Documentazione dell'infrastruttura Oracle Cloud

Concetti di Cloud Guard

Comprendere i componenti e la terminologia di Cloud Guard.

Cloud Guard esamina le risorse Oracle Cloud Infrastructure per rilevare eventuali punti deboli della sicurezza correlati alla configurazione e per individuare attività rischiose per operatori e utenti. Al momento del rilevamento, Cloud Guard può suggerire, assistere o intraprendere azioni correttive, in base alla configurazione.

Il diagramma riportato di seguito fornisce una panoramica di alto livello del flusso del sistema Cloud Guard. È possibile fare riferimento a questo diagramma durante l'esame dei concetti di Cloud Guard le cui definizioni seguono.

Immagine del flusso di sistema di alto livello in Cloud Guard

Suggerimento

Guarda un introduzione video al servizio Cloud Guard.

Questi termini sono importanti da comprendere quando si utilizza Cloud Guard:

Oggetto
Definisce l'ambito di ciò che Cloud Guard deve controllare. Per Oracle Cloud Infrastructure, questo ambito è legato al compartimento in cui è definita la destinazione e a tutti i compartimenti figlio da quel punto fino a quando non viene rilevata un'altra destinazione. L'altra destinazione rilevata subentra da tale punto in qualsiasi compartimento discendente.
  • Una destinazione può essere composta dall'intera tenancy OCI (destinazione nel compartimento principale).
  • Per monitorare i criteri IAM, il compartimento radice deve essere una destinazione.
  • Quando si abilita Cloud Guard, è necessario specificare almeno una destinazione. È possibile modificare tale destinazione e definirne altre in un secondo momento.
  • Le destinazioni non possono sovrapporsi e a un compartimento e alle relative risorse viene applicata una singola destinazione alla volta.
  • Un compartimento (e i relativi elementi figlio) può essere esentato dai controlli se viene dichiarato una destinazione, ma è necessario che non vi siano applicate recipe del rilevatore.
Rilevatore
Esegue controlli e identifica potenziali problemi di sicurezza in base al tipo e alla configurazione.
Recipe del rilevatore
Fornisce le baseline per l'esame delle risorse e delle attività nella destinazione.
Ricetta del rilevatore gestita da Oracle
  • Fornito da Cloud Guard.
  • Consente di impostare solo l'ambito delle risorse per le quali una regola attiva un problema.
  • Non consente di disabilitare le regole o modificare il livello di rischio di una regola.
  • Può essere aggiornato per includere nuove impostazioni e impostazioni in qualsiasi momento.

    Monitorare le note di rilascio di Cloud Guard per visualizzare questi aggiornamenti.

Ricetta del rilevatore gestita dall'utente
  • Creato mediante la duplicazione di una ricetta gestita da Oracle.
  • Consente di impostare l'ambito delle risorse per le quali una regola attiva un problema.
  • Consente inoltre di disabilitare singole regole e modificare il livello di rischio di una regola.
ricetta del rilevatore di attività OCI
Set di regole progettato specificamente per rilevare azioni sulle risorse che potrebbero rappresentare un problema di sicurezza.
Recipe del rilevatore di configurazione OCI
Set di regole progettato specificamente per rilevare le impostazioni di configurazione delle risorse che potrebbero rappresentare un problema di sicurezza.
Ricetta del rilevatore di sicurezza dell'istanza OCI
Set di regole progettato in modo specifico per fornire sicurezza runtime per i carichi di lavoro negli host virtuali e Bare Metal di computazione.
ricetta del rilevatore di minacce OCI
Set di regole progettato specificamente per rilevare modelli sottili di attività nel tuo ambiente che potrebbero essere in fase di sviluppo per porre un problema di sicurezza.
Regola del rilevatore
Fornisce una definizione specifica di una classe di risorse, con azioni o configurazioni specifiche, che causano la segnalazione di un problema da parte di un rilevatore. Una ricetta del rilevatore è costituita da più regole del rilevatore. Se viene attivata una regola, il rilevatore segnala un problema. Ogni regola in una ricetta del rilevatore può essere configurata singolarmente.
problema
Qualsiasi azione o impostazione di una risorsa che potrebbe causare un problema di sicurezza. Cloud Guard monitora l'attività di rete della tenancy Oracle Cloud Infrastructure per identificare e risolvere i problemi. Problemi:
  • Vengono creati quando Cloud Guard rileva una deviazione da una regola del rilevatore.
  • Sono definiti dal tipo di rilevatore che li crea: attività o configurazione.
  • Contiene i dati relativi al tipo specifico di problema trovato.
  • Può essere risolto, chiuso o corretto.
rispondente
Azione che Cloud Guard può eseguire quando un rilevatore ha identificato un problema. Le azioni disponibili sono specifiche della risorsa. I rispondenti sono strutturati in modo simile ai rilevatori:
Recipe del rispondente
Definisce l'azione o il set di azioni da eseguire in risposta a un problema identificato da un rilevatore.
Ricetta del rispondente gestita da Oracle
  • Fornito da Cloud Guard.
  • Non consente di disabilitare le regole.
  • Può essere aggiornato per includere nuove impostazioni e impostazioni in qualsiasi momento.

