Documentation Oracle Cloud Infrastructure

Prérequis

Effectuez ces tâches avant d'activer Oracle Cloud Guard.

Remarque

Cloud Guard n'est pas disponible pour les locations Oracle Cloud Infrastructure gratuites. Avant de tenter d'activer Cloud Guard, assurez-vous que :
  • Vous avez une location payante.
  • Le type de compte de location est l'un des suivants :
    • default_dbaas
    • enterprise_dbaas
    • enterprise

Création du groupe d'utilisateurs Cloud Guard

Pour permettre aux utilisateurs de travailler avec Cloud Guard, créez un groupe d'utilisateurs disposant de privilèges d'administrateur.

Cloud Guard traite les informations de sécurité de manière globale et doit être accessible à un public restreint.

  1. Connectez-vous à la console Oracle Cloud Infrastructure en tant qu'administrateur de location.
  2. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  3. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Sélectionnez ensuite Groupes. La liste des groupes du domaine s'affiche.

    Vous devez être autorisé à travailler dans un compartiment pour y voir les ressources. En cas de doute sur le compartiment à utiliser, contactez un administrateur. Pour plus d'informations, reportez-vous à Présentation des compartiments.

  4. Sélectionnez Créer un groupe.
  5. Renseignez les champs requis, puis sélectionnez Créer.
    Fournissez un nom identifiant clairement le groupe, tel que CloudGuardUsers. Evitez de saisir des informations confidentielles.

Etapes suivantes

Ajoutez des utilisateurs Cloud Guard au groupe que vous avez créé.

Si vous envisagez d'utiliser un fournisseur d'identités, tel qu'Oracle Identity Cloud Service, pour l'authentification fédérée des utilisateurs, vous devez mettre en correspondance le groupe du fournisseur d'identités avec le groupe OCI IAM que vous avez créé. Reportez-vous à Gestion des utilisateurs Oracle Identity Cloud Service dans la console afin de connaître les étapes à suivre pour Oracle Identity Cloud Service.

Instructions de stratégie pour les utilisateurs

Ajoutez une instruction de stratégie permettant au groupe d'utilisateurs Cloud Guard que vous avez défini de gérer les ressources Cloud Guard.

Remarque

Vous trouverez toutes les stratégies requises pour activer Cloud Guard dans la rubrique Stratégies courantes d'Oracle Cloud Infrastructure Identity and Access Management (IAM). Sur cette page, recherchez "Cloud Guard" et développez les quatre listes que vous obtenez.

Pour plus d'informations sur les différentes stratégies Cloud Guard, reportez-vous à Politiques Cloud Guard.

Afin de gérer les ressources Cloud Guard, ajoutez l'instruction de stratégie suivante pour activer tous les utilisateurs dans le groupe CloudGuardUsers. Indiquez le nom que vous avez affecté au groupe si vous ne l'avez pas nommé CloudGuardUsers.

allow group <identity_domain_name>/CloudGuardUsers to manage cloud-guard-family in tenancy

Si le groupe d'utilisateurs Cloud Guard ne se trouve pas dans le domaine d'identité par défaut, vous devez inclure <identity_domain_name>, suivi d'une barre oblique ("/"), avant le nom du groupe :

allow group <identity_domain_name>/CloudGuardUsers to manage cloud-guard-family in tenancy

Avec cette stratégie en place, les utilisateurs que vous ajoutez au groupe d'utilisateurs Cloud Guard sont prêts à poursuivre l'activation de Cloud Guard.

Remarque

Si, pour une raison quelconque, vous choisissez de ne pas ajouter exactement l'instruction de stratégie ci-dessus, vous devez ajouter l'instruction de stratégie suivante comme exigence minimale pour permettre aux utilisateurs d'accéder à Cloud Guard : 
allow group CloudGuardUsers to use cloud-guard-config in tenancy

Si le groupe d'utilisateurs Cloud Guard ne se trouve pas dans le domaine d'identité par défaut, vous devez inclure <identity_domain_name>, suivi d'une barre oblique ("/"), avant le nom du groupe :

allow group <identity_domain_name>/CloudGuardUsers to use cloud-guard-config in tenancy
Droits d'accès et stratégies IAM correspondantes

Sur la base des fonctions de sécurité classiques qui peuvent exister dans une organisation, Cloud Guard prend en charge les rôles d'administrateur suivants. Chaque rôle correspond à des noms de ressource IAM et à des stratégies que vous pouvez utiliser pour contrôler l'accès aux fonctions Cloud Guard.

