Surveillance et auditage de l'environnement

Assurez-vous d'utiliser les contrôles appropriés pour surveiller et auditer votre environnement

Activer Cloud Guard pour la surveillance

Architecte d'entreprise, Architecte de sécurité

Oracle Cloud Guard vous permet d'obtenir une vue unifiée de l'état de sécurité cloud entre les locataires de clients Oracle Cloud Infrastructure.
Les événements Cloud Guard doivent être surveillés par votre équipe de sécurité.

Assurez-vous que Cloud Guard est activé au niveau racine de votre location pour surveiller tous vos compartiments. Oracle Cloud Guard détecte les ressources mal configurées et les activités non sécurisées entre les locataires et fournit aux administrateurs de sécurité la visibilité nécessaire pour trier et résoudre les problèmes de sécurité du cloud. Les incohérences de sécurité peuvent être automatiquement corrigées grâce à des recettes prêtes à l'emploi pour faire évoluer efficacement le centre d'opérations de sécurité. Oracle fournit des récipients de détecteur (un composant Cloud Guard qui identifie les problèmes de sécurité potentiels, en fonction de la configuration ou de l'activité des ressources) pour activer la sécurité d'instance dans Cloud Guard.

La sécurité d'instance est une recette Oracle Cloud Guard qui surveille les hôtes de calcul pour détecter toute activité suspecte. La sécurité des instances fournit une sécurité d'exécution pour les charges de travail dans les hôtes Bare Metal et virtuels Compute. La sécurité des instances étend Cloud Guard de la gestion de la posture de sécurité cloud à la protection des charges de travail cloud. La sécurité des instances garantit que les besoins en matière de sécurité sont satisfaits en un seul endroit, avec une visibilité cohérente et une compréhension globale de l'état de sécurité de l'infrastructure.

Configurer un audit

Architecte d'entreprise, architecte de sécurité

Le service Oracle Cloud Infrastructure Audit enregistre automatiquement les appels vers toutes les adresses d'API publiques Oracle Cloud Infrastructure prises en charge en tant qu'événements de journal.
Actuellement, tous les services prennent en charge la journalisation par Oracle Cloud Infrastructure Audit.

Oracle Cloud Infrastructure Object Storage prend en charge la journalisation des événements associés aux buckets, mais pas les événements associés aux objets. Les événements de journal enregistrés par Oracle Cloud Infrastructure Audit incluent les appels d'API effectués par la console Oracle Cloud Infrastructure, l'interface de ligne de commande, les kits SDK ou vos propres clients personnalisés, ou d'autres services Oracle Cloud Infrastructure. Les informations contenues dans les journaux sont les suivantes :

  • Heure à laquelle l'activité d'API s'est produite.
  • Source de l'activité.
  • Cible de l'activité.
  • Type d'action.
  • Type de réponse.

Chaque événement de journal inclut un ID d'en-tête, des ressources cible, un horodatage de l'événement enregistré, des paramètres de demande et des paramètres de réponse. Vous pouvez afficher les événements journalisés par Oracle Cloud Infrastructure Audit à l'aide de la console, de l'API ou du kit SDK pour Java. Les données issues des événements peuvent être utilisées pour effectuer des diagnostics, suivre l'utilisation des ressources, surveiller la conformité et collecter des événements associés à la sécurité.

Si vous disposez d'outils tiers ayant besoin d'accéder aux données Oracle Cloud Infrastructure Audit, configurez Service Connector Hub pour copier les données Oracle Cloud Infrastructure Audit vers une banque d'objets, avec une période de conservation appropriée définie.

Audit des stratégies

Architecte d'entreprise, architecte de sécurité

Examinez régulièrement vos stratégies pour vous assurer qu'elles respectent les bonnes pratiques de sécurité.

Un auditeur de stratégie peut examiner les stratégies IAM de manière ad hoc à l'aide de la console Oracle Cloud Infrastructure. Plusieurs options peuvent également être utilisées pour générer des rapports de stratégie à des fins d'analyse hors ligne.

Cloud Guard comporte deux recettes de détecteur de configuration et une recette de détecteur d'activité spécifiquement pour les stratégies IAM :

  • La stratégie accorde trop de privilèges.
  • privilège d'administrateur de location accordé au groupe.
  • Stratégie de sécurité modifiée.

Bien que les recettes gérées par Oracle puissent être modifiées, Oracle recommande de les cloner afin de vous permettre de modifier les objets ciblés par ces règles (via l'utilisation de balises ou de compartiments). Cela permet aux environnements de production d'une location de disposer de contrôles plus stricts, tout en assouplissant les restrictions dans les environnements hors production qui résident dans un autre compartiment de la location. Si vous devez vérifier les stratégies IAM à un niveau plus fin, Oracle recommande d'utiliser le détecteur Stratégie de sécurité modifiée pour déclencher un événement qui :

  • Déclenche une révision manuelle via la stratégie.
  • Appelle une fonction pour effectuer une investigation ou une correction.

