Protezione della scansione delle vulnerabilità

Questo argomento fornisce informazioni e suggerimenti sulla sicurezza per Oracle Cloud Infrastructure Vulnerability Scanning Service.

La scansione delle vulnerabilità consente di migliorare il livello di sicurezza in Oracle Cloud controllando regolarmente gli host per rilevare potenziali vulnerabilità.

Responsabilità di sicurezza

Per utilizzare Vulnerability Scanning in modo sicuro, scopri le tue responsabilità in materia di sicurezza e conformità.

In generale, Oracle fornisce la sicurezza dell'infrastruttura e delle operazioni cloud, come i controlli di accesso degli operatori cloud e l'applicazione di patch di sicurezza dell'infrastruttura. Sei responsabile della configurazione sicura delle tue risorse cloud. La sicurezza nel cloud è una responsabilità condivisa tra te e Oracle.

Oracle è responsabile dei seguenti requisiti di sicurezza:

Sicurezza fisica: Oracle è responsabile della protezione dell'infrastruttura globale che esegue tutti i servizi offerti in Oracle Cloud Infrastructure. Questa infrastruttura è costituita da hardware, software, networking e strutture che eseguono i servizi Oracle Cloud Infrastructure.
Sicurezza del database: Oracle è responsabile della protezione e dell'applicazione di patch al database utilizzato per memorizzare le risorse di analisi delle vulnerabilità, tra cui ricette di scansione, destinazioni di scansione e risultati di scansione.

In questa pagina sono descritte le responsabilità di sicurezza dell'utente, che includono le aree riportate di seguito.

Controllo dell'accesso: limitare il più possibile i privilegi. Agli utenti dovrebbe essere concesso solo l'accesso necessario per svolgere il proprio lavoro.

Task di sicurezza iniziali

Utilizzare questa lista di controllo per identificare i task eseguiti per proteggere la scansione delle vulnerabilità in una nuova tenancy di Oracle Cloud Infrastructure.

Attività	Ulteriori informazioni
Utilizza i criteri IAM per controllare chi può configurare la scansione delle vulnerabilità e chi può visualizzare i risultati della scansione.	Criteri IAM
Configurare un gateway di servizi per eseguire la scansione delle istanze di computazione che non dispongono di indirizzi IP pubblici.	Sicurezza della rete

Task di sicurezza di routine

Dopo aver iniziato a utilizzare Vulnerability Scanning, utilizzare questa lista di controllo per identificare i task di sicurezza che si consiglia di eseguire regolarmente.

Attività	Ulteriori informazioni
Rispondere alle vulnerabilità rilevate nei report di scansione	Report vulnerabilità host Scansione con Cloud Guard
Eseguire un controllo della sicurezza	Audit

Criteri IAM

Utilizzare i criteri per limitare l'accesso alla scansione delle vulnerabilità.

Una policy specifica chi può accedere alle risorse di Oracle Cloud Infrastructure e come. Per ulteriori informazioni, vedere Funzionamento dei criteri.

Assegnare a un gruppo i privilegi minimi necessari per eseguire le proprie responsabilità. Ogni criterio ha un verbo che descrive le azioni che il gruppo può eseguire. Dal minor numero di accessi al massimo, i verbi disponibili sono: inspect, read, use e manage.

Quando si creano criteri per la scansione delle vulnerabilità, tenere presenti le domande organizzative riportate di seguito.

Esiste un gruppo dedicato responsabile della configurazione della scansione delle vulnerabilità tra le risorse in tutti i compartimenti?
Gli amministratori dei compartimenti sono responsabili della configurazione della scansione delle vulnerabilità per le risorse nei singoli compartimenti?
Esiste un gruppo dedicato che monitora i risultati della scansione per le risorse in tutti i compartimenti e quindi comunica questi risultati ai proprietari dei compartimenti o ai proprietari delle risorse?
Gli amministratori del compartimento monitorano i risultati della scansione per individuare le risorse nei singoli compartimenti e quindi comunicano questi risultati ai proprietari delle risorse?
I proprietari delle risorse richiedono l'accesso ai risultati della scansione?

Per utilizzare la scansione basata su agente per le istanze di computazione (host), è inoltre necessario concedere al servizio di analisi delle vulnerabilità l'autorizzazione per distribuire l'agente Oracle Cloud nelle istanze di destinazione.

Si consiglia di concedere le autorizzazioni DELETE a un set minimo di utenti e gruppi IAM. Questa pratica riduce al minimo la perdita di dati da eliminazioni involontarie da parte di utenti autorizzati o da attori malintenzionati. Assegnare solo le autorizzazioni DELETE agli amministratori della tenancy e del compartimento.

