Documentazione dell'infrastruttura Oracle Cloud

Abilitazione della sicurezza delle istanze

Abilita la sicurezza dell'istanza in Cloud Guard.

Per abilitare la sicurezza dell'istanza nella tenancy, effettuare le operazioni riportate di seguito.

Applicazione di una ricetta di sicurezza dell'istanza a una nuova destinazione Cloud Guard

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Cloud Guard, selezionare Configurazione.
  2. In Destinazioni selezionare Crea nuova destinazione.
  3. Nella pagina Crea destinazione, nel pannello Informazioni di base, immettere un nome di destinazione e una descrizione facoltativa per la destinazione.
  4. Selezionare il compartimento da assegnare alla destinazione.
  5. Selezionare Next.
  6. Nel pannello Configurazione, in Ricetta sicurezza istanze selezionare Tutte le istanze di computazione e selezionare una delle ricette del rilevatore di sicurezza delle istanze gestite da Oracle:
    • Ricetta del rilevatore di sicurezza dell'istanza OCI - Enterprise (gestita da Oracle)
    • Ricetta del rilevatore di sicurezza dell'istanza OCI (gestita da Oracle)
    Vedere Ricette del rilevatore di sicurezza delle istanze.
  7. Rivedere la nuova destinazione e selezionare Crea.
  8. In Configurazione selezionare la scheda Sicurezza istanza e selezionare Abilita/Modifica accanto a Log dei dettagli di configurazione.
  9. Nella pagina Dettagli configurazione log è possibile abilitare il log raw della sicurezza delle istanze per un'area.
  10. Selezionare Abilita log per l'area desiderata.
  11. Nel pannello Abilita log, selezionare il compartimento.
  12. Selezionare un gruppo di log esistente o crearne uno nuovo selezionando Crea nuovo gruppo. Vedere Gestione dei gruppi di log.
  13. Selezionare la durata della conservazione del log per i valori compresi tra 30 e 180 giorni oppure impostare un valore di conservazione del log personalizzato.
  14. Selezionare Abilita log
Nota

Se non si abilitano i log raw della sicurezza dell'istanza qui, è possibile abilitarli dalla console del servizio di log. Vedere Abilitazione dei log dal servizio di log.

Applicazione di una ricetta di sicurezza dell'istanza a una destinazione Cloud Guard

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Cloud Guard, selezionare Configurazione.
  2. Individuare la destinazione che si desidera utilizzare e selezionare il nome della destinazione.
  3. In Configurazione, selezionare la scheda Sicurezza istanza e selezionare Aggiungi ricette, quindi scegliere una delle ricette del rilevatore di sicurezza dell'istanza gestito da Oracle.
    Vedere Ricette del rilevatore di sicurezza delle istanze.
  4. Accettare il prompt per aggiungere i criteri di sicurezza dell'istanza all'ambiente.
  5. Nella finestra di dialogo Aggiungi ricette rilevatore, scegliere la ricetta del rilevatore di sicurezza dell'istanza gestita da Oracle che si desidera utilizzare e selezionare Aggiungi ricette.
  6. Scorrere fino alla fine e accanto a Log, selezionare Abilita/Modifica.
  7. Per ogni area desiderata, selezionare il menu Azioni (menu azioni) e selezionare Abilita log.
    1. Nel pannello Abilita log viene visualizzato il compartimento in cui si trova la destinazione. Non può essere modificato.
    2. Scegliere un gruppo di log esistente o crearne uno nuovo selezionando Crea nuovo gruppo. Vedere Gestione dei gruppi di log.
    3. Scegliere la durata della conservazione del log per i valori compresi tra 30 e 180 giorni oppure impostare un valore di conservazione del log personalizzato.
    4. Selezionare Abilita log

Il passo finale dell'abilitazione della sicurezza dell'istanza consiste nell'aggiungere le istruzioni dei criteri nella console.

Nota

Se non si abilitano i log raw della sicurezza dell'istanza qui, è possibile abilitarli dalla console del servizio di log. Vedere Abilitazione dei log dal servizio di log.

Istruzioni criteri per sicurezza istanza

È necessario aggiungere questi criteri nella console durante l'abilitazione della sicurezza dell'istanza.

I criteri consentono all'agente di sicurezza dell'istanza di accedere alle risorse necessarie nella tenancy e, senza questi criteri, non si otterranno risultati.

Per informazioni su come immettere le istruzioni dei criteri nella console, vedere Creazione di un criterio.

Istruzioni criteri utente

Questi criteri forniscono le autorizzazioni utente per utilizzare la sicurezza delle istanze per query su richiesta e query pianificate. Aggiungerli ai criteri utente, sostituendo group con il nome di un gruppo appropriato di utenti.

Allow group <group> to { INSTANCE_READ } in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_READ} in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_CREATE} in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_INSPECT } in compartment <compartment>
Allow group <group> to { WLP_ADHOC_QUERY_DELETE } in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_READ} in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_CREATE} in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_INSPECT } in compartment <compartment>
Allow group <group> to { CG_ADHOC_QUERY_DELETE } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_INSPECT} in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_READ } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_CREATE } in compartment <compartment>
Allow group <group> to  { CG_DATA_SOURCE_DELETE } in compartment <compartment>

Istruzioni dei criteri di log del servizio

Questi criteri consentono agli utenti di accedere ai log. Aggiungerli ai criteri utente, sostituendo group con il nome di un gruppo appropriato di utenti.

