Sicurezza dell'istanza
Sicurezza dell'istanza è una nuova ricetta del rilevatore Oracle Cloud Guard che monitora gli host di computazione per rilevare attività sospette.
- In Informazioni sulla sicurezza delle istanze viene fornita un'introduzione ai concetti utili per comprendere quando si utilizza la sicurezza delle istanze.
- In Abilitazione della sicurezza delle istanze viene descritto come iniziare a utilizzare la sicurezza delle istanze applicando una ricetta del rilevatore di sicurezza delle istanze a una destinazione.
- Nella sezione Ricette del rilevatore di sicurezza delle istanze vengono descritte le ricette del rilevatore di sicurezza delle istanze.
Informazioni sulla sicurezza delle istanze
La sicurezza delle istanze fornisce sicurezza runtime per i carichi di lavoro negli host virtuali e Bare Metal di computazione. La sicurezza dell'istanza espande Cloud Guard dalla gestione delle impostazioni di sicurezza cloud alla protezione del carico di lavoro cloud. Garantisce che le esigenze di sicurezza vengano soddisfatte in un unico luogo con visibilità coerente e comprensione olistica dello stato di sicurezza dell'infrastruttura.
Sicurezza dell'istanza raccoglie importanti informazioni sulla sicurezza relative agli host di computazione, ad esempio avvisi di sicurezza (chiamati problemi in Cloud Guard), vulnerabilità e porte aperte, per fornire indicazioni utili per il rilevamento e la prevenzione. Puoi rilevare processi sospetti, creare porte aperte ed eseguire script per i carichi di lavoro, con visibilità a livello di sistema operativo. La sicurezza delle istanze fornisce nuovi rilevamenti pronti all'uso gestiti da Oracle e le query gestite dal cliente per i casi d'uso di ricerca delle minacce.
La sicurezza delle istanze è integrata in modo nativo con OCI Logging in modo da poter esportare facilmente i log negli strumenti di sicurezza di terze parti.
Soluzione di sicurezza basata su EBPF
Instance Security utilizza la tecnologia Extended Berkeley Packet Filter (eBPF) per rilevare eventi di sicurezza a livello kernel. eBPF è una tecnologia kernel che consente l'esecuzione dei programmi senza dover modificare il codice sorgente del kernel.
Puoi raccogliere automaticamente i dati per rilevare anomalie di sicurezza e ottenere insight approfonditi sui sistemi operativi, senza modificare alcun codice kernel e senza influire in modo significativo sulle prestazioni.
Allineato al framework MITRE ATT&CK
Instance Security fornisce una suite di regole del rilevatore pronte all'uso gestite da Oracle e allineate al framework MITRE ATT&CK per ridurre il lavoro manuale per il tuo Security Operations Center (SOC) per trovare attività avverse note.
Le informazioni vengono gestite attraverso modelli allineati al framework MITRE ATT&CK per classificare le potenziali tattiche e tecniche coinvolte.
Esegui query su richiesta
Puoi eseguire query su richiesta sulle istanze di computazione periodicamente o su richiesta per avere visibilità in tempo reale sullo stato del tuo computer.
Instance Security esegue OSquery sotto il cofano che espone i dati del sistema operativo come database relazionale ad alte prestazioni. Osquery è un agente host multi-piattaforma performante e open source che ti offre visibilità e insight sulla tua flotta. Raccoglie e normalizza i dati indipendentemente dal sistema operativo e aumenta la visibilità sull'infrastruttura. OSquery viene fornito con il supporto di centinaia di tabelle che coprono tutto, dai processi in esecuzione alle estensioni kernel caricate. La sicurezza dell'istanza supporta la maggior parte delle tabelle di query Oskery open source oltre alle tabelle personalizzate OCI.
Pianifica query
Dopo aver eseguito una query e aver soddisfatto i risultati della query, è possibile pianificare l'esecuzione della query a una frequenza regolare. Se è necessario fornire prove della conformità a determinati controlli di sicurezza nell'ambito dei requisiti di conformità e audit per gli host di calcolo, è possibile utilizzare le query pianificate. La sicurezza delle istanze è integrata con il servizio OCI Logging ed è possibile configurare il servizio OCI Logging in modo da inviare i dati non elaborati a un servizio SIEM (Security Information and Event Management) o a un aggregatore di dati di terze parti.
Ricette del rilevatore di sicurezza dell'istanza
Esistono due ricette del rilevatore di sicurezza delle istanze gestite da Oracle:
- Ricetta del rilevatore di sicurezza dell'istanza OCI - Enterprise (gestita da Oracle).
