Journaux de service Oracle Cloud Infrastructure agrégés à l'aide de SIEM tiers
Lors du déploiement de charges globales sur Oracle Cloud Infrastructure (OCI), l'agrégation des journaux Oracle Cloud Infrastructure Audit, des journaux de service et des événements de sécurité sont des exigences fondamentales.
La centralisation de ces données permet aux organisations d'analyser, de surveiller et de sécuriser leurs locations. Pour les cas d'utilisation de la sécurité, les clients peuvent envoyer ces journaux à une plate-forme SIEM (Security Information and Event Management). Le système SIEM est un outil d'opérations essentiel qui gère la sécurité des ressources cloud. OCI inclut des fonctionnalités natives de détection des menaces, de prévention et de réponse, qui peuvent être utilisées pour implémenter un SIEM efficace.
Pour simplifier le déploiement des informations de journal agrégées dans les régions d'une location, les entreprises peuvent utiliser les outils Infrastructure-as-Code (IaC), y compris Terraform et Ansible. Non seulement ces outils IaC permettent un développement agile, les meilleures pratiques DevOps, ainsi qu'une intégration continue et un déploiement continu, mais ils éliminent également les obstacles, tels que le provisionnement manuel des composants d'infrastructure cloud. Etant donné que IaC est de nature modulaire, chaque élément de code peut être divisé ou combiné pour répondre à plusieurs cas d'utilisation de déploiement, tout en permettant aux cycles de développement logiciel d'être plus efficaces.
Architecture
Cette architecture déploie une topologie similaire dans différentes régions pour capturer les résultats de journal propres à une région, agréger les résultats et les diffuser vers une plate-forme SIEM (Security Information and Event Management).
Le diagramme suivant illustre l'architecture globale. Les vues individuelles des régions Reporting et Abonné sont fournies dans la section Planifier le déploiement.
oci-log-multistream-oracle.zip
L'architecture comprend les composants suivants :
- Location
Une location est une partition sécurisée et isolée qu'Oracle configure dans Oracle Cloud lorsque vous êtes inscrit à Oracle Cloud Infrastructure. Vous pouvez créer, organiser et administrer vos ressources dans Oracle Cloud dans votre location. Une location est synonyme d'entreprise ou d'organisation. Généralement, une entreprise dispose d'une location unique et reflète sa structure organisationnelle dans cette location. Une location unique est généralement associée à un seul abonnement et un seul abonnement ne comporte généralement qu'une seule location.
- Région
Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes des autres régions et de vastes distances peuvent les séparer (dans tous les pays ou même les continents).
- Identity and Access Management (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) est le plan de contrôle d'accès pour Oracle Cloud Infrastructure (OCI) et Oracle Cloud Applications. L'API IAM et l'interface utilisateur vous permettent de gérer les domaines d'identité et les ressources au sein du domaine d'identité. Chaque domaine d'identité OCI IAM représente une solution de gestion des identités et des accès autonome ou une population d'utilisateurs différente.
- Stratégie
Une stratégie Oracle Cloud Infrastructure Identity and Access Management indique qui peut accéder à quelles ressources et comment. L'accès est accordé au niveau du groupe et du compartiment, ce qui signifie que vous pouvez écrire une stratégie qui donne à un groupe un type d'accès spécifique au sein d'un compartiment spécifique ou à la location.
- JournalisationLogging est un service entièrement géré et hautement évolutif qui permet d'accéder aux types de journal suivants à partir de vos ressources dans le cloud :
- Journaux d'audit : journaux relatifs aux événements émis par le service Audit.
- Journaux de service : journaux émis par des services individuels tels que API Gateway, Events, Functions, Load Balancing, Object Storage et les journaux de flux VCN.
- Journaux personnalisés : journaux contenant des informations de diagnostic issues d'applications personnalisées, d'autres fournisseurs de cloud ou d'un environnement sur site.
- Réseau cloud virtuel (VCN) et sous-réseaux
Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux de centre de données traditionnels, les réseaux cloud virtuels vous donnent un contrôle total sur l'environnement réseau. Un réseau cloud virtuel peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après l'avoir créé. Vous pouvez segmenter un réseau cloud virtuel en plusieurs sous-réseaux ciblant une région ou un domaine de disponibilité. Chaque sous-réseau est composé d'une plage contiguë d'adresses qui ne chevauchent pas celles des autres sous-réseaux du réseau cloud virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.
- Liste de sécurité
Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui indiquent la source, la destination et le type de trafic qui doivent être autorisés vers et depuis le sous-réseau.
