Surveillance et auditage de l'environnement
Assurez-vous d'utiliser les contrôles appropriés pour surveiller et auditer votre environnement
Activer Cloud Guard pour la surveillance
Architecte d'entreprise, Architecte de sécurité
Assurez-vous que Cloud Guard est activé au niveau racine de votre location pour surveiller tous vos compartiments. Oracle Cloud Guard détecte les ressources mal configurées et les activités non sécurisées entre les locataires et fournit aux administrateurs de sécurité la visibilité nécessaire pour trier et résoudre les problèmes de sécurité du cloud. Les incohérences de sécurité peuvent être automatiquement corrigées grâce à des recettes prêtes à l'emploi pour faire évoluer efficacement le centre d'opérations de sécurité. Oracle fournit des récipients de détecteur (un composant Cloud Guard qui identifie les problèmes de sécurité potentiels, en fonction de la configuration ou de l'activité des ressources) pour activer la sécurité d'instance dans Cloud Guard.
La sécurité d'instance est une recette Oracle Cloud Guard qui surveille les hôtes de calcul pour détecter toute activité suspecte. La sécurité des instances fournit une sécurité d'exécution pour les charges de travail dans les hôtes Bare Metal et virtuels Compute. La sécurité des instances étend Cloud Guard de la gestion de la posture de sécurité cloud à la protection des charges de travail cloud. La sécurité des instances garantit que les besoins en matière de sécurité sont satisfaits en un seul endroit, avec une visibilité cohérente et une compréhension globale de l'état de sécurité de l'infrastructure.
Configurer un audit
Architecte d'entreprise, architecte de sécurité
Le service Oracle Cloud Infrastructure Audit enregistre automatiquement les appels vers toutes les adresses d'API publiques Oracle Cloud Infrastructure prises en charge en tant qu'événements de journal.Oracle Cloud Infrastructure Object Storage prend en charge la journalisation des événements associés aux buckets, mais pas les événements associés aux objets. Les événements de journal enregistrés par Oracle Cloud Infrastructure Audit incluent les appels d'API effectués par la console Oracle Cloud Infrastructure, l'interface de ligne de commande, les kits SDK ou vos propres clients personnalisés, ou d'autres services Oracle Cloud Infrastructure. Les informations contenues dans les journaux sont les suivantes :
- Heure à laquelle l'activité d'API s'est produite.
- Source de l'activité.
- Cible de l'activité.
- Type d'action.
- Type de réponse.
Chaque événement de journal inclut un ID d'en-tête, des ressources cible, un horodatage de l'événement enregistré, des paramètres de demande et des paramètres de réponse. Vous pouvez afficher les événements journalisés par Oracle Cloud Infrastructure Audit à l'aide de la console, de l'API ou du kit SDK pour Java. Les données issues des événements peuvent être utilisées pour effectuer des diagnostics, suivre l'utilisation des ressources, surveiller la conformité et collecter des événements associés à la sécurité.
Si vous disposez d'outils tiers ayant besoin d'accéder aux données Oracle Cloud Infrastructure Audit, configurez Service Connector Hub pour copier les données Oracle Cloud Infrastructure Audit vers une banque d'objets, avec une période de conservation appropriée définie.
Audit des stratégies
Architecte d'entreprise, architecte de sécurité
Un auditeur de stratégie peut examiner les stratégies IAM de manière ad hoc à l'aide de la console Oracle Cloud Infrastructure. Plusieurs options peuvent également être utilisées pour générer des rapports de stratégie à des fins d'analyse hors ligne.
Cloud Guard comporte deux recettes de détecteur de configuration et une recette de détecteur d'activité spécifiquement pour les stratégies IAM :
- La stratégie accorde trop de privilèges.
- privilège d'administrateur de location accordé au groupe.
- Stratégie de sécurité modifiée.
Bien que les recettes gérées par Oracle puissent être modifiées, Oracle recommande de les cloner afin de vous permettre de modifier les objets ciblés par ces règles (via l'utilisation de balises ou de compartiments). Cela permet aux environnements de production d'une location de disposer de contrôles plus stricts, tout en assouplissant les restrictions dans les environnements hors production qui résident dans un autre compartiment de la location. Si vous devez vérifier les stratégies IAM à un niveau plus fin, Oracle recommande d'utiliser le détecteur Stratégie de sécurité modifiée pour déclencher un événement qui :
- Déclenche une révision manuelle via la stratégie.
- Appelle une fonction pour effectuer une investigation ou une correction.
