Abilitazione della sicurezza delle istanze per una rete in locale

Descrive i passi per abilitare l'agente di sicurezza dell'istanza in una rete in locale.

Se si sta eseguendo un'immagine personalizzata su una flotta per la quale non è abilitato Oracle Cloud Agent, è necessario installare manualmente l'agente theInstance Security (precedentemente denominato Workload Protection o WLP).

È necessario aggiornare l'agente nella flotta ogni mese. Vedere Aggiornamento manuale dell'agente di sicurezza dell'istanza.

Per eliminare l'agente di sicurezza dell'istanza, vedere Disinstallazione dell'agente di sicurezza dell'istanza.

Nota

Questi passi sono validi solo per gli host on premise delle tenancy.

Requisiti indispensabili

Abilitare la sicurezza dell'istanza in Cloud Guard seguendo i task riportati in Abilitazione della sicurezza dell'istanza per:
- Applicare una delle ricette del rilevatore di sicurezza dell'istanza gestito da Oracle a una destinazione.
- Aggiungere le istruzioni dei criteri per la sicurezza delle istanze nella console.
Prendere nota dell'OCID compartimento. Vedere Elenco dei compartimenti.

Aggiunta di criteri in corso

È necessario aggiungere i criteri seguenti nella console. Vedere Creazione di un criterio.

Criterio di download dell'agente, che consente il download dell'agente di sicurezza dell'istanza.

Endorse any-user to read objects in any-tenancy where all { target.bucket.name = 'wlp-agent' }

Criteri operativi agente, che consentono normali operazioni agente.

Allow any-user to { WLP_BOM_READ, WLP_CONFIG_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
 
Endorse any-user to { WLP_LOG_CREATE, WLP_METRICS_CREATE, WLP_ADHOC_QUERY_READ, WLP_ADHOC_RESULTS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }

Criteri agente in locale

Allow any-user to { WLP_AGENT_CREATE, WLP_AGENT_DELETE, WLP_AGENT_UPDATE } in tenancy
 
Endorse any-user to inspect certificate-authority-family in any-tenancy where request.obo-service.name = 'workloadprotection'
 
Endorse any-user to use certificate-authority-delegate in any-tenancy where request.obo-service.name = 'workloadprotection'
 
Endorse any-user to manage leaf-certificate-family in any-tenancy where request.obo-service.name = 'workloadprotection'
 
Endorse any-user to read leaf-certificate-bundles in any-tenancy where any {request.principal.id = target.resource.tag.wlp.userid, request.principal.id = target.resource.tag.wlp.agentid}
 
Endorse any-user to use tag-namespaces in any-tenancy where request.obo-service.name = 'workloadprotection'

Preparazione alla creazione del file di configurazione in locale

Recupera una sessione principal utente token.
Utilizzare l'interfaccia CLI per generare una chiave privata e un token di sessione. In un terminale sul computer in esecuzione:
```
oci session authenticate --region <region>
```
Viene visualizzata una nuova pagina del browser in cui si immettono le credenziali OCI. Dopo aver eseguito l'autenticazione, chiudere il browser.
Se non è installata l'interfaccia CLI OCI, seguire i passi del QuickStart Installa CLI.

Nel terminale, immettere un nome profilo per salvare il token della sessione utente.

Ad esempio:

$ oci session authenticate --region us-ashburn-1
    Please switch to newly opened browser window to log in!
    You can also open the following URL in a web browser window to continue:
https://login.us-ashburn-1.oraclecloud.com/v1/oauth2/authorize?action=login&client_id=iaas_console&response_type=token+id_token&nonce=<unique-ID>
    Completed browser authentication process!
Enter the name of the profile you would like to create: production
Config written to: /Users/<user>/.oci/config
 
    Try out your newly created session credentials with the following example command:
 
    oci iam region list --config-file /Users/<user>/.oci/config --profile production --auth security_token

Eseguire questa operazione per convalidare il token della sessione utente.

oci session validate --config-file <YOUR_CONFIG_FILE_PATH> --profile <YOUR_PROFILE_NAME> --region <region> --auth security_token

Viene visualizzato il tempo di scadenza della credenziale (circa 1 ora) e viene richiesto di eseguire di nuovo l'autenticazione se è già scaduta.

