Documentazione dell'infrastruttura Oracle Cloud

Requisiti indispensabili

Eseguire questi task prima di abilitare Oracle Cloud Guard.

Nota

Cloud Guard non è disponibile per le tenancy gratuite di Oracle Cloud Infrastructure. Prima di tentare di abilitare Cloud Guard, assicurarsi che:
  • Si dispone di una tenancy a pagamento.
  • Il tipo di account tenancy è uno dei seguenti:
    • default_dbaas
    • enterprise_dbaas
    • enterprise

Creazione del gruppo di utenti Cloud Guard

Per consentire agli utenti di utilizzare Cloud Guard, creare un gruppo di utenti con privilegi di amministratore.

Cloud Guard si occupa delle informazioni sulla sicurezza a livello globale e dovrebbe essere disponibile per un pubblico limitato.

  1. Eseguire il login alla console di Oracle Cloud Infrastructure come amministratore della tenancy.
  2. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini.
  3. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. quindi, selezionare Gruppi. Viene visualizzato un elenco di gruppi nel dominio.

    È necessario disporre dell'autorizzazione per lavorare in un compartimento e visualizzare le risorse al suo interno. In caso di dubbi su quale compartimento utilizzare, contattare un amministratore. Per ulteriori informazioni, vedere Introduzione ai compartimenti.

  4. Selezionare Crea gruppo.
  5. Compilare i campi obbligatori, quindi selezionare Crea.
    Fornire un nome che identifichi chiaramente il gruppo, ad esempio CloudGuardUsers. Evitare di fornire informazioni riservate.

Pagina successiva

Aggiungere utenti di Cloud Guard al gruppo creato.

Se si prevede di utilizzare un provider di identità (IdP), ad esempio Oracle Identity Cloud Service, per l'autenticazione federata degli utenti, è necessario mappare il gruppo di provider di identità al gruppo IAM OCI creato. Per i passi da seguire per Oracle Identity Cloud Service, vedere Gestione degli utenti di Oracle Identity Cloud Service nella console.

Istruzioni criteri per gli utenti

Aggiungere un'istruzione criterio che abilita il gruppo di utenti Cloud Guard definito per gestire le risorse Cloud Guard.

Nota

Puoi trovare tutti i criteri necessari per abilitare Cloud Guard nell'argomento Criteri comuni di Oracle Cloud Infrastructure Identity and Access Management (IAM). In quella pagina, cercare "Cloud Guard" ed espandere i quattro elenchi che si trovano.

Per informazioni dettagliate sui singoli criteri Cloud Guard, vedere Criteri Cloud Guard.

Per gestire le risorse Cloud Guard, aggiungere l'istruzione seguente al criterio per abilitare tutti gli utenti nel gruppo CloudGuardUsers. Sostituire il nome assegnato al gruppo, se non è stato nominato CloudGuardUsers.

allow group <identity_domain_name>/CloudGuardUsers to manage cloud-guard-family in tenancy

Se il gruppo di utenti Cloud Guard non si trova nel dominio di Identity predefinito, è necessario includere <identity_domain_name>, seguito da una barra ("/"), prima del nome del gruppo:

allow group <identity_domain_name>/CloudGuardUsers to manage cloud-guard-family in tenancy

Con questo criterio in atto, gli utenti aggiunti al gruppo di utenti di Cloud Guard sono ora pronti a procedere con l'abilitazione di Cloud Guard.

Nota

Se per qualche motivo si sceglie di non aggiungere l'istruzione criterio esatta sopra riportata, è necessario aggiungere la seguente istruzione criterio come requisito minimo per consentire agli utenti di accedere a Cloud Guard: 
allow group CloudGuardUsers to use cloud-guard-config in tenancy

Se il gruppo di utenti Cloud Guard non si trova nel dominio di Identity predefinito, è necessario includere <identity_domain_name>, seguito da una barra ("/"), prima del nome del gruppo:

allow group <identity_domain_name>/CloudGuardUsers to use cloud-guard-config in tenancy
Autorizzazioni e criteri IAM corrispondenti

In base alle funzioni di sicurezza tipiche che potrebbero esistere in un'organizzazione, Cloud Guard supporta i ruoli amministratore riportati di seguito. Ogni ruolo dispone dei nomi di risorsa IAM e dei criteri corrispondenti che è possibile utilizzare per controllare l'accesso alle funzioni Cloud Guard.

