1. Sécuriser et surveiller Oracle Identity Cloud Service
  2. En savoir plus sur la sécurisation et la surveillance d'Oracle IDCS

En savoir plus sur la sécurisation et la surveillance d'Oracle IDCS

Vous pouvez exploiter le nouveau service Logging Analytics avec d'autres services Oracle Cloud Infrastructure (OCI) pour obtenir des informations sur la sécurité et la gouvernance à partir d'une instance Oracle Identity Cloud Service (IDCS). Ce livre de jeux vous montre comment utiliser une fonction sans serveur pour automatiser le processus de collecte des journaux d'audit à partir d'IDCS et de chargement dans Log Analytics pour analyse.

Oracle Functions est une plate-forme Functions-as-a-Service entièrement gérée, sans serveur et hautement évolutive basée sur Oracle Cloud Infrastructure et optimisée par le moteur de projet Fn open source. Les développeurs peuvent utiliser Oracle Functions pour écrire et déployer du code qui apporte de la valeur ajoutée à l'entreprise sans se soucier du provisionnement ou de la gestion de l'infrastructure sous-jacente. Oracle Functions est natif en conteneur, avec des fonctions packagées en tant qu'images de conteneur Docker.

Architecture

Dans cette architecture, la fonction appelle l'API IDCS pour collecter les journaux, puis appelle l'API Log Analytics pour le charger dans Log Analytics. Elle utilise API Gateway et Health Check pour programmer l'exécution de la fonction toutes les cinq minutes. Il stocke le statut en cours dans un bucket Object Storage. Ce diagramme présente la topologie et le flux de données permettant d'obtenir des informations sur la sécurité et la gouvernance à partir d'une instance Oracle IDCS.
Description de l'image secure-monitor-idcs-arch.png ci-après
Description de l'illustration secure-monitor-idcs-arch.png

secure-monitor-idcs-arch-oracle.zip

  • Région

    Une région Oracle Cloud Infrastructure est une zone géographique précise qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes des autres régions, et de grandes distances peuvent les séparer (entre les pays ou même les continents).

  • Compartiment

    Les compartiments sont des partitions logiques inter-région au sein d'une location Oracle Cloud Infrastructure. Utilisez des compartiments pour organiser vos ressources dans Oracle Cloud, contrôler l'accès aux ressources et définir des quotas d'utilisation. Pour contrôler l'accès aux ressources d'un compartiment donné, vous définissez des stratégies qui indiquent qui peut accéder aux ressources et les actions réalisables.

  • Réseau cloud virtuel (VCN) et sous-réseaux

    Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Tout comme les réseaux de centres de données traditionnels, les réseaux cloud virtuels vous donnent un contrôle total sur votre environnement réseau. Un VCN peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être ciblés vers une région ou vers un domaine de disponibilité. Chaque sous-réseau se compose d'une plage contiguë d'adresses qui ne chevauchent pas les autres sous-réseaux du VCN. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

  • API Gateway

    Le service API Gateway permet de publier des API avec des adresses privées accessibles à partir de votre réseau, et que vous pouvez exposer au réseau Internet public si nécessaire. Les adresses prennent en charge la validation d'API, la transformation des demandes et des réponses, CORS, l'authentification et l'autorisation, ainsi que la limitation des demandes.

  • Fonction

    Oracle Functions est une plate-forme Functions-as-a-Service (FaaS) entièrement gérée, colocative, hautement évolutive et à la demande. Il est optimisé par le moteur open source du projet Fn. Les fonctions vous permettent de déployer votre code, en l'appelant directement ou en le déclenchant en réponse à des événements. Oracle Functions utilise des conteneurs Docker hébergés sur Oracle Cloud Infrastructure Registry.

  • Object Storage

    Object Storage offre un accès rapide à de grandes quantités de données structurées et non structurées de tout type de contenu, notamment des sauvegardes de base de données, des données analytiques et des contenus enrichis tels que des images et des vidéos. Vous pouvez stocker les données, puis les extraire directement à partir d'Internet ou de la plate-forme cloud, et ce, en toute sécurité. Vous pouvez faire évoluer le stockage de manière transparente sans subir de dégradation des performances ou de la fiabilité du service. Utilisez le stockage standard pour le stockage "à chaud" auquel vous devez accéder rapidement, immédiatement et fréquemment. Utilisez le stockage d'archives pour le stockage "à froid" que vous conservez pendant de longues périodes et auquel vous accédez rarement.