Rôle de l'administrateur Fonctions Cloud Guard Ressources de droits d'accès IAM Fonctions accessibles
Propriétaire de service (administrateur root ou superadministrateur)
  • Activer Cloud Guard
  • Créer des groupes et des stratégies IAM
 cloud-guard-family Gérer cloud-guard-family dans la location
Architecte de sécurité (analyste de sécurité)
  • Cloner les recettes de détecteur
  • Gérer les détecteurs
  • Affecter des recettes de détecteur aux cibles
  • Lire/Gérer les problèmes et les scores de problèmes, et d'autres mesures

cloud-guard-detectors

cloud-guard-targets

cloud-guard-detector-recipes

cloud-guard-responder-recipes

cloud-guard-managed-lists

cloud-guard-problems

cloud-guard-risk-scores

cloud-guard-security-scores

 Gérer/Inspecter/Lire* ces ressources dans la location/le compartiment
Administrateur des opérations de sécurité
  • Gérer, inspecter ou lire* les problèmes Cloud Guard
 cloud-guard-problems Gérer/Inspecter/Lire* les problèmes Cloud Guard

*Lire ou inspecter : la lecture permet de visualiser les détails des problèmes répertoriés, tandis que l'inspection permet uniquement de visualiser la liste des problèmes. La fonction Lire englobe la fonction Inspecter.

Attention

Assurez-vous que seul l'administrateur root peut supprimer des cibles.
Exemples de cas d'emploi des stratégies

Les cas d'emploi répertoriés dans le tableau suivant fournissent des exemples de rôles d'administrateur et de stratégies IAM que vous pouvez configurer pour les prendre en charge.

Cas d'emploi Stratégies minimales requises Fonctions autorisées et interdites Droits d'accès Authentification.
Accès en lecture seule aux données et à la configuration Cloud Guard pour tous les compartiments L'administrateur peut créer un groupe spécial comme cgreadgroup, ajouter des utilisateurs à ce groupe, puis ajouter les stratégies suivantes :
  • allow group cgreadgroup to read cloud-guard-family in tenancy
  • allow group cgreadgroup to read compartments in tenancy

Autorisé : lecture des pages Aperçu, Problèmes, Détecteurs, cibles et Activité du répondeur.

Interdit : modifier ou cloner des recettes de détecteur, créer des cibles, supprimer des recettes des cibles et créer des listes gérées.

 Page Aperçu - Lecture : Oui
Problèmes - Lecture : Oui
Problèmes - Gestion : Non
Problèmes - Résolution : Non
Cibles - Lecture : Oui
Cibles - Gestion : Non
Recettes/Règles de détecteur - Lecture : Oui
Recettes/Règles de détecteur - Gestion : Non
Activité du répondeur - Lecture : Oui
Accès en lecture seule aux données et à la configuration Cloud Guard pour un compartiment L'administrateur peut créer un groupe spécial comme cggroupcomptonly, ajouter des utilisateurs à ce groupe, puis ajouter les stratégies suivantes ('OCIDemo' est le nom du compartiment ici) :
  • allow group cggroupcomptonly to read compartments in tenancy where target.compartment.name = 'OCIDemo'
  • allow group cggroupcomptonly to read cloud-guard-family in compartment OCIDemo
  • allow group cggroupcomptonly to inspect cloud-guard-config in tenancy

Autorisé : lire les données uniquement pour le compartiment spécifié sur les pages Aperçu, Problèmes, Détecteurs et Cibles.

Interdit : lire les pages affichant les données d'autres compartiments.

 Page Aperçu - Lecture : Oui
Problèmes - Lecture : Oui
Problèmes - Gestion : Non
Problèmes - Résolution : Non
Cibles - Lecture : Oui
Cibles - Gestion : Non
Recettes et règles de détecteur - Lecture : Oui
Recettes et règles de détecteur - Gestion : Non
Activité du répondeur - Lecture : Oui
Accès en lecture seule aux recettes de détecteur Cloud Guard L'administrateur peut créer un groupe spécial comme cgreaddetrecipes, ajouter des utilisateurs à ce groupe, puis ajouter les stratégies suivantes :
  • allow group cgreaddetrecipes to read cloud-guard-detector-recipes in tenancy
  • allow group cgreaddetrecipes to read compartments in tenancy
  • allow group cgreaddetrecipes to inspect cloud-guard-config in tenancy

Autorisé : lire les pages pour les recettes et les règles de détecteur.