- Ricetta del rilevatore di sicurezza dell'istanza OCI (gestita da Oracle).
È possibile creare configurazioni personalizzate delle ricette del rilevatore clonando queste ricette e regole. Vedere Duplicazione di una ricetta del rilevatore OCI.
È possibile applicare una sola ricetta del rilevatore di sicurezza dell'istanza a una destinazione. Se si desidera modificare la ricetta, è innanzitutto necessario rimuovere quella esistente dalla destinazione, quindi applicare l'altra.
Ricetta del rilevatore di sicurezza dell'istanza OCI - Enterprise (gestita da Oracle)
Questa ricetta è un'offerta a pagamento che fornisce funzionalità di servizio complete. Ti fornisce avvisi basati su rilevamenti pronti all'uso Oracle e ti consente di eseguire query sulla flotta utilizzando query personalizzate e pianificate.
Questa ricetta del rilevatore pronta all'uso utilizza tutte le regole del rilevatore di sicurezza dell'istanza dettagliate in Regole del rilevatore di sicurezza dell'istanza OCI.
Per scoprire i costi, consulta le informazioni sui prezzi di Cloud Guard nel Listino prezzi cloud. È possibile utilizzare lo strumento di stima dei costi per determinare l'uso e la fatturazione mensili. Vedere Panoramica su fatturazione e gestione dei costi.
| Risorsa | Conteggio per tenancy |
|---|---|
| Numero di istanze coperte per area | Illimitato |
| Regole del rilevatore pronte all'uso | Illimitato |
| Query su richiesta | Illimitato |
| Query pianificate | 25 query per istanza al giorno |
| Dimensione dei risultati della query pianificata | 5 MB per istanza al giorno |
Questo esempio mostra il funzionamento dei limiti delle query pianificate.
Il limite per la dimensione dei risultati delle query pianificate è per ogni istanza. Pertanto, se in un'area sono presenti 10 istanze, il limite regionale a livello di tenant è 5*10 = 50 MB al giorno.
Quando si raggiunge il limite dei risultati delle query pianificate in un'area, le query visualizzeranno uno stato Failed e verrà visualizzato il messaggio seguente:
Scheduled query size limit has reached, the limit will reset the next dayUna volta reimpostato il limite il giorno successivo, le query pianificate riusciranno fino a quando il limite non verrà nuovamente raggiunto.
Ricetta del rilevatore di sicurezza dell'istanza OCI (gestita da Oracle)
Se non sei pronto a investire in Instance Security ma vuoi avere un assaggio del servizio, puoi provare questa ricetta gratuita. Ti avviserà di vulnerabilità e problemi di scansione delle porte aperte ed è possibile eseguire un numero limitato di query.
Questa ricetta del rilevatore utilizza le regole del rilevatore di sicurezza dell'istanza:
| Risorsa | Conteggio per tenancy |
|---|---|
| Numero di istanze coperte per area | 5 |
| Regole del rilevatore pronte all'uso | 2 |
| Query su richiesta | 30 al mese per regione |
| Query pianificate | 0 |
Questo esempio mostra il funzionamento dei limiti delle query su richiesta considerando due scenari.
Hai un limite mensile di 30 query on-demand in un'area:
- Puoi eseguire la prima query su richiesta e individuare 25 istanze attive e tutte avere esito positivo, ottenendo 25 risultati.
- È possibile eseguire una seconda query su richiesta e individuare 25 istanze attive, ma questa volta si otterranno solo cinque risultati su cinque istanze selezionate casualmente perché sono rimaste solo 5 query su richiesta per il mese.
- Se poi esegui una terza query su richiesta e indirizzi una sola istanza, vedrai il seguente messaggio:
You have consumed free adhoc units for this month, your limit will reset next month
Le interrogazioni scadute vengono rimborsate al limite mensile dopo circa 15 minuti.
- La prima query su richiesta ha interessato 25 istanze (24 agenti attivi e 1 agente inattivo) e il risultato è che è scaduta con 24 risultati dagli agenti attivi.
- È stata eseguita una seconda query su richiesta e sono state individuate 25 istanze (24 attive e 1 agente inattivo) e questa volta si ottengono solo cinque risultati su cinque istanze selezionate casualmente perché sono rimaste solo 5 query su richiesta per il mese.
- Se poi esegui una terza query su richiesta e indirizzi una sola istanza, vedrai il seguente messaggio:
You have consumed free adhoc units for this month, your limit will reset next month