Documentazione dell'infrastruttura Oracle Cloud

Guida alla progettazione per l'integrazione SIEM

Uno dei pilastri del Cloud Adoption Framework è la sicurezza. Quando esegui la migrazione di worklad o crei carichi di lavoro ion the cloud, implementa diversi livelli di sicurezza per ridurre il rischio di attacchi. Oracle Cloud Infrastructure (OCI) utilizza la struttura di difesa avanzata (DiD) per proteggere l'infrastruttura cloud a diversi livelli. OCI applica anche l'approccio Zero Trust Security. Per ulteriori informazioni, vedere Approcciare la sicurezza Zero Trust con Oracle Cloud Infrastructure.

Che cos'è la difesa in profondità e perché è importante?

La difesa approfondita è un approccio multilivello alla sicurezza che aiuta a proteggere i dati utilizzando diversi tipi di difese di sicurezza. Se uno strato di difesa fallisce o viene compromesso, altri tipi di difesa mitigano l'attacco e diventano operativi. Ad esempio, se si salvano i dati all'interno di più casseforti con tipi di difesa diversi come biometrico, accesso alla rete e autenticazione, ogni livello di sicurezza aumenta la sicurezza dei dati. Per ogni livello c'è un potenziale sistema di monitoraggio che fornisce una visione completa dello stato di sicurezza per la tua sicurezza.

Allo stesso modo, quando si applica questo concetto alla difesa dei sistemi IT, l'approccio di difesa in profondità protegge tutti i livelli dei sistemi. Ad esempio, il framework DiD offre protezione su computer portatili dei dipendenti, utenti e relative identità, reti che connettono sistemi e applicazioni che proteggono i dati.

Elementi di difesa in profondità

La difesa approfondita si concentra sulle seguenti aree di controllo:

  • Controlli fisici: prevenzione dell'accesso ai sistemi fisici. Il personale di sicurezza in genere rappresenta questo controllo, anziché sistemi biometrici o porte di sicurezza.
  • Controlli tecnici: impedisce l'accesso ai sistemi IT, inclusi hardware e software. Questo controllo include firewall e sistemi di rilevamento delle intrusioni, scanner web, accesso just-in-time, segmentazione della rete e crittografia dei dati. Questo controllo viene implementato anche monitorando i propri sistemi utilizzando le piattaforme di security information and event management (SIEM) e utilizzando piattaforme di sicurezza, orchestrazione, automazione e risposta (SOAR).
  • Controlli amministrativi: misura e verifica la sicurezza attraverso l'implementazione di politiche di sicurezza, valutazione dei rischi per la sicurezza informatica e gestione di dipendenti e fornitori.

Per ulteriori informazioni, vedere Keep Your Data Secure On and Off the Cloud: Defense In-Depth.

Pattern di integrazione SIEM

Per aumentare la reattività agli attacchi alla sicurezza è necessaria una piattaforma SIEM. Tramite i sistemi SIEM, è possibile monitorare gli eventi di sicurezza da diverse origini, ad esempio reti, dispositivi e identità. Puoi anche analizzare questi segnali in tempo reale utilizzando il machine learning per correlare vari segnali e identificare attività minacciose di hacking e eventi di sicurezza irregolari che viaggiano attraverso la rete. Sono disponibili diversi SIEM di terze parti per l'integrazione con log ed eventi prodotti in OCI. Se la tua piattaforma SIEM non è coperta, ti consigliamo di contattare il tuo rappresentante Oracle per ricevere assistenza.

Consolidamento log servizio

Quando integri i sistemi di monitoraggio con OCI, puoi consolidare i log generati in OCI Logging. Il log fornisce l'accesso a tutti i log delle risorse OCI, gestisce completamente tutti i log nella tenancy ed è altamente scalabile. I log includono informazioni di diagnostica critiche che descrivono le prestazioni e l'accesso alle risorse.

Di seguito sono riportati i tipi di log.

  • Log di audit: log correlati agli eventi emessi dal servizio di audit OCI.
  • Log dei servizi: log emessi dai servizi nativi OCI, come gateway API, eventi, funzioni, bilanciamento del carico, storage degli oggetti e log di flusso VCN. Ciascuno di questi servizi supportati include categorie di log predefinite che è possibile abilitare o disabilitare nelle rispettive risorse.
  • Log personalizzati: log contenenti informazioni di diagnostica da applicazioni personalizzate, altri provider cloud o un ambiente in locale. I log personalizzati possono essere inclusi tramite l'API o configurando l'agente di monitoraggio unificato. Puoi configurare un'istanza di OCI Compute per caricare direttamente i log personalizzati tramite Unified Monitoring Agent. I log personalizzati sono supportati negli scenari virtual machine e Bare Metal.