Lorsque vous auditez vos stratégies, tenez compte des problèmes potentiels suivants :
- Où vos stratégies sont-elles définies et sont-elles conformes aux normes de votre organisation en matière d'utilisation des compartiments ?
- Audit de l'utilisation des groupes dynamiques. Ces groupes accordent-ils trop de privilèges ?
- Quels sont les services configurés et où se trouvent-ils ? Il se peut que certains services doivent être limités à certains compartiments ou groupes.
- Localisez toute suppression d'instructions en double.
- Identification des stratégies qui accordent des privilèges sur l'ensemble de la location.
- Identification des groupes qui disposent de trop de privilèges.
Oracle Access Governance Cloud Service est une solution native cloud d'identité, de gouvernance et d'administration qui fournit un provisionnement des utilisateurs, des révisions d'accès et des analyses d'identité pour vous aider à définir et à régir les privilèges d'accès. Tirez parti d'informations stratégiques exploitables issues de l'intelligence artificielle/de l'intelligence orientée machine learning pour faciliter l'audit de vos stratégies.
Surveillance des journaux de flux VCN
Architecte d'entreprise, Architecte de sécurité
- Surveillez les détails du trafic qui passe par un VCN.
- Auditez le trafic et dépannez les listes de sécurité.
- Activez et gérez les journaux de flux à partir du centre de commandes réseau.
- Utilisez des filtres de capture pour évaluer et sélectionner le trafic à inclure dans le journal de flux.
- Tirez parti d'Oracle Cloud Infrastructure Logging pour envoyer les informations de journal à un groupe de journaux indiqué.
- Activez les journaux de flux pour toutes les cartes d'interface réseau virtuelles dans un VCN, un sous-réseau, des instances spécifiques à la cible, des équilibreurs de charge réseau ou des cartes d'interface réseau virtuelles de ressource en tant que points d'activation.
Détection continue des vulnérabilités
Architecte d'entreprise, Architecte de sécurité
- Logiciel ou microprogramme obsolète.
- Défauts non corrigés (par exemple, systèmes d'exploitation, logiciels ou plugins non corrigés).
- Paramètres mal configurés.
- Code non sécurisé ou erreurs de programmation.
- Des mots de passe faibles ou des mécanismes d'authentification.
Oracle Vulnerability Scanning Service vous permet d'améliorer l'état de la sécurité dans Oracle Cloud Infrastructure en examinant régulièrement les hôtes à la recherche de vulnérabilités potentielles. Le service génère des rapports avec des mesures et des détails concernant ces vulnérabilités.
Les principales fonctionnalités d'Oracle Vulnerability Scanning Service sont les suivantes :
- Une suite d'analyse simple, activée par défaut, prescriptive et gratuite, étroitement intégrée à la plate-forme Oracle Cloud Infrastructure.
- Modules d'extension et moteurs par défaut basés sur les moteurs d'analyse open source et créés par Oracle Cloud Infrastructure pour l'analyse des hôtes et des conteneurs.
- Oracle Cloud Infrastructure gère le déploiement, la configuration et la mise à niveau de ces moteurs et agents dans l'ensemble du parc client.
- Les problèmes détectés par la suite d'analyse apparaîtront via Oracle Cloud Guard, avec des règles et un ML pour hiérarchiser les vulnérabilités critiques.
- Oracle Cloud Infrastructure prendra des mesures (alerte, réparation automatique ou mise en quarantaine) par le biais de répondeurs afin de réduire le délai entre la détection et la résolution, y compris via des zones de sécurité maximales.
- Intégration avec des scanners de vulnérabilité tiers tels que Qualys Vulnerability Management, Detection and Response.
Journaux de service agrégés sur les plates-formes SIEM
Architecte d'entreprise, architecte de sécurité, architecte de réseau
Les plates-formes SIEM vous permettent de surveiller les événements de sécurité provenant de différentes sources comme les réseaux, les appareils et les identités. Vous pouvez également analyser ces signaux en temps réel à l'aide de l'apprentissage automatique afin de corréler différents signaux et d'identifier les activités de piratage menaçantes et les événements de sécurité anormaux présents sur le réseau.
OCI peut envoyer des journaux et des événements à plusieurs plates-formes SIEM tierces.
En savoir plus
- Meilleures pratiques concernant la sécurité
- Gestion de la posture de sécurité Cloud Guard
- Sécurisation d'IAM
- Fédération IAM
- Recommandations de conception pour l'intégration à des outils SIEM
- Annonce de l'intégration d'OCI VSS avec Qualys
- Vulnerability Scanning
- Oracle Cloud Guard : A propos de la sécurité des instances