- Table de routage
Les tables de routage virtuel contiennent des règles pour acheminer le trafic des sous-réseaux vers des destinations en dehors d'un VCN, généralement via des passerelles.
- Calcul
Le service Oracle Cloud Infrastructure Compute vous permet de provisionner et de gérer des hôtes de calcul dans le cloud. Vous pouvez lancer des instances de calcul avec des formes qui répondent à vos besoins en ressources en matière de CPU, de mémoire, de bande passante réseau et de stockage. Après avoir créé une instance de calcul, vous pouvez y accéder en toute sécurité, la redémarrer, associer et détacher des volumes, et y mettre fin lorsque vous n'en avez plus besoin.
- Stockage d'objet
Object Storage offre un accès rapide à de grandes quantités de données structurées et non structurées de tout type de contenu, y compris des sauvegardes de base de données, des données analytiques et du contenu enrichi tel que des images et des vidéos. Vous pouvez stocker les données, puis les extraire directement à partir d'Internet ou de la plate-forme cloud, et ce, en toute sécurité. Vous pouvez adapter le stockage de manière transparente sans subir de dégradation des performances ni de la fiabilité du service. Utilisez le stockage standard pour le stockage "à chaud" auquel vous devez accéder rapidement, immédiatement et fréquemment. Utilisez le stockage d'archive pour un stockage "froid" que vous conservez pendant de longues périodes et que vous accédez rarement ou rarement.
- Connecteurs de service
Oracle Cloud Infrastructure Service Connector Hub est une plate-forme de bus de messages cloud qui orchestre le mouvement des données entre les services dans OCI. Vous pouvez l'utiliser pour déplacer des données entre des services dans Oracle Cloud Infrastructure. Les données sont déplacées à l'aide de connecteurs de service. Un connecteur de service indique le service source qui contient les données à déplacer, les tâches à effectuer sur les données et le service cible auquel les données doivent être fournies une fois les tâches spécifiées terminées.
Vous pouvez utiliser Oracle Cloud Infrastructure Service Connector Hub pour créer rapidement une structure d'agrégation de journalisation pour les systèmes SIEM. Une tâche facultative peut être une tâche de fonction pour traiter les données de la source ou une tâche de filtre de journal pour filtrer les données de journal de la source.
- Cloud Guard
Vous pouvez utiliser Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans Oracle Cloud Infrastructure. Cloud Guard utilise des recettes de détecteur que vous pouvez définir pour examiner vos ressources à la recherche de faiblesses en matière de sécurité et pour surveiller les opérateurs et les utilisateurs à la recherche d'activités à risque. Lorsqu'une erreur de configuration ou une activité non sécurisée est détectée, Cloud Guard recommande des actions correctives et aide à prendre ces actions, en fonction des recettes de répondeur que vous pouvez définir.
- Evénements
Les services Oracle Cloud Infrastructure émettent des événements, qui sont des messages structurés décrivant les modifications apportées aux ressources. Les événements sont émis pour les opérations de création, de lecture, de mise à jour ou de suppression (CRUD), les modifications de l'état de cycle de vie des ressources et les événements système ayant une incidence sur les ressources cloud.
- Audit
Le service Oracle Cloud Infrastructure Audit enregistre automatiquement les appels à toutes les adresses d'API Oracle Cloud Infrastructure prises en charge en tant qu'événements de journal. Actuellement, tous les services prennent en charge la journalisation par Oracle Cloud Infrastructure Audit.
- En streaming
Oracle Cloud Infrastructure Streaming est une solution de stockage entièrement gérée, évolutive et durable destinée à l'inclusion de flux de données continus et volumineux que vous pouvez utiliser et traiter en temps réel. Vous pouvez utiliser Streaming pour l'inclusion de données volumineuses, telles que les journaux d'application, la télémétrie opérationnelle, les données de flux de clics sur le Web, ou pour d'autres cas d'emploi où des données sont produites et traitées de manière continue et séquentielle suivant un modèle d'échange de messages de publication/souscription.
- Data Safe
Oracle Data Safe est un service cloud régional entièrement intégré qui fournit un ensemble complet de fonctionnalités pour la protection des données sensibles et réglementées dans les bases de données Oracle. Data Safe prend également en charge les bases de données sur site, Oracle Exadata Database Service on Cloud@Customer et les déploiements multicloud. Tous les clients Oracle Database peuvent réduire le risque de violation de données et simplifier la conformité en utilisant Oracle Data Safe pour évaluer les risques liés à la configuration et aux utilisateurs, surveiller et auditer l'activité des utilisateurs, ainsi que pour repérer, classer et masquer les données sensibles.