Aggrega log dei servizi Oracle Cloud Infrastructure utilizzando SIEM di terze parti
Quando si distribuiscono carichi di lavoro su Oracle Cloud Infrastructure (OCI), aggregare i log di Oracle Cloud Infrastructure Audit, i log dei servizi e gli eventi di sicurezza sono requisiti fondamentali.
La centralizzazione di questi dati consente alle organizzazioni di analizzare, monitorare e proteggere le proprie tenancy. Per i casi d'uso di sicurezza, i clienti possono inviare questi log a una piattaforma SEM (Security Information and Event Management). Il sistema SIEM è uno strumento operativo strategico che gestisce la sicurezza delle risorse cloud. OCI include funzionalità native di rilevamento, prevenzione e risposta delle minacce, che possono essere utilizzate per implementare un SIEM efficiente.
Per semplificare la distribuzione delle informazioni di log aggregate nelle aree di una tenancy, le aziende possono utilizzare gli strumenti infrastructure-as-code (IaC), incluso Terraform e Ansible. Questi strumenti IaC non solo consentono lo sviluppo agile, le best practice DevOps e l'integrazione continua e la distribuzione continua (CI/CD), ma rimuovono anche gli ostacoli, come il provisioning manuale dei componenti dell'infrastruttura cloud. Poiché IaC è di natura modulare, ogni componente del codice può essere diviso o combinato per soddisfare più casi d'uso di distribuzione, consentendo al contempo di rendere più efficienti i cicli di sviluppo software.
Architettura
Questa architettura distribuisce una topologia simile in aree diverse per acquisire i risultati di log specifici dell'area, aggregare i risultati e trasferirli a una piattaforma IEM (Security Information and Event Management).
Il diagramma riportato di seguito illustra l'architettura generale. Nella sezione Pianifica distribuzione sono disponibili singole viste sia per le aree report che per quelle sottoscrittori.
oci-log-multistream-oracle.zip
L'architettura è dotata dei componenti elencati di seguito.
- Tenancy
Una tenancy è una partizione sicura e isolata che Oracle imposta all'interno di Oracle Cloud quando ti iscrivi a Oracle Cloud Infrastructure. Puoi creare, organizzare e amministrare le tue risorse in Oracle Cloud all'interno della tua tenancy. Una tenancy è sinonimo di azienda o organizzazione. In genere, un'azienda avrà una singola tenancy e ne rifletterà la struttura organizzativa all'interno di tale tenancy. Una singola tenancy in genere è associata a una singola sottoscrizione e una singola sottoscrizione in genere ha una sola tenancy.
- Area
Un'area Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, definiti domini di disponibilità. Le regioni sono indipendenti da altre regioni e grandi distanze possono separarle (in tutti i paesi o anche in continenti).
- Gestione delle identità e degli accessi (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) è il piano di controllo dell'accesso per Oracle Cloud Infrastructure (OCI) e Oracle Cloud Applications. L'interfaccia API IAM e l'interfaccia utente consentono di gestire i domini di Identity e le risorse all'interno del dominio di Identity. Ogni dominio di identità IAM OCI rappresenta una soluzione standalone di gestione delle identità e degli accessi o una popolazione di utenti diversa.
- Criterio
Un criterio di Oracle Cloud Infrastructure Identity and Access Management specifica chi può accedere a quali risorse e come. L'accesso viene concesso a livello di gruppo e compartimento. Ciò significa che puoi scrivere un criterio che concede a un gruppo un tipo specifico di accesso all'interno di un compartimento specifico o alla tenancy.
- LogLogging è un servizio altamente scalabile e completamente gestito che fornisce l'accesso ai seguenti tipi di log delle risorse nel cloud:
- Log di audit: log correlati agli eventi emessi dal servizio di audit.
- Log dei servizi: log emessi da singoli servizi quali gateway API, eventi, funzioni, bilanciamento del carico, storage degli oggetti e log di flusso VCN.
- Log personalizzati: log che contengono informazioni di diagnostica da applicazioni personalizzate, altri provider cloud o da un ambiente on premise.
- Rete cloud virtuale (VCN) e subnet
Una VCN è una rete personalizzabile e definita dal software configurata in un'area Oracle Cloud Infrastructure. Analogamente alle reti di data center tradizionali, i VCN offrono il controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che puoi modificare dopo aver creato la VCN. Puoi segmentare una VCN nelle subnet che possono essere definite nell'area o in un dominio di disponibilità. Ogni subnet è composta da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. Puoi modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.
- Lista di sicurezza
Per ogni subnet, puoi creare regole di sicurezza che specifichino l'origine, la destinazione e il tipo di traffico che deve essere consentito all'interno e all'esterno della subnet.
- Tabella di instradamento
Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni esterne a una VCN, in genere tramite gateway.
- Calcolo
Il servizio Oracle Cloud Infrastructure Compute consente di eseguire il provisioning e la gestione degli host di computazione nel cloud. Puoi avviare le istanze di computazione con forme che soddisfano i requisiti delle risorse per CPU, memoria, larghezza di banda di rete e storage. Dopo aver creato un'istanza di computazione, puoi accedervi in tutta sicurezza, riavviarla, collegare e scollegare i volumi e terminarla quando non ne hai più bisogno.
- Memoria oggetti
Lo storage degli oggetti garantisce un accesso rapido a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi backup del database, dati analitici e contenuti avanzati, ad esempio immagini e video. Puoi memorizzare i dati in tutta sicurezza e poi recuperarli direttamente da Internet o dall'interno della piattaforma cloud. Puoi ridimensionare lo storage in modo trasparente senza alcun peggioramento a livello di prestazioni o affidabilità dei servizi. Utilizza lo storage standard per lo storage "hot" a cui devi accedere in modo rapido, immediato e frequente. Utilizzare lo storage di archivio per lo storage "freddo" che si mantiene per lunghi periodi di tempo e raramente può accedere.
- Connettori servizio
Hub connettore servizio Oracle Cloud Infrastructure è una piattaforma bus messaggi cloud che orchestra lo spostamento dei dati tra i servizi in OCI. Puoi utilizzarlo per spostare i dati tra i servizi in Oracle Cloud Infrastructure. I dati vengono spostati utilizzando i connettori del servizio. Un connettore servizio specifica il servizio di origine che contiene i dati da spostare, i task da eseguire sui dati e il servizio di destinazione al quale devono essere consegnati i dati al termine dei task specificati.
È possibile utilizzare l'hub connettore servizio di Oracle Cloud Infrastructure per creare rapidamente un framework di aggregazione dei log per i sistemi SIEM. Un task facoltativo può essere un task funzione per elaborare i dati dell'origine o un task filtro log per filtrare i dati di log dall'origine.
- Cloud Guard
Puoi utilizzare Oracle Cloud Guard per monitorare e mantenere la sicurezza delle tue risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza ricette dei rilevatori che puoi definire per esaminare le tue risorse ai fini di individuare punti deboli della sicurezza e per monitorare operatori e utenti per individuare attività a rischio. Quando viene rilevata un'attività di configurazione errata o non sicura, Cloud Guard consiglia azioni correttive e assiste l'esecuzione di tali azioni in base alle ricette del risponditore che è possibile definire.
- Eventi
I servizi Oracle Cloud Infrastructure emettono eventi, ovvero messaggi strutturati che descrivono i cambiamenti nelle risorse. Gli eventi vengono emessi per le operazioni di creazione, lettura, aggiornamento o eliminazione (CRUD), le modifiche allo stato del ciclo di vita delle risorse e gli eventi di sistema che influiscono sulle risorse cloud.
- Audit
The Oracle Cloud Infrastructure Audit service automatically records calls to all supported Oracle Cloud Infrastructure public application programming interface (API) endpoints as log events. Al momento, tutti i servizi supportano il log tramite Oracle Cloud Infrastructure Audit.
- Streaming
Il servizio di streaming di Oracle Cloud Infrastructure offre una soluzione di storage completamente gestita, scalabile e duratura che consente di includere flussi di dati continui e a elevato volume che puoi utilizzare ed elaborare in tempo reale. Puoi utilizzare la soluzione Streaming per l'inclusione di dati a elevato volume, ad esempio log dell'applicazione, telemetria operativa, dati di click-stream Web o per altri casi d'uso in cui i dati vengono prodotti ed elaborati in maniera continua e sequenziale in un modello di messaggistica di pubblicazione/sottoscrizione.
- Data Safe
Oracle Data Safe è un servizio cloud regionale completamente integrato che offre un set completo di funzioni per proteggere i dati riservati e regolamentati nei database Oracle. Data Safe supporta anche database in locale, Oracle Exadata Database Service on Cloud@Customer e distribuzioni multicloud. Tutti i clienti di Oracle Database possono ridurre il rischio di violazione dei dati e semplificare la conformità utilizzando Oracle Data Safe per valutare il rischio di configurazione e utente, monitorare ed eseguire l'audit dell'attività degli utenti e per trovare, classificare e mascherare i dati riservati.