  • Logging Analytics

    Logging Analytics est un service régional SaaS entièrement géré disponible dans plus de 27 régions qui permet la collecte, l'indexation, l'enrichissement, les requêtes, la visualisation et la génération d'alertes pour les journaux de tout composant informatique exécuté sur site, OCI ou sur le cloud tiers.

  • Vault

    Vault est un service de gestion des clés utilisé pour crypter les mots de passe et les clés secrètes client

Avant de commencer

Pour effectuer les étapes de ce livre de jeux, vous devez préparer l'application IDCS OAuth pour les appels d'API et préparer l'environnement OCI.

Examiner les recommandations de déploiement et d'utilisation

Vos exigences peuvent différer de l'architecture décrite ici. Utilisez ces recommandations comme point de départ.
  • Groupes de journaux

    Définir plusieurs groupes de journaux afin de fournir les autorisations d'accès appropriées à différentes équipes et d'éviter le partage de données sensibles.

  • Gestion des coûts

    Le service Logging Analytics est facturé sur le volume de données dans le stockage actif et le stockage d'archivage. Pour permettre le dépannage des problèmes quotidiens et bénéficier des avantages de la détection d'anomalies, de la détection de modèles et d'autres fonctionnalités d'apprentissage automatique, Oracle recommande d'utiliser une période de stockage active de 90 jours et de déplacer les journaux de plus de 90 jours vers le stockage d'archivage. Les journaux d'archivage stockés peuvent être rapidement rappelés à la demande.

Considérations relatives au déploiement et à l'utilisation

Lors de la conception d'une pile d'applications hautement disponible dans le cloud, tenez compte des facteurs suivants :

  • Performances

    Les performances des requêtes sont basées sur la période et le nombre d'opérations telles que les filtres, les regroupements, etc. Pour améliorer les performances des requêtes, Oracle recommande d'enrichir les journaux avec des libellés et des champs spécifiques au moment de l'assimilation.

  • Sécurité et RBAC.

    Personnaliser les définitions de source de journal pour filtrer les données d'informations d'identification personnelle et activer l'enrichissement de la géolocalisation. Disponibilité : Logging Analytics est un service SaaS hautement géré et disponible. L'application Deploy Oracle Cloud Infrastructure Logging Analytics est disponible en tant que pile dans Oracle Cloud Marketplace.

Préparation de l'application IDCS OAuth pour l'appel d'API

Pour appeler l'API IDCS à l'aide d'un ID/d'une clé secrète client, vous devez créer une application personnalisée dans IDCS et générer un ID/une clé secrète client. Veillez à enregistrer l'URL IDCS, l'ID client et la clé secrète.

Dans cette procédure, vous allez créer une application client qui utilise un jeton pour employer les API REST IDCS. Cela évite d'entrer votre nom d'utilisateur et votre mot de passe pour authentifier la fonction que vous allez créer ultérieurement dans cet exercice.
  1. Dans la console IDCS, sélectionnez Applications, cliquez sur Ajouter, puis sélectionnez Application confidentielle.
  2. Attribuez un nom à l'application et cliquez sur Suivant.
    La fenêtre Configuration apparaît.
  3. Vérifiez les types d'octroi autorisés et le propriétaire de ressource, puis accordez au client l'accès à l'administrateur Identity Cloud Service en ajoutant le rôle d'administrateur de domaine d'identité à l'application. Cliquez sur Suivant.
  4. Cochez Appliquer l'octroi en tant qu'autorisation et cliquez sur Suivant, puis sur Terminer.
    Une fenêtre contextuelle indiquant l'ID client et la clé secrète client apparaît.
  5. Copiez l'ID client et la clé secrète client, car vous en aurez besoin ultérieurement.

Préparation de l'environnement OCI

Vous devez ensuite préparer l'environnement OCI en vous assurant de disposer des droits d'accès appropriés et des ressources nécessaires pour effectuer les tâches.

Assurez-vous que vous disposez des éléments suivants :
  • Droits d'accès permettant de gérer les types de ressource suivants dans votre location Oracle Cloud Infrastructure :
    • Réseaux cloud virtuels
    • Passerelles Internet
    • Tables de routage
    • Listes de sécurité
    • Sous-réseaux
    • Fonctions
    • Passerelles d'API
    • Health Checks
  • Quota suffisant pour créer les ressources suivantes :
    • 1 VCN
    • 1 Sous-réseaux
    • 1 passerelle Internet
    • 1 Règles de routage
    • 1 fonction
    • 1 Groupe dynamique
    • 1 stratégie
    • 1 API Gateway
    • 1 Vérification de l'état

Découvrir les tableaux de bord définis par Oracle

Les tableaux de bord IDCS Audit Logs et IDCS Admin Governance définis par Oracle sont automatiquement créés dans votre service Logging Analytics lors du déploiement de la pile Terraform. Ces tableaux de bord vous permettent d'afficher vos données d'analyse dans un seul et même panneau, ce qui est utile pour surveiller de près les activités de l'application cloud, détecter les événements anormaux et gérer les actions d'administration.

Comprendre le tableau de bord des journaux d'audit IDCS

Le tableau de bord des journaux d'audit IDCS récapitule les informations d'audit, à l'aide de widgets, dans un seul panneau avec des graphiques et des visualisations, en fonction de votre sélection de la période. Vous obtenez ainsi une vue d'ensemble des différentes activités de l'application et de l'utilisateur au cours de la période sélectionnée.

Le tableau de bord des journaux d'audit IDCS récapitule les données suivantes :
  • Total de (pour l'application)

    Nombre d'événements d'application et d'utilisateurs.

  • Evénements d'application

    Graphique illustrant l'enregistrement périodique des événements d'application

  • Total de (pour l'utilisateur)

    Nombre d'événements d'application et d'utilisateurs.

  • Evénements utilisateur

    Graphique illustrant l'enregistrement périodique des événements utilisateur

  • Evénements par application par type

    Visualisation d'une arborescence d'événements regroupés par type d'événement pour chaque application.

  • Evénements par utilisateur par type

    Visualisation d'une arborescence d'événements regroupés par type d'événement pour chaque utilisateur

  • Repartition par application

    Graphique à secteurs présentant la répartition du nombre d'événements regroupés par application.

  • Repartition par type d'événement (pour l'application)

    Graphique à secteurs regroupant le nombre d'événements par type d'événement uniquement pour les événements d'application.

  • Repartition par utilisateur

    Graphique à secteurs présentant la répartition du nombre d'événements, regroupés par utilisateur.

  • Repartition par type d'événement (pour l'utilisateur)

    Graphique à secteurs affichant le nombre d'événements regroupés par type d'événement uniquement pour les événements utilisateur.

Comprendre le tableau de bord Gouvernance d'administration d'IDCS

Le tableau de bord Gouvernance d'administration IDCS présente la perspective parallèle pour les actions d'administration réussies et ayant échoué par utilisateur, dans la période indiquée. Ce tableau de bord fournit un aperçu de toutes les activités administratives et des informations sur les actions réussies et en échec. Pour effectuer une analyse descendante, vous pouvez ouvrir les visualisations dans l'explorateur de journaux et cliquer sur les événements exacts pour déterminer la cause principale.
Le tableau de bord Gouvernance d'administration d'IDCS présente les fonctionnalités suivantes :
  • Visualisation des liens des événements impliquant une action d'administration réussie ou en échec d'un utilisateur regroupés par type d'événement et par utilisateur. Chaque bulle du graphique représente un groupe d'événements d'un type spécifique par un utilisateur particulier. Cette visualisation est utile pour identifier les activités anormales.
  • Visualisation de la carte d'arborescence des événements impliquant une action d'administration réussie ou en échec de l'utilisateur regroupés par type d'événement et par utilisateur. Pour chaque utilisateur, un ensemble de rectangles représentant les événements d'action d'administration réussis s'affiche. La visualisation est utile pour visualiser les activités d'administration de chaque utilisateur.
  • Vue d'histogramme empilée du nombre d'événements correspondants répartis sur la période sélectionnée. Les différentes couleurs de chaque barre représentent les événements pour différents utilisateurs.
  • Analyse tabulaire des événements pour lesquels des rôles ont été accordés à des utilisateurs spécifiques pour des applications spécifiques.