Per ulteriori informazioni su come consolidare i log utilizzando Logging e OCI Service Connector Hub, vedere Consolidamento del log di sicurezza nella zona di destinazione OCI CIS.

Come best practice, acquisisci anche gli eventi generati da Cloud Guard per ottenere dati dettagliati sufficienti da inviare alla tua piattaforma SIEM. Questo processo consente di prepararsi a potenziali problemi di sicurezza.

Per informazioni su come esportare gli eventi generati da Cloud Guard, vedere Integrare Oracle Cloud Guard con sistemi esterni utilizzando eventi e funzioni OCI.

Architettura di riferimento SIEM di terze parti

In un'architettura di riferimento SIEM di terze parti, Logging acquisisce i log da origini diverse, ad esempio log di audit, log di servizio (log di flusso VCN) e log personalizzati. È disponibile un flusso separato per ogni log e ogni log è connesso al relativo flusso con un hub connettore servizio che scrive i log all'interno del servizio di streaming OCI. In parallelo, gli eventi generati da Cloud Guard vengono raccolti e normalizzati tramite una funzione OCI che scrive gli eventi in OCI Streaming.

OCI Streaming può quindi interfacciarsi con una piattaforma SIEM di terze parti, come Splunk o QRadar, che raccoglie i dati in streaming per ulteriori analisi. Per un esempio, vedere implementare un sistema SIEM in Splunk utilizzando i log trasmessi da Oracle Cloud.

Diagramma di un'architettura di riferimento SIEM che mostra l'integrazione di OCI Logging.

L'architettura di riferimento del SIEM include i seguenti componenti dell'architettura.

regione
Un'area geografica OCI è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separare le regioni tra paesi o continenti.
dominio di disponibilità
I domini di disponibilità sono data center standalone e indipendenti all'interno di un'area geografica. Le risorse fisiche in ciascun dominio di disponibilità sono isolate dalle risorse negli altri domini di disponibilità, il che fornisce tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio l'alimentazione o il raffreddamento, o la rete del dominio di disponibilità interno. Di conseguenza, è improbabile che l'errore in un dominio di disponibilità influenzi gli altri domini di disponibilità nell'area.
rete cloud virtuale e sottoreti
Una rete cloud virtuale (VCN) è una rete personalizzabile definita dal software impostata in un'area geografica OCI. Come le tradizionali reti di data center, le reti VCN offrono un controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi segmentare una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. È possibile modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.
Log
Log è un servizio scalabile e completamente gestito che fornisce l'accesso ai log delle risorse nel cloud. I tipi di log includono i log di audit, i log dei servizi e i log personalizzati.
Streaming
Streaming offre un'opzione di storage completamente gestita, scalabile e duratura dedicato all'inclusione di flussi di dati continui e ad elevato volume che puoi utilizzare ed elaborare in tempo reale. La soluzione Streaming può essere utilizzata per includere dati ad elevato volume, quali log dell'applicazione, telemetria operativa, dati di click-stream Web o altri casi d'uso in cui le informazioni vengono prodotte ed elaborate in maniera continua e sequenziale in un modello a pubblicazione/sottoscrizione.
Hub connettore servizio
Service Connector Hub è una piattaforma bus di messaggi cloud che orchestra lo spostamento dei dati tra i servizi in OCI. Puoi utilizzare la piattaforma per spostare i dati tra i servizi OCI. I dati vengono spostati utilizzando i connettori del servizio. Un connettore di servizio specifica il servizio di origine che contiene i dati da spostare, i task da eseguire sui dati e il servizio di destinazione in cui devono essere consegnati i dati al termine dei task.
Oracle Cloud Guard
Cloud Guard ti aiuta a monitorare, identificare, ottenere e mantenere un livello di sicurezza elevato in Oracle Cloud. Utilizzare il servizio per esaminare le risorse OCI per individuare punti deboli nella sicurezza correlati alla configurazione e gli operatori e gli utenti per le attività rischiose. Al momento del rilevamento, Cloud Guard può suggerire, assistere o intraprendere azioni correttive in base alla configurazione.