    Monitorare le note di rilascio di Cloud Guard per visualizzare questi aggiornamenti.

Ricetta del rispondente gestita dall'utente
  • Creato mediante la duplicazione della ricetta gestita da Oracle.
  • Consente di disabilitare singole regole e modificare il livello di rischio di una regola.
Regola del rispondente
Definisce le azioni specifiche da intraprendere. Se viene attivata una regola del rispondente, viene attivato il rispondente. Ogni regola in una ricetta del rilevatore può essere configurata singolarmente.
Cloud Guard fornisce un set di rispondenti con regole predefinite. È possibile utilizzare questi rispondenti così com'è. È possibile duplicare uno qualsiasi dei rispondenti predefiniti e modificare le regole per soddisfare esigenze specifiche. È possibile abilitare e disabilitare le regole del rispondente singolarmente. È possibile limitare l'ambito di applicazione delle singole regole specificando le condizioni per limitare l'ambito.
Lista gestita
Un elenco riutilizzabile di parametri che semplifica l'impostazione dell'ambito per le regole rilevatore e rispondente. Ad esempio, un elenco predefinito "Spazio indirizzi IP Oracle attendibile" contiene tutti gli indirizzi IP Oracle che si desidera considerare attendibili quando si definiscono regole per rilevatori e rispondenti.
Aree in Cloud Guard
L'attività monitorata da Cloud Guard può verificarsi in due tipi di aree:
Area report
Area predefinita per la tenancy Cloud Guard. La prima area definita quando la tenancy Cloud Guard è stata abilitata.
Nota

L'area di generazione report selezionata impegna l'organizzazione a rispettare tutti i requisiti legali del paese in cui è ospitata l'area di generazione report. Vedere Selezionare attentamente l'area di generazione report.

Per cercare il nome dell'area di generazione report, vedere Visualizzazione dell'area di generazione report.

L'integrazione con i servizi di notifiche ed eventi per l'invio della notifica avviene solo nell'area di reporting. La selezione di una determinata regione dalla lista Aree nella parte superiore della console non ha alcun effetto sulle informazioni visualizzate. Per filtrare le informazioni in base all'area, utilizzare i filtri nelle pagine Cloud Guard.

Aree monitorate
Altre aree monitorate dalla tenancy Cloud Guard.
Area home OCI
Per Cloud Guard, la home region OCI è una costante immutabile nell'ambiente OCI.
Nota

Quando si abilita Cloud Guard, si specifica l'area di reporting Cloud Guard. In tutti i task di configurazione e risoluzione dei problemi eseguiti dopo l'abilitazione, è necessario specificare l'area di generazione report Cloud Guard e non l'area di origine OCI.