Ad esempio:

$ oci session validate --config-file /Users/<user>/.oci/config --profile production --region us-ashburn-1 --auth security_token
Session is valid until 2024-05-07 16:41:32

Creare una nuova cartella sull'host remoto in una posizione in cui l'utente dispone dell'accesso in scrittura, ad esempio .oci. Se si dispone già di una cartella con questo nome, crearne una con un nome diverso.

ottenere la chiave privata e il token di sessione nella cartella creata:

Per Linux: utilizzare scp per chiave privata e token di sessione nella cartella creata.

# Private key example path - ~/.oci/sessions/<YOUR_PROFILE_NAME>/oci_api_key.pem
# Token example path = ~/.oci/sessions/<YOUR_PROFILE_NAME>/token
 
scp -i <ssh-key> ~/.oci/sessions/<YOUR_PROFILE_NAME>/oci_api_key.pem opc@<ip>:/home/opc/.oci
scp -i <ssh-key> ~/.oci/sessions/<YOUR_PROFILE_NAME>/token opc@<ip>:/home/opc/.oci

Per Windows: copiare e incollare gli stessi due file in C:\Users\opc o in un'altra posizione in cui l'utente dispone dell'accesso in scrittura.

Creazione del file di configurazione in locale

La posizione è controllata da una variabile d'ambiente.
- Per Linux, la variabile di ambiente è WLP_ON_PREM_AGENT_CONFIG_PATH e il percorso predefinito è /etc/wlp/config.
- Per Windows, la variabile di ambiente è wlp_on_prem_agent_prod_config_path e il percorso predefinito è C:\ProgramData\wlpagent\config.
Contenuto possibile per il file di configurazione in locale:
- regione: area di monitoraggio per l'host in locale.
- tenantId: OCID tenancy in cui è stato abilitato WLP e creato il target.
- compartmentId: OCID del compartimento associato alla destinazione in cui è collegata la ricetta WLP
- privateKeyPath: il percorso del file di chiavi private salvato dal comando di autenticazione della sessione OCI.
- securityTokenPath: il percorso del token di sicurezza salvato dal comando di autenticazione della sessione OCI
- proxyEndpoint: endpoint proxy https del server proxy. Ciò è necessario solo quando si dispone dell'impostazione del server proxy e si desidera che tutte le richieste degli agenti siano controllate dal server proxy. Instance Security utilizza anche l'endpoint websocket per l'esecuzione di query su richiesta, pertanto anche il server proxy deve essere configurato per supportare il proxy Websocket. Per far funzionare correttamente l'agente di sicurezza dell'istanza, è necessario includere nella lista di inclusione questi endpoint del server:
  - dp.workloadprotection.{region}.oci.{domain_name} (e.g. dp.workloadprotection.us-ashburn-1.oci.oralcecloud.com)
  - adhoc.workloadprotection.{region}.oci.{domain_name} (ad esempio, workloadprotection.us-ashburn-1.oci.oraclecloud.com)
  - cloudguard-cp-api.{region}.oci.{domain_name} (ad esempio, cloudguard-cp-api.us-ashburn-1.oci.oraclecloud.com)
  - certificates.{region}.oci.{domain_name} (ad esempio, certificates.us-ashburn-1.oraclecloud.com)
  Esempio di formato proxyEndpoint:
  http[s]://<proxy_username>:<proxy_password>@<proxy_url>:<proxy_port>

Creare il file di configurazione e il relativo contenuto:

Per Linux:

#ubuntu@wlp-cp-ubuntu-1:~$ sudo su
root@wlp-cp-ubuntu-1:/home/opc# mkdir -p /etc/wlp
root@wlp-cp-ubuntu-1:/home/ubuntu# cd /etc/wlp/
root@wlp-cp-ubuntu-1:/etc/wlp# touch config
# paste or edit the contents of config in vi config as shown below
root@wlp-cp-ubuntu-1:/etc/wlp# vi config
root@wlp-cp-ubuntu-1:/etc/wlp# cat config
{
  "region": "us-ashburn-1",
  "tenantId": "ocid1.tenancy.oc1..<example-ID>",
  "compartmentId": "ocid1.compartment.oc1..<example-ID>",
  "privateKeyPath": "/home/ubuntu/.oci/oci_api_key.pem",
  "securityTokenPath": "/home/ubuntu/.oci/token",
  "proxyEndpoint": "http://user:pass@proxy.com:3333"
}

Per Windows:

Vai a questa posizione C:\ProgramData\wlpagent.
Creare un nuovo file denominato config.
Incollare questo codice nel nuovo file config.

cd C:\ProgramData\wlpagent
C:\ProgramData\wlpagent>(
More? echo {
More? echo  "region": "us-ashburn-1",
More? echo "tenantId": "ocid1.tenancy.oc1..aaaaaaaa4t6edhuglsk33i4waq5c7udkgbek72up2iswkciyimh44tawhpea",
More? echo  "compartmentId": "ocid1.compartment.oc1..aaaaaaaaedatxkoovn424u2azxrqn47nsrmrn6vi72joim6nn6mme3rmgqoq",
More? echo "privateKeyPath": "C:\Users\opc\oci_api_key.pem",
More? echo "securityTokenPath": "C:\Users\opc\token"
More? echo "proxyEndpoint": "http://user:pass@proxy.com:3333"
More? echo }
More? ) > config
 
C:\ProgramData\wlpagent>
C:\ProgramData\wlpagent>more config
{
 "region": "us-ashburn-1",
"tenantId": "ocid1.tenancy.oc1..aaaaaaaa4t6edhuglsk33i4waq5c7udkgbek72up2iswkciyimh44tawhpea",
 "compartmentId": "ocid1.compartment.oc1..aaaaaaaaedatxkoovn424u2azxrqn47nsrmrn6vi72joim6nn6mme3rmgqoq",
"privateKeyPath": "C:\Users\opc\oci_api_key.pem",
"securityTokenPath": "C:\Users\opc\token",
"proxyEndpoint": "http://user:pass@proxy.com:3333" 
}
 
C:\ProgramData\wlpagent>

Crea file di configurazione proxy

Se non si dispone di uno scenario on-premise, ma solo di uno scenario proxy, è necessario creare un file di configurazione proxy.

La posizione del file di configurazione proxy è controllata da una variabile d'ambiente:
- Per Linux, la variabile di ambiente è WLP_PROXY_CONFIG_PATH e il percorso predefinito è /etc/wlp/proxy.
- Per Windows, la variabile di ambiente è wlp_proxy_prod_config_path e il percorso predefinito è C:\ProgramData\wlpagent\proxy
Contenuto possibile per il file di configurazione proxy:
- proxyEndpoint: endpoint proxy https del server proxy. Questa è necessaria solo quando si dispone della configurazione del server proxy personale e si desidera che tutte le richieste degli agenti siano controllate dal server proxy. Instance Security utilizza anche l'endpoint websocket per l'esecuzione di query su richiesta, pertanto anche il server proxy deve essere configurato per supportare il proxy Websocket. Per far funzionare correttamente l'agente di sicurezza dell'istanza, è necessario includere nella lista di inclusione questi endpoint del server:
  - dp.workloadprotection.{region}.oci.{domain_name} (e.g. dp.workloadprotection.us-ashburn-1.oci.oraclecloud.com)
  - adhoc.workloadprotection.{region}.oci.{domain_name} (ad esempio workloadprotection.us-ashburn-1.oci.oraclecloud.com)
  - cloudguard-cp-api.{region}.oci.{domain_name} (ad esempio cloudguard-cp-api.us-ashburn-1.oci.oraclecloud.com)
  - certificates.{region}.oci.{domain_name} (ad esempio certificates.us-ashburn-1.oraclecloud.com)

Creare il file di configurazione del proxy e il relativo contenuto:

Per Linux:

#ubuntu@wlp-cp-ubuntu-1:~$ sudo su
root@wlp-cp-ubuntu-1:/home/opc# mkdir -p /etc/wlp
root@wlp-cp-ubuntu-1:/home/ubuntu# cd /etc/wlp/
root@wlp-cp-ubuntu-1:/etc/wlp# touch config
# paste or edit the contents of config in vi config as shown below
root@wlp-cp-ubuntu-1:/etc/wlp# vi config
root@wlp-cp-ubuntu-1:/etc/wlp# cat config
{
  "proxyEndpoint": "http://user:pass@proxy.com:3333"
}

Per Windows:

Andare a questa posizione C:\ProgramData\wlpagent.
Creare il nuovo file denominato config.
Questo codice è stato inserito nel nuovo file config.

cd C:\ProgramData\wlpagent
C:\ProgramData\wlpagent>(
More? echo {
More? echo "proxyEndpoint": "http://user:pass@proxy.com:3333"
More? echo }
More? ) > config
 
C:\ProgramData\wlpagent>
C:\ProgramData\wlpagent>more config
{
 "region": "us-ashburn-1",
"tenantId": "ocid1.tenancy.oc1..aaaaaaaa4t6edhuglsk33i4waq5c7udkgbek72up2iswkciyimh44tawhpea",
 "compartmentId": "ocid1.compartment.oc1..aaaaaaaaedatxkoovn424u2azxrqn47nsrmrn6vi72joim6nn6mme3rmgqoq",
"privateKeyPath": "C:\Users\opc\oci_api_key.pem",
"securityTokenPath": "C:\Users\opc\token",
"proxyEndpoint": "http://user:pass@proxy.com:3333" 
}
 
C:\ProgramData\wlpagent>

Installare l'agente di sicurezza dell'istanza

Nella tabella riportata di seguito scaricare e copiare il programma di installazione dell'agente di sicurezza dell'istanza nell'host.


Sistema operativo host	Link per il download	Comandi
Oracle Linux 9	Braccio OL9 - wlp-agent-1.1.231-250429.el9.aarch64.rpm https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el9.aarch64.rpm Amd OL9 - wlp-agent-1.1.231-250429.el9.x86_64.rpm https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el9.x86_64.rpm	`sudo yum install <your-installer-full-path>` In alternativa `sudo rpm -ivh <your-installer-full-path>`
Oracle Linux 8	Braccio OL8 - wlp-agent-1.1.231-250429.el8.aarch64.rpm `https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el8.aarch64.rpm` Amd OL8 - wlp-agent-1.1.231-250429.el8.x86_64.rpm `https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el8.x86_64.rpm`	`sudo yum install <your-installer-full-path>` In alternativa `sudo rpm -ivh <your-installer-full-path>`
Oracle Linux 7	Braccio OL7 - wlp-agent-1.1.231-250429.el7.aarch64.rpm `https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el7.aarch64.rpm` Amd OL7 - wlp-agent-1.1.231-250429.el7.x86_64.rpm `https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.el7.x86_64.rpm`	`sudo yum install <your-installer-full-path>` o `sudo rpm -ivh <your-installer-full-path>`
Ubuntu	Braccio Ubuntu - wlp-agent-1.1.231-250429.ubuntu1.arm64.deb https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.ubuntu1.arm64.deb Ubuntu24 Amd - wlp-agent-1.1.231-250429.ubuntu24.amd64.deb https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.ubuntu24.amd64.deb Arm Ubuntu24 - wlp-agent-1.1.231-250429.ubuntu24.arm64.deb https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.ubuntu24.arm64.deb	`sudo DEBIAN_FRONTEND=noninteractive NEEDRESTART_SUSPEND=1 apt-get -y install <your-installer-full-path>`
Debian	Debian Amd - wlp-agent-1.1.231-250429.debian.amd64.deb https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-1.1.231-250429.debian.amd64.deb	`sudo DEBIAN_FRONTEND=noninteractive apt-get -y install <your-installer-full-path>` o `sudo dpkg -i <your-installer-full-path>`
Windows	`https://objectstorage.us-ashburn-1.oraclecloud.com/n/idaork8onzto/b/wlp-agent/o/wlp-agent-<version>.amd64.exe`	Copiare (caricare) il programma di installazione in una posizione comoda (ad esempio, `C:\Users\opc`). Aprire un terminale di comando (non powerhell) in modalità Amministratore. Terminale interno, corsa: `cmd /c start <installer-full-path> /quiet` Attendere 5 secondi. I log sono disponibili su `C:\Program Files\wlpagent\logs\wlpagent.log`.

Controllare lo stato dell'agente di sicurezza dell'istanza

Controllare lo stato dell'agente di sicurezza dell'istanza e il relativo log per verificare se l'identità in locale è stata selezionata.

Riavvia agente:
- Linux: sudo systemctl status wlp-agent-osqueryd.service
- Windows: andare agli strumenti dell'amministratore, quindi eseguire il servizio e cercare wlp-agent e controllare lo stato del servizio.
Controllare il log dell'agente:
- Linux: sudo tail -f /var/log/wlp-agent/wlp-agent.log
- Finestre: C:\Program Files\wlp-agent\logs\wlpagent.log

Documentazione dell'infrastruttura Oracle Cloud