Lorsque vous auditez vos stratégies, tenez compte des problèmes potentiels suivants :

  • Où vos stratégies sont-elles définies et sont-elles conformes aux normes de votre organisation en matière d'utilisation des compartiments ?
  • Audit de l'utilisation des groupes dynamiques. Ces groupes accordent-ils trop de privilèges ?
  • Quels sont les services configurés et où se trouvent-ils ? Il se peut que certains services doivent être limités à certains compartiments ou groupes.
  • Localisez toute suppression d'instructions en double.
  • Identification des stratégies qui accordent des privilèges sur l'ensemble de la location.
  • Identification des groupes qui disposent de trop de privilèges.

Oracle Access Governance Cloud Service est une solution native cloud d'identité, de gouvernance et d'administration qui fournit un provisionnement des utilisateurs, des révisions d'accès et des analyses d'identité pour vous aider à définir et à régir les privilèges d'accès. Tirez parti d'informations stratégiques exploitables issues de l'intelligence artificielle/de l'intelligence orientée machine learning pour faciliter l'audit de vos stratégies.

Surveillance des journaux de flux VCN

Architecte d'entreprise, Architecte de sécurité

Les journaux de flux VCN capturent les informations sur le trafic réseau pour répondre à vos besoins en matière de surveillance et de sécurité.
Chaque ressource d'un VCN possède une ou plusieurs cartes d'interface réseau virtuelles (VNIC). Les listes de sécurité sont utilisées pour déterminer le trafic autorisé via une VNIC particulière. La carte d'interface réseau virtuelle est soumise à toutes les règles de toutes les listes de sécurité associées à son sous-réseau. Pour vous aider à dépanner les listes de sécurité ou à auditer le trafic entrant et sortant des cartes d'interface réseau virtuelles, vous pouvez configurer les journaux de flux VCN.
  • Surveillez les détails du trafic qui passe par un VCN.
  • Auditez le trafic et dépannez les listes de sécurité.
  • Activez et gérez les journaux de flux à partir du centre de commandes réseau.
  • Utilisez des filtres de capture pour évaluer et sélectionner le trafic à inclure dans le journal de flux.
  • Tirez parti d'Oracle Cloud Infrastructure Logging pour envoyer les informations de journal à un groupe de journaux indiqué.
  • Activez les journaux de flux pour toutes les cartes d'interface réseau virtuelles dans un VCN, un sous-réseau, des instances spécifiques à la cible, des équilibreurs de charge réseau ou des cartes d'interface réseau virtuelles de ressource en tant que points d'activation.

Détection continue des vulnérabilités

Architecte d'entreprise, Architecte de sécurité

Les scanners de vulnérabilité sont des outils logiciels qui aident les entreprises à identifier et à hiérarchiser les vulnérabilités de leurs systèmes informatiques, réseaux, applications et banques de données. Ces scanners analysent le système cible ou l'application à la recherche de faiblesses potentielles, telles que :
  1. Logiciel ou microprogramme obsolète.
  2. Défauts non corrigés (par exemple, systèmes d'exploitation, logiciels ou plugins non corrigés).
  3. Paramètres mal configurés.
  4. Code non sécurisé ou erreurs de programmation.
  5. Des mots de passe faibles ou des mécanismes d'authentification.

Oracle Vulnerability Scanning Service vous permet d'améliorer l'état de la sécurité dans Oracle Cloud Infrastructure en examinant régulièrement les hôtes à la recherche de vulnérabilités potentielles. Le service génère des rapports avec des mesures et des détails concernant ces vulnérabilités.

Les principales fonctionnalités d'Oracle Vulnerability Scanning Service sont les suivantes :

  • Une suite d'analyse simple, activée par défaut, prescriptive et gratuite, étroitement intégrée à la plate-forme Oracle Cloud Infrastructure.
  • Modules d'extension et moteurs par défaut basés sur les moteurs d'analyse open source et créés par Oracle Cloud Infrastructure pour l'analyse des hôtes et des conteneurs.
  • Oracle Cloud Infrastructure gère le déploiement, la configuration et la mise à niveau de ces moteurs et agents dans l'ensemble du parc client.
  • Les problèmes détectés par la suite d'analyse apparaîtront via Oracle Cloud Guard, avec des règles et un ML pour hiérarchiser les vulnérabilités critiques.
  • Oracle Cloud Infrastructure prendra des mesures (alerte, réparation automatique ou mise en quarantaine) par le biais de répondeurs afin de réduire le délai entre la détection et la résolution, y compris via des zones de sécurité maximales.
  • Intégration avec des scanners de vulnérabilité tiers tels que Qualys Vulnerability Management, Detection and Response.

Journaux de service agrégés sur les plates-formes SIEM

Architecte d'entreprise, architecte de sécurité, architecte de réseau

Vous pouvez envoyer vos journaux de service OCI aux plates-formes SIEM (Security Information and Event Management) afin d'accroître votre réactivité aux attaques de sécurité.

Les plates-formes SIEM vous permettent de surveiller les événements de sécurité provenant de différentes sources comme les réseaux, les appareils et les identités. Vous pouvez également analyser ces signaux en temps réel à l'aide de l'apprentissage automatique afin de corréler différents signaux et d'identifier les activités de piratage menaçantes et les événements de sécurité anormaux présents sur le réseau.

OCI peut envoyer des journaux et des événements à plusieurs plates-formes SIEM tierces.