approprié.

Allow group <group> to { INSTANCE_READ } in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_READ} in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_CREATE} in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_INSPECT } in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_DELETE } in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_READ} in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_CREATE} in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_INSPECT } in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_DELETE } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_INSPECT} in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_READ } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_CREATE } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_DELETE } in compartment <compartment>

Instructions de stratégie de journalisation de service

Ces stratégies permettent aux utilisateurs d'accéder aux journaux. Ajoutez-les à vos stratégies utilisateur, en remplaçant group par le nom d'un groupe d'utilisateurs approprié.

Allow group <group> to { CG_SERVICE_LOGGING_READ } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_CREATE } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_UPDATE } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_DELETE } in compartment <compartment>

Instructions de stratégie de location

Ces stratégies permettent à la sécurité d'instance d'accéder aux ressources requises dans la location.

Allow any-user to { WLP_BOM_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_CONFIG_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_ADHOC_QUERY_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_ADHOC_RESULTS_CREATE } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Endorse any-user to { WLP_LOG_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_METRICS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_ADHOC_QUERY_READ } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_ADHOC_RESULTS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }

Utiliser des groupes dynamiques pour contrôler l'accès aux requêtes à la demande et aux requêtes planifiées

Vous devez créer des groupes dynamiques pour utiliser des requêtes à la demande (ad hoc) et planifiées. Le type de ressource est :

  • Pour les requêtes à la demande, cloudguardadhocquery.
  • Pour les requêtes programmées, cloudguarddatasource.
Remarque

  • Chaque requête est automatiquement liée à un groupe dynamique en fonction du type de ressource et des balises facultatives.
  • L'accès est déterminé par le groupe dynamique auquel appartient la requête.
  • Si aucune stratégie n'existe pour une requête, une exception non autorisée est générée lors de son exécution.

Cet exemple montre comment créer un groupe dynamique pour chaque type de requête. Pour plus d'informations, reportez-vous à Gestion des groupes dynamiques.

  1. Créez les groupes dynamiques :
    Groupe dynamique Instruction de groupe dynamique
    adhoc_query_dg all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id'}
    scheduled_query_dg all { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-compartment-id' }

    Si vous utilisez l'agent on-premise, vous pouvez utiliser les mêmes groupes dynamiques ou créer des groupes dynamiques distincts en fonction du compartiment configuré pour vos instances on-premise.

    Groupe dynamique Instruction de groupe dynamique
    on_prem_adhoc_query_dg all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-on-prem-compartment-id'}
    on_prem_scheduled_query_dg all { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-on-prem-compartment-id' }
  2. Ensuite, écrivez des stratégies afin d'accorder à l'instance en lecture l'accès aux groupes dynamiques nouvellement créés pour votre compartiment ou location (compartiment racine).
    allow dynamic-group adhoc_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguardadhocquery' }
 allow dynamic-group scheduled_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguarddatasource' }

    Si vous utilisez l'agent on-premise, vous devez écrire deux stratégies supplémentaires.

    allow dynamic-group on_prem_adhoc_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguardadhocquery' }

allow dynamic-group on_prem_scheduled_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguarddatasource' }

    Pour plus d'informations sur la création de stratégies pour les locations ou les compartiments, reportez-vous à Fonctionnement des stratégies.

  3. Vous pouvez désormais créer des requêtes :

Utilisation de balises pour isoler les autorisations de requête

Vous pouvez utiliser des balises pour isoler et catégoriser les requêtes programmées en cours d'exécution. Pour plus d'informations sur l'utilisation des balises, reportez-vous à Balisage.

Remarque

Pour utiliser des balises, vous devez créer les requêtes à la demande ou programmées à l'aide de l'interface de ligne de commande ou de l'API.
  1. Créez les groupes dynamiques avec des balises :
    Groupe dynamique Instruction du groupe dynamique
    adhoc_query_dg all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id', tag.namespace.tag-key.value = 'tag-value' }
    scheduled_query_dg all { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-compartment-id', tag.namespace.tag-key.value = 'tag-value' }

    Par exemple, supposons que vous disposez d'un espace de noms de balise appelé "Departments" et d'une balise dans cet espace de noms appelée "department_type" avec une liste de valeurs de ["hr", "finance", "marketing", "it"]. L'instruction de groupe dynamique pour une requête personnalisée serait

    all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id', tag.department_type.tag-key.value = 'finance' }
  2. Stratégies d'écriture permettant d'accorder à l'instance en lecture l'accès aux groupes dynamiques nouvellement créés.
    allow dynamic-group adhoc_query_dg to read instances in compartment my-compartment where all { request.principal.type = 'cloudguardadhocquery' }
allow dynamic-group scheduled_query_dg to read instances in compartment my-compartment where all { request.principal.type = 'cloudguarddatasource' }
  3. Vous pouvez désormais créer des requêtes à l'aide de l'interface de ligne de commande ou de l'API avec les balises que vous avez définies :