Ruolo amministratore Funzioni Cloud Guard Risorse autorizzazioni IAM Funzioni accessibili
Proprietario servizio (radice o amministratore privilegiato)
  • Abilita Cloud Guard
  • Crea gruppi e criteri IAM
 famiglia-guardia-cloud Gestisci cloud-guard-family nella tenancy
Security Architect (analista della sicurezza)
  • Duplica ricette del rilevatore
  • Gestisci rilevatori
  • Assegna ricette dei rilevatori alle destinazioni
  • Leggi/gestisci i problemi e i punteggi dei problemi e altre metriche

rilevatori di protezione cloud

destinazioni-guard-cloud

cloud-guard-detector-recipes

cloud-guard-responder-ricette

elenchi gestiti da cloud-guard

problemi di cloud-guard

cloud-guard-risk-scores

cloud-guard-security-scores

 Gestire/ispezionare/leggere* queste risorse nella tenancy/compartimento
Amministrazione operazioni sicurezza
  • Gestire, ispezionare o leggere* i problemi di Cloud Guard
 problemi di cloud-guard Gestire/ispezionare/leggere* problemi di Cloud Guard

* Lettura vs. Ispezione: Lettura consente di visualizzare i dettagli dei problemi elencati; Ispezione consente solo di visualizzare l'elenco dei problemi. Read è un superset di Inspect.

Attenzione

Assicurarsi che solo l'amministratore root possa eliminare le destinazioni.
Casi d'uso dei criteri di esempio

I casi d'uso elencati nella tabella riportata di seguito forniscono esempi di ruoli amministratore e criteri IAM che è possibile configurare per il supporto.

Caso d'uso Criteri minimi obbligatori Funzioni consentite e non consentite Autorizzazioni Autenticazione.
Accesso in sola lettura ai dati e alla configurazione di Cloud Guard per tutti i compartimenti L'amministratore può creare un gruppo speciale come cgreadgroup, aggiungere utenti a questo gruppo e quindi aggiungere i seguenti criteri:
  • allow group cgreadgroup to read cloud-guard-family in tenancy
  • allow group cgreadgroup to read compartments in tenancy

Consentito: leggere le pagine Panoramica, Problemi, Rilevatori, Destinazioni e Attività rispondente.

Non consentito: consente di modificare o duplicare le ricette del rilevatore, creare destinazioni, eliminare ricette dalle destinazioni e creare liste gestite.

 Pagina panoramica - Lettura:
Problemi - Leggi:
Problemi - Gestisci: N
Problemi - Correggi: N
Destinazioni - Lettura:
Destinazioni - Gestisci: N
Rilevatori Ricette/Regole - Leggi:
Ricette/regole rilevatori - Gestisci: N
Attività rispondente - Lettura:
Accesso in sola lettura ai dati e alla configurazione di Cloud Guard per un compartimento L'amministratore può creare un gruppo speciale come cggroupcomptonly, aggiungere utenti a questo gruppo, quindi aggiungere questi criteri ('OCIDemo' è il nome del compartimento qui):
  • allow group cggroupcomptonly to read compartments in tenancy where target.compartment.name = 'OCIDemo'
  • allow group cggroupcomptonly to read cloud-guard-family in compartment OCIDemo
  • allow group cggroupcomptonly to inspect cloud-guard-config in tenancy

Consentito: consente di leggere i dati solo per il compartimento specificato, nelle pagine Panoramica, Problemi, Rilevatori e Destinazioni.

Non consentito: leggere le pagine che mostrano i dati per altri compartimenti.

 Pagina panoramica - Lettura:
Problemi - Leggi:
Problemi - Gestisci: N
Problemi - Correggi: N
Destinazioni - Lettura:
Destinazioni - Gestisci: N
Rilevatori Ricette e Regole - Leggi:
Ricette e regole rilevatori - Gestisci: N
Attività rispondente - Lettura:
Accesso in sola lettura alle ricette del rilevatore Cloud Guard L'amministratore può creare un gruppo speciale come cgreaddetrecipes, aggiungere utenti a questo gruppo, quindi aggiungere i seguenti criteri:
  • allow group cgreaddetrecipes to read cloud-guard-detector-recipes in tenancy
  • allow group cgreaddetrecipes to read compartments in tenancy
  • allow group cgreaddetrecipes to inspect cloud-guard-config in tenancy

Consentito: leggere le pagine per le ricette e le regole del rilevatore.

Non consentito: copia o elimina le ricette. Consente di gestire le regole per una ricetta, visualizzare le pagine esterne a Rilevatori e Rispondenti.