Consenti agli utenti del gruppo SecurityAdmins di eseguire la scansione delle risorse nell'intera tenancy

Un gruppo dedicato è responsabile della configurazione della scansione delle vulnerabilità tra le risorse in tutti i compartimenti.

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Consenti agli utenti del gruppo SalesAdmins di eseguire la scansione delle risorse nel compartimento SalesApps

Gli amministratori del compartimento sono responsabili della configurazione della scansione delle vulnerabilità per le risorse nei singoli compartimenti.

Allow group SalesAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesApps
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesApps

Consenti agli utenti del gruppo SecurityAuditors di visualizzare i risultati della scansione per l'intera tenancy

Un gruppo dedicato monitora i risultati della scansione delle vulnerabilità per individuare le risorse in tutti i compartimenti.

Allow group SecurityAuditors to read vss-family in tenancy

Consenti agli utenti del gruppo SalesAuditors di visualizzare i risultati della scansione nel compartimento SalesApps

Gli amministratori del compartimento monitorano i risultati della scansione per individuare le risorse nei singoli compartimenti.

Allow group SalesAuditors to read vss-family in compartment SalesApps

Per ulteriori informazioni sui criteri di analisi delle vulnerabilità e per visualizzare altri esempi, vedere Analisi dei criteri IAM.

Sicurezza della rete

Utilizzare la scansione delle vulnerabilità per eseguire la scansione delle risorse presenti in subnet private o prive di indirizzi IP pubblici.

Un'istanza di computazione è associata a una VCN (rete cloud virtuale) e a una subnet . Quando crei una subnet in una VCN, per impostazione predefinita la subnet viene considerata pubblica e la comunicazione Internet è consentita. Se un'istanza di cui si desidera eseguire la scansione si trova in una subnet privata o non dispone di un indirizzo IP pubblico, la VCN deve includere un gateway di servizi e una regola di instradamento per il gateway del servizio. Vedere Accesso ai Servizi Oracle: gateway del servizio.

Audit

Individuare i log degli accessi e altri dati di sicurezza per la scansione delle vulnerabilità.

Il servizio di audit registra automaticamente tutte le chiamate API alle risorse Oracle Cloud Infrastructure. È possibile raggiungere gli obiettivi di sicurezza e conformità utilizzando il servizio di audit per monitorare tutte le attività utente all'interno della tenancy. Poiché tutte le chiamate alla console, all'SDK e alla riga di comando (CLI) passano attraverso le nostre API, viene inclusa tutta l'attività da tali origini. I record di audit sono disponibili tramite un'interfaccia API di query autenticata e filtrabile oppure possono essere recuperati come file in batch dallo storage degli oggetti. I contenuti del log di audit includono l'attività che si è verificata, l'utente che l'ha avviata, la data e l'ora della richiesta, nonché l'IP di origine, l'user agent e le intestazioni HTTP della richiesta. Vedere Visualizzazione degli eventi del log di audit.

Ad esempio, è possibile eseguire regolarmente l'audit di tutte le attività API correlate alla creazione, all'aggiornamento e all'eliminazione delle destinazioni di scansione. È possibile cercare i seguenti eventi nel servizio di audit:

CreateHostScanTarget
UpdateHostScanTarget
DeleteHostScanTarget

Esempio di log di controllo

Estratto da un evento CreateHostScanTarget nel servizio di audit.

{
  "eventType": "com.oraclecloud.vulnerabilityScanning.CreateHostScanTarget.begin",
  "cloudEventsVersion": "0.1",
  "eventTypeVersion": "2.0",
  "source": "vulnerabilityScanning",
  "eventId": "<unique_ID>",
  "eventTime": "2021-09-20T13:19:20.046Z",
  "contentType": "application/json",
  "data": {
    "eventGroupingId": "<unique_ID>",
    "eventName": "CreateHostScanTarget",
    "compartmentId": "<unique_ID>",
    "compartmentName": "MyCompartment",
    "resourceName": "MyScanTarget",
    "resourceId": "<unique_ID>",
    "availabilityDomain": "AD3",
    "freeformTags": {},
    "definedTags": {},
    "identity": {
      "principalName": "myuser",
      "principalId": "<unique_ID>",
      "authType": "natv",
      "callerName": null,
      "callerId": null,
      "tenantId": "<unique_ID>",
      "ipAddress": "<IP_address>",
      "credentials": "<credentials>",
      "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36",
      "consoleSessionId": "<unique_ID>"
    },
    ...
  }
}

Per un elenco di tutti gli eventi di analisi delle vulnerabilità, vedere Analisi degli eventi.