Allow group <group> to { CG_SERVICE_LOGGING_READ } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_CREATE } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_UPDATE } in compartment <compartment>
Allow group <group> to { CG_SERVICE_LOGGING_DELETE } in compartment <compartment>

Istruzioni dei criteri tenancy

Questi criteri consentono alla sicurezza dell'istanza di accedere alle risorse necessarie nella tenancy.

Allow any-user to { WLP_BOM_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_CONFIG_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_ADHOC_QUERY_READ } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Allow any-user to { WLP_ADHOC_RESULTS_CREATE } in tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent'}
Endorse any-user to { WLP_LOG_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_METRICS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_ADHOC_QUERY_READ } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }
Endorse any-user to { WLP_ADHOC_RESULTS_CREATE } in any-tenancy where all { request.principal.id = target.agent.id, request.principal.type = 'workloadprotectionagent' }

Utilizzo di gruppi dinamici per controllare l'accesso alle query su richiesta e pianificate

È necessario creare gruppi dinamici per utilizzare le query su richiesta (ad hoc) e pianificate. Il tipo di risorsa è:

  • Per le query su richiesta, cloudguardadhocquery.
  • Per le query pianificate, cloudguarddatasource.
Nota

  • Ogni query viene collegata automaticamente a un gruppo dinamico in base al tipo di risorsa e alle tag facoltative.
  • L'accesso è determinato dal gruppo dinamico a cui appartiene la query.
  • Se non esistono criteri per una query, viene restituita un'eccezione non autorizzata durante l'esecuzione della query.

In questo esempio viene illustrato come creare un gruppo dinamico per ogni tipo di query. Per ulteriori informazioni, vedere Gestione dei gruppi dinamici.

  1. Creare i gruppi dinamici:
    Gruppo dinamico Istruzione gruppo dinamico
    adhoc_query_dg all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id'}
    scheduled_query_dg all { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-compartment-id' }

    Se si utilizza l'agente in locale, è possibile utilizzare gli stessi gruppi dinamici oppure creare gruppi dinamici separati a seconda del compartimento configurato delle istanze in locale.

    Gruppo dinamico Istruzione gruppo dinamico
    on_prem_adhoc_query_dg all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-on-prem-compartment-id'}
    on_prem_scheduled_query_dg all { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-on-prem-compartment-id' }
  2. Successivamente, scrivere i criteri per concedere all'istanza di lettura l'accesso ai gruppi dinamici appena creati per il compartimento o la tenancy (compartimento radice).
    allow dynamic-group adhoc_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguardadhocquery' }
 allow dynamic-group scheduled_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguarddatasource' }

    Se si utilizza l'agente on premise, è necessario scrivere due criteri aggiuntivi.

    allow dynamic-group on_prem_adhoc_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguardadhocquery' }

allow dynamic-group on_prem_scheduled_query_dg to read instances in <compartment or tenancy details> where all { request.principal.type = 'cloudguarddatasource' }

    Per ulteriori informazioni sulla creazione dei criteri per le tenancy o i compartimenti, vedere Come funzionano i criteri.

  3. Ora è possibile creare query:

Utilizzo delle tag per isolare le autorizzazioni delle query

È possibile utilizzare le tag per isolare e categorizzare le query pianificate in esecuzione. Per ulteriori informazioni sull'uso delle tag, vedere Applicazione di tag.

Nota

Per utilizzare le tag, è necessario creare query su richiesta o pianificate utilizzando l'interfaccia CLI o l'API.
  1. Creare gruppi dinamici con tag:
    Gruppo dinamico Istruzione gruppo dinamico
    adhoc_query_dg all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id', tag.namespace.tag-key.value = 'tag-value' }
    scheduled_query_dg all { resource.type = 'cloudguarddatasource', resource.compartment.id = 'my-compartment-id', tag.namespace.tag-key.value = 'tag-value' }

    Ad esempio, si supponga di disporre di uno spazio di nomi tag denominato "Reparti" e di un tag nello spazio di nomi denominato "department_type" con un elenco di valori di ["hr", "finance", "marketing", "it"]. L'istruzione del gruppo dinamico per una query personalizzata sarà

    all { resource.type = 'cloudguardadhocquery', resource.compartment.id = 'my-compartment-id', tag.department_type.tag-key.value = 'finance' }
  2. Scrivere i criteri per concedere l'accesso dell'istanza di lettura ai gruppi dinamici appena creati.
    allow dynamic-group adhoc_query_dg to read instances in compartment my-compartment where all { request.principal.type = 'cloudguardadhocquery' }
allow dynamic-group scheduled_query_dg to read instances in compartment my-compartment where all { request.principal.type = 'cloudguarddatasource' }
  3. Ora puoi creare query utilizzando l'interfaccia CLI o l'API con le tag definite: