1. Activer Oracle Cloud Infrastructure Scanning pour protéger vos hôtes
  2. Activer l'analyse de vulnérabilité OCI pour protéger vos hôtes

Activer l'analyse de vulnérabilité OCI pour protéger vos hôtes

Pour vous assurer que les hôtes que vous déployez vers Oracle Cloud Infrastructure (OCI) sont exempts de vulnérabilités aujourd'hui et à l'avenir, vous devez activer le service VSS (Vulnerability Scanning Service) et, dans chacune de vos régions, créer des cibles pour toutes vos instances VM et Bare Metal.

Utilisez les fonctionnalités de reporting VSS pour vérifier les niveaux de risque actuels de vos hôtes dans chaque région, ou consultez ces résultats et prendre des mesures avec Cloud Guard.

Une fois les hôtes analysés, vous pouvez trier et filtrer les hôtes les plus touchés ou trouver les hôtes dont ils sont responsables. Le service rassemblera les dernières vulnérabilités et expositions communes (CVE) à partir des flux open source de la base de données nationale sur la vulnérabilité - NVD et RedHat. Il met ensuite ces données en correspondance avec les packages installés sur les hôtes pour permettre au service de signaler le risque de sécurité et de fournir des liens vers la base de données nationale sur la vulnérabilité (NVD) avec des détails sur les patches qui doivent se produire.

Les scores de base CVSS (Common Vulnerability Scoring Systems) de chaque CVE correspondant sont mappés avec les niveaux de risque (Critical, High, Medium, Low and None) utilisés dans Oracle Cloud Guard. Cette correspondance reflète la façon dont NVD mappe les notations v3.0 CVSS avec la gravité des risques.

Toutes les constatations seront transmises aux flux d'événements et de journalisation et seront utilisées par d'autres systèmes, par exemple un SIEM. Vous pouvez également visualiser les résultats dans Cloud Guard, où vous pouvez décider quel niveau de risque doit être marqué comme un problème par rapport à un hôte ou quels ports ouverts doivent également être un problème par rapport à un hôte.

Architecture

Cette architecture décrit comment VSS peut fournir des informations critiques sur vos hôtes et leurs cibles.

VSS scanne vos hôtes à l'aide de notre module d'extension, qui s'exécute tranquillement sur chaque hôte avec l'agent Oracle Cloud. Le service permet également à toutes les adresses IP publiques de recueillir des informations sur les ports, ce qui permet à VSS de recueillir ces constatations en vue de produire des rapports à partir de notre service et de les transmettre à la journalisation, aux événements et à Cloud Guard.

Oracle Cloud Infrastructure Registry (OCIR) tirera parti du moteur de scanner de conteneurs VSS pour trouver les paquets vulnérables utilisés par les images scannées. Actuellement, cette numérisation de conteneurs ne peut être activée et visualisée que dans OCIR.

VSS ne scanne pas activement vos hôtes tant que vous n'avez pas effectué les étapes de configuration répertoriées sous Activation dans la rubrique "Considérations". Vous pouvez cibler vos hôtes pour les scanner comme décrit ici.

Ce diagramme architectural illustre comment configurer l'analyse de vulnérabilité à l'échelle régionale, puis visualiser les problèmes dans Cloud Guard dans une région globale.

Description de vulnerability_scan_arch.png ci-après
Description de l'image vulnerability_scan_arch.png

Le client OCI crée des cibles pour analyser toutes les instances Compute dans les compartiments B et C. Ces machines virtuelles (VM) sont analysées périodiquement pour les CVE, les benchmarks CIS et les ports ouverts. Les clients peuvent ensuite visualiser les constatations à l'aide des rapports du service de numérisation ou de la console de reporting régionale Cloud Guard. Généralement, les équipes DEV et QA souhaitent afficher les résultats de leurs compartiments spécifiques avant de déployer leurs applications dans le compartiment de production. Cela leur permet de patcher tous leurs serveurs dans les compartiments de pré-production, de tester que tout fonctionne correctement et de vérifier que les vulnérabilités sont résolues avant que l'application ne soit libérée sur les serveurs de production. Le groupe d'opérations surveillera généralement les problèmes dans Cloud Guard de toutes les régions, puis informera les différentes équipes qu'elles doivent prendre des mesures correctives dans leurs compartiments, car elles trouvent un problème grave qui nécessite une attention particulière.