 Pagina panoramica - Lettura: N
Problemi - Leggi: N
Problemi - Gestisci: N
Problemi - Correggi: N
Destinazioni - Lettura: N
Destinazioni - Gestisci: N
Rilevatori Ricette e Regole - Leggi:
Ricette e regole rilevatori - Gestisci: N
Attività rispondente - Lettura: N
Accesso in sola lettura ai problemi di Cloud Guard, esclusi punteggio di sicurezza e punteggio di rischio L'amministratore può creare un gruppo speciale come cgreadproblems, aggiungere utenti a questo gruppo, quindi aggiungere i seguenti criteri:
  • allow group cgreadproblems to read cloud-guard-problems in tenancy
  • allow group cgreadproblems to read compartments in tenancy
  • allow group cgreadproblems to inspect cloud-guard-config in tenancy

Consentito nella pagina Panoramica, visualizzare:

  • Snapshot problemi
  • Problemi raggruppati per...
  • Problemi relativi all'attività utente
  • Nuovi problemi - Linea delle tendenze

Non consentito nella pagina Panoramica, accedere a:

  • Punteggio di sicurezza
  • Valutazione rischio
  • Suggerimenti di sicurezza
  • Stato rispondente
  • Punteggio di sicurezza - Linea delle tendenze
  • Misura correttiva - Linea delle tendenze

L'accesso a tutte le altre pagine non è consentito.

 Pagina panoramica - Lettura:

(limitato a Snapshot problemi, Problemi raggruppati per..., Problemi attività utente e Trendline nuovi problemi)
Problemi - Leggi: N
Problemi - Gestisci: N
Problemi - Correggi: N
Destinazioni - Lettura: N
Destinazioni - Gestisci: N
Rilevatori Ricette e Regole - Leggi: N
Ricette e regole rilevatori - Gestisci: N
Attività rispondente - Lettura: N
Accesso in sola lettura ai problemi di Cloud Guard, inclusi Security Score e Risk Score L'amministratore può creare un gruppo speciale di utenti come nella riga precedente, con i criteri dettagliati, quindi aggiungere i seguenti criteri:
  • allow group cgreadproblems to inspect cloud-guard-risk-scores in tenancy
  • allow group cgreadproblems to inspect cloud-guard-security-scores in tenancy

Consentito nella pagina Panoramica, visualizzare:

  • Punteggio di sicurezza
  • Valutazione rischio
  • Snapshot problemi
  • Problemi raggruppati per...
  • Problemi relativi all'attività utente
  • Nuovi problemi - Linea delle tendenze

Non consentito nella pagina Panoramica, accedere a:

  • Suggerimenti di sicurezza
  • Stato rispondente
  • Punteggio di sicurezza - Linea delle tendenze
  • Misura correttiva - Linea delle tendenze

L'accesso a tutte le altre pagine non è consentito.

 Pagina panoramica - Lettura:

(limitato a Punteggio di sicurezza, Punteggio rischio, Snapshot problemi, Problemi raggruppati per..., Problemi attività utente e Linea delle tendenze nuovi problemi)
Problemi - Leggi: N
Problemi - Gestisci: N
Problemi - Correggi: N
Destinazioni - Lettura: N
Destinazioni - Gestisci: N
Rilevatori Ricette e Regole - Leggi: N
Ricette e regole rilevatori - Gestisci: N
Attività rispondente - Lettura: N
Riferimento autorizzazioni Cloud Guard

La tabella riportata di seguito contiene il riepilogo delle autorizzazioni Cloud Guard disponibili.

Autorizzazione Scopo Ambito obbligatorio Note

famiglia-guardia-cloud

Raccoglie tutte le autorizzazioni esistenti per Cloud Guard in un'unica autorizzazione.

L'uso di uno qualsiasi dei metaverbi inspect, read, use e manage consente di concedere gli stessi privilegi per tutte le altre autorizzazioni.

Utilizzare questa autorizzazione con cautela.

tenancy o compartimento

Nome autorizzazione comune per tutte le autorizzazioni.

rilevatori di protezione cloud

Non più necessario. I dati statici sono disponibili senza autorizzazione.

NA

Non utilizzato dalla console.

destinazioni-guard-cloud

Necessario per visualizzare e gestire i dati di destinazione per il compartimento o la tenancy.

Il metaverbo inspect è necessario per popolare in modo minimo l'elenco di selezione per i problemi di filtro. Può essere applicato alla tenancy o a uno o più compartimenti.