Interdit : cloner ou supprimer des recettes. Gérer les règles d'une recette, afficher les pages en dehors des détecteurs et des répondeurs.

 Page Aperçu - Lecture : Non
Problèmes - Lecture : Non
Problèmes - Gestion : Non
Problèmes - Résolution : Non
Cibles - Lecture : Non
Cibles - Gestion : Non
Recettes et règles de détecteur - Lecture : Oui
Recettes et règles de détecteur - Gestion : Non
Activité du répondeur - Lecture : Non
Accès en lecture seule aux problèmes Cloud Guard, à l'exclusion du score de sécurité et du score de risque L'administrateur peut créer un groupe spécial comme cgreadproblems, ajouter des utilisateurs à ce groupe, puis ajouter les stratégies suivantes :
  • allow group cgreadproblems to read cloud-guard-problems in tenancy
  • allow group cgreadproblems to read compartments in tenancy
  • allow group cgreadproblems to inspect cloud-guard-config in tenancy

Autorisé : sur la page Aperçu, afficher :

  • Cliché des problèmes
  • Problèmes regroupés par...
  • Problèmes relatifs aux activités utilisateur
  • Ligne de tendance des nouveaux problèmes

Interdit : sur la page Aperçu, accéder à :

  • Score de sécurité
  • Score de risque
  • Recommandations de sécurité
  • Statut de répondeur
  • Ligne de tendance de score de sécurité
  • Ligne de tendance de résolution

L'accès à toutes les autres pages est également interdit.

 Page Aperçu - Lecture :

(en se limitant à Cliché des problèmes, Problèmes regroupés par..., Problèmes relatifs aux activités utilisateur et Ligne de tendance des nouveaux problèmes)

 Oui
Problèmes - Lecture : Non
Problèmes - Gestion : Non
Problèmes - Résolution : Non
Cibles - Lecture : Non
Cibles - Gestion : Non
Recettes et règles de détecteur - Lecture : Non
Recettes et règles de détecteur - Gestion : Non
Activité du répondeur - Lecture : Non
Accès en lecture seule aux problèmes Cloud Guard, y compris au score de sécurité et au score de risque L'administrateur peut créer un groupe spécial d'utilisateurs comme dans la ligne précédente, avec les stratégies qui y sont détaillées, puis ajouter les stratégies suivantes :
  • allow group cgreadproblems to inspect cloud-guard-risk-scores in tenancy
  • allow group cgreadproblems to inspect cloud-guard-security-scores in tenancy

Autorisé : sur la page Aperçu, afficher :

  • Score de sécurité
  • Score de risque
  • Cliché des problèmes
  • Problèmes regroupés par...
  • Problèmes relatifs aux activités utilisateur
  • Ligne de tendance des nouveaux problèmes

Interdit : sur la page Aperçu, accéder à :

  • Recommandations de sécurité
  • Statut de répondeur
  • Ligne de tendance de score de sécurité
  • Ligne de tendance de résolution

L'accès à toutes les autres pages est également interdit.

 Page Aperçu - Lecture :

(en se limitant à Score de sécurité, Score de risque, Cliché des problèmes, Problèmes regroupés par..., Problèmes relatifs aux activités utilisateur et Ligne de tendance des nouveaux problèmes)

 Oui
Problèmes - Lecture : Non
Problèmes - Gestion : Non
Problèmes - Résolution : Non
Cibles - Lecture : Non
Cibles - Gestion : Non
Recettes et règles de détecteur - Lecture : Non
Recettes et règles de détecteur - Gestion : Non
Activité du répondeur - Lecture : Non
Référence des droits d'accès Cloud Guard

Le tableau suivant récapitule les droits d'accès Cloud Guard disponibles.

Droit d'accès Finalité Portée obligatoire Remarque

cloud-guard-family

Rassemble tous les droits d'accès existants pour Cloud Guard dans un même droit d'accès.

L'utilisation de l'un des métaverbes inspect, read, use ou manage ici accorde les mêmes privilèges pour tous les autres droits d'accès.

Utilisez ce droit d'accès avec précaution.

Location ou compartiment

Nom de droit d'accès commun pour tous les droits d'accès.

cloud-guard-detectors

N'est plus nécessaire. Les données statiques sont disponibles sans autorisation.

N/A

N'est pas utilisé actuellement dans la console.

cloud-guard-targets

Requis afin d'afficher et de gérer les données de cible pour le compartiment ou la location.

Le métaverbe inspect est nécessaire afin de remplir au minimum la liste de sélection pour filtrer les problèmes. Sa portée peut être la location, un compartiment ou plusieurs compartiments.

Le métaverbe read accorde le privilège d'affichage de la configuration de cible.

Le métaverbe use est requis pour mettre à jour une cible créée précédemment.

Le métaverbe manage est requis pour gérer le cycle de vie de la cible.

Recommandé : définissez la portée sur un compartiment pour permettre à l'utilisateur d'effectuer des opérations uniquement dans ce compartiment.

Location ou compartiment

Les données sont utilisées sur la page Cibles, ainsi que pour remplir le champ déroulant afin de filtrer la page Problèmes.

cloud-guard-config

Requis afin d'afficher la configuration Cloud Guard pour la location.

Sans ce droit d'accès, les utilisateurs ne peuvent pas afficher la page Aperçu et les autres pages Cloud Guard. Ils sont redirigés vers la page Activer Cloud Guard.

Le métaverbe inspect permet d'afficher le statut d'activation de Cloud Guard, ainsi que les détails de la région de génération de rapports configurée.

Les métaverbes use et manage doivent être limités aux utilisateurs qui ont besoin d'être en mesure d'activer ou de désactiver Cloud Guard.

Location

Ces données permettent d'identifier le statut de Cloud Guard et les détails de la région de génération de rapports. Tous les appels ultérieurs à partir de la console sont redirigés vers la région de génération de rapports pour l'exécution d'opérations CRUDL.

La région de reporting configurée apparaît sur la page Paramètres.

cloud-guard-managed-lists

Requis afin d'afficher et de gérer les données de liste gérée pour le compartiment ou la location.

Le métaverbe inspect est requis dans la portée de la location si les utilisateurs doivent cloner des listes gérées par Oracle qui existent dans le compartiment racine.

Le métaverbe read est requis pour visualiser la configuration d'une liste gérée, et associer la liste gérée à un groupe conditionnel ou à des paramètres qui existent dans la cible, la recette de détecteur ou la recette de répondeur. Si une liste gérée existe dans la portée de la location, la portée de la stratégie doit être la location. Si une liste gérée existe dans un compartiment, la portée de la stratégie doit être le compartiment.

Le métaverbe use fournit plus de fonctionnalités que read, permettant de modifier la liste gérée existante sur laquelle un accès en lecture est déjà défini.

Le métaverbe manage est requis pour créer une liste gérée et gérer le cycle de vie des listes créées par le client.

Location ou compartiment

Les données sont utilisées sur la page Listes gérées, ainsi que pour renseigner les valeurs associant une liste gérée à des groupes conditionnels ou paramètres qui existent dans les cibles, les recettes de détecteur ou les recettes de répondeur.

cloud-guard-problems

Requis afin d'afficher et d'exécuter des actions sur les problèmes qui existent dans le compartiment ou la location.

Le métaverbe inspect est requis pour afficher les données sur la page Aperçu, ainsi que pour répertorier les problèmes sur la page Problèmes. Sa portée peut être définie sur la location, auquel cas les problèmes identifiés pour tous les compartiments sont visibles. Sa portée peut également être définie sur un compartiment afin de restreindre l'accès aux problèmes pour ce compartiment.

Si votre intention est d'afficher les détails des problèmes, le métaverbe read est requis.

Les métaverbes use et manage doivent être ajoutés à la stratégie si l'utilisateur peut effectuer des actions telles que Marquer comme résolu, Abandonner ou Résoudre sur des problèmes uniques ou multiples.

Location ou compartiment

Les données sont utilisées sur la page Problèmes, ainsi que sur la page Aperçu pour remplir les panneaux suivants :

  • Cliché des problèmes
  • Problèmes relatifs aux activités utilisateur
  • Problèmes regroupés par...
  • Ligne de tendance des nouveaux problèmes

La page d'aperçu requiert au minimum le métaverbe inspect pour afficher les panneaux.

cloud-guard-detector-recipes

Requis afin d'afficher et de gérer les données de recette de détecteur pour le compartiment ou la location.

Si les utilisateurs doivent cloner des recettes gérées par Oracle qui existent dans le compartiment racine, le métaverbe inspect est requis dans la portée de la location.

Le métaverbe read est requis pour afficher une configuration de recette et pour attacher des recettes à une cible. Si des recettes existent dans la portée de la location, la portée de la stratégie doit être la location. Si des recettes existent dans un compartiment, la portée de la stratégie doit être le compartiment.

Le métaverbe use fournit davantage de fonctionnalités pour modifier les groupes conditionnels et d'autres paramètres dans les recettes existantes pour lesquelles les utilisateurs disposent déjà d'un accès en lecture.

Le métaverbe manage est requis pour cloner une recette et gérer le cycle de vie des recettes clonées.

Location ou compartiment

Les données sont utilisées sur la page Recettes de détecteur, ainsi que pour remplir la liste de sélection utilisée lors de l'attachement de la recette de détecteur à une cible.

cloud-guard-responder-recipes

Requis afin d'afficher et de gérer les données de recette de répondeur pour le compartiment ou la location.

Si les utilisateurs doivent cloner des recettes gérées par Oracle qui existent dans le compartiment racine, le métaverbe inspect est requis dans la portée de la location.

Le métaverbe read est requis pour afficher une configuration de recette et pour attacher une recette à une cible. Si des recettes existent dans la portée de la location, la portée de la stratégie doit être la location. Si des recettes existent dans un compartiment, la portée de la stratégie doit être le compartiment.

Le métaverbe use fournit davantage de fonctionnalités pour modifier les groupes conditionnels et d'autres paramètres dans les recettes existantes pour lesquelles les utilisateurs disposent déjà d'un accès en lecture.

Le métaverbe manage est nécessaire pour cloner une recette et gérer le cycle de vie des recettes clonées.

Location ou compartiment

Les données sont utilisées sur la page Recettes de répondeur, ainsi que pour remplir la liste de sélection utilisée lors de l'attachement d'une recette de répondeur à une cible.

cloud-guard-responder-executions

Requis afin d'afficher et de gérer les données d'activité de répondeur pour le compartiment ou la location.

Le métaverbe inspect constitue l'exigence minimale pour renseigner les données sur la page Aperçu et les pages Activité du répondeur.

Le métaverbe read est requis pour afficher des données d'activité de répondeur spécifiques. Non requis dans la console.

Les métaverbes use et manage sont requis pour effectuer des actions comme Ignorer ou Exécuter sur une activité de répondeur spécifique, ou pour ignorer l'exécution de plusieurs activités de répondeur.

Location ou compartiment

Métaverbe inspect :

  • Ces données permettent de remplir le panneau Statut de répondeur et la ligne de tendance de résolution sur la page Aperçu.
  • Ces données sont également utilisées sur la page Activité du répondeur.

Métaverbe read :

  • Non requis pour la console.

Métaverbes use et manage :

  • Requis pour ignorer et exécuter des actions sur une activité de répondeur spécifique, ou pour ignorer en masse plusieurs activités de répondeur.

cloud-guard-recommendations

Requis pour afficher les recommandations qui permettent d'améliorer le score de risque et le score de sécurité associés à la location.

Le métaverbe inspect constitue l'exigence minimale.

Location ou compartiment

Ces données sont visibles sur la page Aperçu du panneau Recommandations de sécurité.

cloud-guard-user-preferences

Requis afin de gérer les préférences utilisateur pour la console Cloud Guard. Actuellement utilisé pour gérer le statut de la visite guidée pour l'utilisateur connecté. L'enregistrement de la préférence utilisateur permet d'ignorer l'invite de poursuite de la visite guidée lors des connexions suivantes.

Le métaverbe inspect constitue l'exigence minimale pour obtenir la préférence de l'utilisateur en cours.

Le métaverbe use ou manage doit également être utilisé pour conserver la préférence.

Location

Ces données sont visibles dans la section Visite guidée de la page Paramètres.

cloud-guard-risk-scores

Requis afin d'afficher les données de score de risque pour la location.

Sans ce droit d'accès, les utilisateurs ne peuvent pas afficher le score de risque associé à la location.

Le métaverbe inspect constitue l'exigence minimale.

Location

Ces données sont visibles sur la page Aperçu du panneau Score de risque.

cloud-guard-security-scores

Requis pour afficher le score de sécurité de la location.

Sans ce droit d'accès, les utilisateurs ne peuvent pas afficher le score de sécurité associé à la location.

Le métaverbe inspect constitue l'exigence minimale.

Location

Ces données sont visibles sur la page Aperçu, dans Classification du score de sécurité et Ligne de tendance de score de sécurité.