  • Région

    Une région Oracle Cloud Infrastructure est une zone géographique localisée contenant un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes des autres régions et de vastes distances peuvent les séparer (d'un pays à l'autre ou même d'un continent à l'autre).

  • Domaines de disponibilité

    Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui offre une tolérance aux pannes. Les domaines de disponibilité ne partagent pas d'infrastructure telle que l'alimentation ou le refroidissement, ni le réseau de domaine de disponibilité interne. Il est donc peu probable qu'un échec dans un domaine de disponibilité affecte les autres domaines de disponibilité de la région.

  • Domaines d'erreur

    Un domaine de pannes est un regroupement de matériel et d'infrastructure au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes dotés d'une alimentation et d'un matériel indépendants. Lorsque vous distribuez des ressources dans plusieurs domaines de panne, vos applications peuvent tolérer les pannes physiques du serveur, la maintenance du système et les pannes d'alimentation dans un domaine de panne.

  • Réseau cloud virtuel (VCN) et sous-réseaux

    Un VCN est un réseau personnalisé et défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux de datacenters traditionnels, les VCN vous donnent un contrôle complet sur votre environnement réseau. Un VCN peut avoir plusieurs blocs CIDR sans chevauchement que vous pouvez modifier après avoir créé VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être étendus à une région ou à un domaine de disponibilité. Chaque sous-réseau se compose d'une plage d'adresses contiguë qui ne chevauchent pas les autres sous-réseaux de VCN. Vous pouvez modifier la taille d'un sous-réseau après la création. Un sous-réseau peut être public ou privé.

  • Equilibreur de charge

    Le service Oracle Cloud Infrastructure Load Balancing fournit une distribution automatisée du trafic à partir d'un point d'entrée unique vers plusieurs serveurs dans le back-end.

  • Scanner les recettes

    Utilisez des recettes de balayage pour définir la quantité et le type de balayage que vous souhaitez effectuer par rapport à vos hôtes. Par défaut, la numérisation est effectuée quotidiennement et utilise l'agent de l'hôte pour rechercher des problèmes détaillés.

  • Analyser les cibles
    Utilisez des cibles de balayage pour définir où vous souhaitez que la numérisation se produise ; soit tous les hôtes d'un compartiment et de l'ensemble de son sous-compartiment, soit un ensemble d'hôtes spécifiques. Le service de numérisation prendra en charge les images de base de calcul OCI suivantes :
    • Oracle Linux
    • CentOS
    • Ubuntu
    • Serveur Windows Oracle Linux, CentOS, Ubuntu et Windows Server
    Cela signifie également que toute image personnalisée basée sur l'un de ces systèmes d'exploitation sera également analysée. La plupart des images Oracle disponibles pour les clients OCI sont également créées à partir de ces images de base, ce qui permet de scanner un grand nombre d'images. Pour ce faire, un module d'extension de numérisation associé à l'agent Oracle Cloud est placé sur chaque hôte. L'agent Cloud garantit que chaque plugin s'exécute petit et léger afin que les clients ne soient jamais touchés par un plugin. Le plugin de numérisation pourra recueillir des informations sur les paquets installés, le statut de référence du SIC et les ports ouverts à partir de l'intérieur de l'hôte et transmettre les conclusions au service régional pour information.
  • Cloud Guard

    Utilisez Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans OCI. Vous définissez les recettes de détecteur que Cloud Guard utilise pour examiner les faiblesses de sécurité de vos ressources et pour surveiller les opérateurs et les utilisateurs pour les activités à risque. Lorsqu'une erreur de configuration ou une activité non sécurisée est détectée, Cloud Guard recommande des actions correctives et aide à prendre ces actions, en fonction des recettes de répondeur que vous pouvez définir.