Il metaverbo read fornisce il privilegio per visualizzare la configurazione della destinazione.

Il meta-verbo use è necessario per aggiornare qualsiasi destinazione creata in precedenza.

Per gestire il ciclo di vita della destinazione, è necessario il metaverbo manage.

Consigliato: includere questa autorizzazione nel compartimento per consentire all'utente di eseguire operazioni solo all'interno di tale compartimento.

tenancy o compartimento

I dati vengono utilizzati nella pagina Destinazioni e anche per popolare il campo a discesa per filtrare la pagina Problemi.

cloudguard-config

Necessario per visualizzare la configurazione Cloud Guard per la tenancy.

Senza questa autorizzazione, gli utenti non possono visualizzare la panoramica e altre pagine di Cloud Guard. Vengono reindirizzati alla pagina Abilita di Cloud Guard.

Il metaverbo inspect per poter visualizzare lo stato di abilitazione di Cloud Guard insieme ai dettagli dell'area di reporting configurata.

I metaverbi use o manage devono essere limitati agli utenti che devono disporre di funzionalità per abilitare o disabilitare Cloud Guard.

tenancy

Questi dati vengono utilizzati per identificare lo stato di Cloud Guard e i dettagli dell'area di reporting. Tutte le chiamate successive dalla console vengono reindirizzate all'area di reporting per l'esecuzione delle operazioni CRUDL.

L'area di generazione report configurata viene visualizzata nella pagina Impostazioni.

elenchi gestiti da cloud-guard

Necessario per visualizzare e gestire i dati della lista gestita per il compartimento o la tenancy.

Il meta-verb inspect è obbligatorio nell'ambito della tenancy se gli utenti devono duplicare le liste gestite da Oracle esistenti nel compartimento radice.

Il metaverbo read è necessario per visualizzare una configurazione di lista gestita e per associare la lista gestita al gruppo condizionale o alle impostazioni esistenti nella destinazione, nella ricetta del rilevatore o nella ricetta del rispondente. Se la lista gestita esiste nell'ambito della tenancy, il criterio deve essere definito nell'ambito della tenancy; se la lista gestita esiste nel compartimento, il criterio deve essere definito nell'ambito del compartimento.

Il metaverbio use offre più funzionalità all'inizio di read per modificare la lista gestita esistente per la quale dispongono già dell'accesso in lettura.

Il meta-verbo manage è necessario per creare una nuova lista gestita e per gestire il ciclo di vita delle liste gestite create dal cliente.

tenancy o compartimento

I dati vengono utilizzati nella pagina Elenchi gestiti e anche per popolare i valori che associano una lista gestita a gruppi o impostazioni condizionali esistenti nelle destinazioni, nelle ricette del rilevatore o nelle ricette del rispondente.

problemi di cloud-guard

Necessario per visualizzare ed eseguire azioni sui problemi esistenti nel compartimento o nella tenancy.

Il metaverbo inspect è necessario per visualizzare i dati nella pagina Panoramica e anche per elencare i problemi nella pagina Problemi. Può essere applicato alla tenancy, in cui sono visibili i problemi identificati per tutti i compartimenti. In alternativa, è possibile applicare un ambito a un compartimento per limitare l'accesso ai problemi per il compartimento specifico.

Se l'intento è quello di visualizzare i dettagli del problema, è necessario il meta-verbo read.

I metaverbi use o manage devono essere aggiunti al criterio se l'utente può eseguire azioni su problemi quali "Contrassegna come risolto", "Chiudi" o "Ripara" su uno o più problemi.

tenancy o compartimento

I dati vengono utilizzati nella pagina Problemi e anche nella pagina Panoramica per popolare i seguenti pannelli:

  • Snapshot problemi
  • Problemi relativi all'attività utente
  • Problemi raggruppati per...
  • Nuovi problemi - Linea delle tendenze

La pagina di panoramica richiede in modo minimo il metaverbo inspect per visualizzare i pannelli.

cloud-guard-detector-recipes

Necessario per visualizzare e gestire i dati della ricetta del rilevatore per il compartimento o la tenancy.

Se gli utenti devono duplicare ricette gestite da Oracle esistenti nel compartimento radice, il meta-verbo inspect è necessario nell'ambito della tenancy.

Il meta-verbo read è necessario per visualizzare la configurazione di una ricetta e per collegare le ricette a una destinazione. Se le ricette esistono nell'ambito della tenancy, è necessario applicare l'ambito dei criteri alla tenancy; se le ricette esistono nel compartimento, è necessario applicare l'ambito dei criteri al compartimento.