Recommandations

Utilisez les recommandations suivantes comme point de départ pour activer VSS. Vos exigences peuvent différer de l'architecture décrite ici.
  • VCN

    Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher à des sous-réseaux dans VCN. Utilisez les blocs CIDR qui se trouvent dans l'espace d'adresse IP privé standard.

    Sélectionnez des blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur site ou un autre fournisseur cloud) auquel vous souhaitez configurer des connexions privées.

    Une fois que VCN a été créé, vous pouvez modifier, ajouter et enlever ses blocs CIDR.

    Lorsque vous concevez les sous-réseaux, tenez compte de vos besoins en matière de flux de trafic et de sécurité. Attachez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, qui peut servir de limite de sécurité.

  • Scanner la recette

    Lorsque vous créez une recette d'analyse, activez la numérisation basée sur l'agent (par défaut) afin que VSS ait accès à toutes les informations d'hôte possibles ; sinon VSS ne peut inspecter que les informations relatives aux ports ouverts sur vos adresses IP publiques.

  • Cible d'analyse
    Créez une cible pour toute la location en spécifiant votre compartiment racine. Cela inclut automatiquement toutes les ressources dans le compartiment racine et tous les sous-compartiments.

    Note :

    Si vous créez des cibles pour des compartiments spécifiques et/ou des instances Compute spécifiques, VSS n'analysera aucun nouveau compartiment et instances à moins de les ajouter explicitement aux cibles.

Remarques

Lorsque vous activez VSS, tenez compte des points suivants :

  • Performances

    Les hôtes et les ports sont analysés au moins une fois par jour.

  • Sécurité

    Découvrez les vulnérabilités, les ports ouverts et les mauvaises configurations sur vos hôtes dès que possible. Utilisez la console VSS pour suivre les tendances tout en obtenant des alertes de Cloud Guard.

  • Disponibilité

    VSS est disponible dans toutes les régions.

  • Coût

    Il n'y a aucun coût pour l'utilisation du module d'extension OCI sur chaque balayage d'hôte et de port de vos adresses IP publiques.

  • Limites

    Par défaut, vous pouvez créer jusqu'à 100 recettes d'analyse et 200 cibles d'analyse. Si vous avez un besoin au-delà de ces tailles, alors vous devrez parler au service à la clientèle sur l'augmentation possible de vos limites de numérisation.

  • Activation
    VSS est disponible pour être utilisé dans toutes les régions, mais les clients devront activer quelques choses pour faire scanner leurs hôtes. Une fois les étapes suivantes terminées, les clients surveilleront ensuite les vulnérabilités et les mauvaises configurations dans VSS ou GC. Le client devra :
    1. Créez des stratégies IAM qui permettent au service Scanning d'exécuter notre module d'extension et de collecter des informations sur les instances Compute.
    2. Créez des stratégies IAM qui permettent à leurs administrateurs de créer et de gérer des recettes et des cibles d'analyse.
    3. Créez une ou plusieurs recettes d'analyse.
    4. Créez au moins une cible d'analyse.
    5. Configurez les détecteurs de numérisation dans Cloud Guard afin que les utilisateurs soient informés des vulnérabilités de l'hôte.
      1. Configurez le niveau de risque CVE qui se traduit par un problème dans Cloud Guard et le niveau de risque pour ce problème donné.
      2. Indiquez quels ports ouverts doivent être considérés comme un problème dans Cloud Guard et quel niveau de risque doit être pour ce problème donné.
  • Stratégies IAM
    VSS a besoin des polices IAM suivantes :
    allow group Your Group to manage vss-family in tenancy
allow service vulnerability-scanning-service to read compartments in tenancy
allow service vulnerability-scanning-service to manage instances in tenancy
allow service vulnerability-scanning-service to read vnics in tenancy  
allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Explorer plus

Pour en savoir plus sur l'analyse de vulnérabilité et les vulnérabilités OCI, reportez-vous aux ressources suivantes :