Il metaverbio use offre più funzionalità per modificare i gruppi condizionali e altre impostazioni nelle ricette esistenti per le quali gli utenti dispongono già dell'accesso in lettura.

Per duplicare una ricetta e gestire il ciclo di vita delle ricette duplicate è necessario il metaverbio manage.

tenancy o compartimento

I dati vengono utilizzati nella pagina Ricette rilevatore e anche per popolare la lista di selezione utilizzata quando si collega la ricetta del rilevatore a una destinazione.

cloud-guard-responder-ricette

Necessario per visualizzare e gestire i dati della ricetta del rispondente per il compartimento o la tenancy.

Se gli utenti devono duplicare ricette gestite da Oracle esistenti nel compartimento radice, il meta-verbo inspect è necessario nell'ambito della tenancy.

Il metaverbo read è necessario per visualizzare la configurazione di una ricetta e per collegare una ricetta a una destinazione. Se le ricette esistono nell'ambito della tenancy, è necessario applicare l'ambito dei criteri alla tenancy; se le ricette esistono nel compartimento, è necessario applicare l'ambito dei criteri al compartimento.

Il metaverbio use offre più funzionalità per modificare i gruppi condizionali e altre impostazioni nelle ricette esistenti per le quali dispongono già dell'accesso in lettura.

Il meta-verbo manage è necessario per duplicare una ricetta e gestire il ciclo di vita delle ricette duplicate.

tenancy o compartimento

I dati vengono utilizzati nella pagina Ricette del rispondente e anche per popolare la lista di selezione quando si collega una ricetta del rispondente a una destinazione.

esecuzione-responder-guard-cloud

Necessario per visualizzare e gestire i dati dell'attività del rispondente per il compartimento o la tenancy.

Il metaverbio inspect è un requisito minimo per popolare i dati nelle pagine Panoramica e Attività rispondente.

Il meta-verbo read è necessario per visualizzare dati specifici dell'attività del rispondente. Non richiesto dalla console.

I metaverbi use o manage sono necessari per eseguire azioni come "Salta" o "Esegui" su un'attività specifica del rispondente o per eseguire "Salta" per più attività del rispondente.

tenancy o compartimento

Il metaverbo inspect:

  • Questi dati vengono utilizzati per popolare il pannello Stato rispondente e la linea di tendenza misura correttiva nella pagina Panoramica.
  • Questi dati vengono utilizzati anche nella pagina Attività rispondente.

Il metaverbo read:

  • Non richiesto per la console.

I metaverbi use o manage:

  • Obbligatorio per saltare ed eseguire azioni su un'attività specifica del rispondente o per eseguire lo skip di massa per più attività del rispondente.

cloud-guard-raccomandazioni

Necessario per visualizzare i suggerimenti che migliorano il punteggio di rischio e il punteggio di sicurezza associati alla tenancy.

Il meta-verbo inspect è il requisito minimo.

tenancy o compartimento

Questi dati sono visibili nella pagina Panoramica del pannello Consigli di sicurezza.

cloud-guard-user-preferenze

Necessario per gestire le preferenze utente per la console Cloud Guard. Attualmente utilizzato per gestire lo stato dell'esercitazione guidata per l'utente che ha eseguito il login. Il salvataggio della preferenza utente salta il prompt per completare l'esercitazione guidata nei login successivi.

Il meta-verbo inspect è il requisito minimo per ottenere la preferenza dell'utente corrente.

Per rendere persistente la preferenza, è necessario utilizzare anche il metaverbo use o manage.

tenancy

Questi dati sono visibili nella sezione Esercitazione guidata della pagina Impostazioni.

cloud-guard-risk-scores

Necessario per visualizzare i dati del punteggio rischio per la tenancy.

Senza questa autorizzazione, gli utenti non possono visualizzare il punteggio di rischio associato alla tenancy.

Il meta-verbo inspect è il requisito minimo.

tenancy

Questi dati sono visibili nella pagina Panoramica del pannello Punteggio rischio.

cloud-guard-security-scores

Necessario per visualizzare il rating del punteggio di sicurezza per la tenancy.

Senza questa autorizzazione, gli utenti non possono visualizzare il punteggio di sicurezza associato alla tenancy.

Il meta-verbo inspect è il requisito minimo.

tenancy

Questi dati sono visibili nella pagina Panoramica, in Valutazione punteggio di sicurezza e Linea di tendenza punteggio di sicurezza.