Monitorare e controllare l'ambiente

Assicurarsi di utilizzare i controlli corretti per monitorare e controllare l'ambiente.

Abilita Cloud Guard per il monitoraggio

Architetto enterprise, architetto della sicurezza

Oracle Cloud Guard ti consente di ottenere una visione unificata della postura della sicurezza cloud tra i tenant dei clienti di Oracle Cloud Infrastructure.
Gli eventi Cloud Guard devono essere monitorati dal team di sicurezza.

Assicurarsi che Cloud Guard sia abilitato al livello radice della tenancy per monitorare tutti i compartimenti. Oracle Cloud Guard rileva risorse non configurate correttamente e attività non sicure tra i tenant e offre agli amministratori della sicurezza la visibilità necessaria per valutare e risolvere i problemi di sicurezza del cloud. Le incongruenze nella sicurezza possono essere risolte automaticamente con ricette di sicurezza pronte all'uso per ridimensionare in modo efficace il Security Operations Center. Oracle fornisce le ricette del rilevatore (un componente Cloud Guard che identifica i potenziali problemi di sicurezza, in base alla configurazione o all'attività delle risorse) per abilitare la sicurezza dell'istanza in Cloud Guard.

Sicurezza dell'istanza è una ricetta di Oracle Cloud Guard che monitora gli host di computazione per rilevare attività sospette. La sicurezza delle istanze fornisce sicurezza runtime per i carichi di lavoro negli host virtuali e Bare Metal di computazione. La sicurezza dell'istanza espande Cloud Guard dalla gestione delle impostazioni di sicurezza cloud alla protezione del carico di lavoro cloud. Instance Security garantisce che le esigenze di sicurezza vengano soddisfatte in un unico luogo con visibilità coerente e comprensione olistica dello stato di sicurezza dell'infrastruttura.

Configura audit

Architetto enterprise, architetto della sicurezza

Il servizio Oracle Cloud Infrastructure Audit registra automaticamente le chiamate a tutti gli endpoint API (Application Programming Interface) pubblici Oracle Cloud Infrastructure supportati come eventi di log.
Al momento, tutti i servizi supportano la registrazione da parte di Oracle Cloud Infrastructure Audit.

Oracle Cloud Infrastructure Object Storage supporta la registrazione per gli eventi correlati al bucket, ma non per gli eventi correlati agli oggetti. Gli eventi di log registrati da Oracle Cloud Infrastructure Audit includono chiamate API effettuate dalla console Oracle Cloud Infrastructure, dall'interfaccia della riga di comando (CLI), dai kit di sviluppo software (SDK), dai propri client personalizzati o da altri servizi Oracle Cloud Infrastructure. Le informazioni contenute nei log includono quanto segue.

  • Ora in cui si è verificata l'attività API.
  • Fonte dell'attività.
  • Destinazione dell'attività.
  • Tipo di azione.
  • Tipo di risposta.

Ogni evento di log include un ID intestazione, risorse di destinazione, indicatore orario dell'evento registrato, parametri di richiesta e parametri di risposta. Puoi visualizzare gli eventi registrati da Oracle Cloud Infrastructure Audit utilizzando la console, l'API o l'SDK per Java. I dati provenienti dagli eventi possono essere utilizzati per eseguire operazioni di diagnostica, tenere traccia dell'uso delle risorse, monitorare la conformità e raccogliere eventi correlati alla sicurezza.

Se si dispone di strumenti di terze parti che devono accedere ai dati di Oracle Cloud Infrastructure Audit, configurare un hub connettore servizio per copiare i dati di Oracle Cloud Infrastructure Audit in un'area di memorizzazione degli oggetti, con un periodo di conservazione appropriato impostato.

Audit dei criteri

Architetto enterprise, architetto della sicurezza

Rivedere periodicamente le politiche per assicurarsi che soddisfino le buone pratiche di sicurezza.

Un auditor di criteri può esaminare i criteri IAM in modo ad hoc utilizzando la console di Oracle Cloud Infrastructure. Sono inoltre disponibili diverse opzioni che possono essere utilizzate per generare report criteri per l'analisi offline.

Cloud Guard dispone di due ricette del rilevatore di configurazione e di una ricetta del rilevatore di attività specifiche per i criteri IAM:

  • Il criterio fornisce troppi privilegi.
  • Privilegio di amministrazione della tenancy concesso al gruppo.
  • Criterio di sicurezza modificato.

Sebbene sia possibile modificare le ricette gestite da Oracle, Oracle consiglia di duplicare le ricette per consentire di modificare gli oggetti a cui sono destinate queste regole (mediante l'uso di tag o compartimenti). Ciò consente agli ambienti di produzione all'interno di una tenancy di disporre di controlli più rigorosi, riducendo al contempo le restrizioni in ambienti non di produzione che risiedono in un altro compartimento della tenancy. Se è necessario rivedere i criteri IAM a un livello più granulare, Oracle consiglia di utilizzare il rilevatore Criteri di sicurezza modificati per attivare un evento che:

  • Attiva una revisione manuale tramite il criterio.
  • Richiama una funzione per eseguire un'indagine o una misura correttiva.

Quando si controllano i criteri, considerare i potenziali problemi riportati di seguito.

  • Dove vengono definiti i criteri e sono conformi agli standard della tua organizzazione per l'uso dei compartimenti?
  • Controllare l'uso dei gruppi dinamici. Questi gruppi concedono privilegi in eccesso?
  • Quali servizi sono configurati e dove si trovano? Può darsi che alcuni servizi debbano essere limitati a determinati compartimenti o gruppi.
  • Individuare eventuali istruzioni duplicate da rimuovere.
  • Identificare i criteri che concedono i privilegi all'intera tenancy.
  • Identificare i gruppi che dispongono di più privilegi di quelli necessari.

Oracle Access Governance Cloud Service è una soluzione IGA (Identity and Governance and Administration) cloud nativa che fornisce provisioning degli utenti, revisioni degli accessi e analitica delle identità per facilitare la definizione e la gestione dei privilegi di accesso. Sfrutta insight utili sulle policy provenienti dall'intelligenza artificiale/machine learning per eseguire l'audit delle tue policy.

Monitorare i log di flusso VCN

Architetto enterprise, architetto della sicurezza

I log di flusso della VCN acquisiscono informazioni sul traffico di rete per supportare le esigenze di monitoraggio e sicurezza.
Ogni risorsa in una VCN dispone di una o più schede VNIC (Virtual Network Interface Card). Le liste di sicurezza vengono utilizzate per decidere il traffico consentito tramite una determinata VNIC. La VNIC è soggetta a tutte le regole in tutti gli elenchi di sicurezza associati alla subnet della VNIC. Per facilitare la risoluzione degli elenchi di sicurezza o il controllo del traffico in entrata e in uscita dalle VNIC, è possibile impostare i log di flusso della VCN.
  • Monitora i dettagli sul traffico che attraversa una VCN.
  • Controllare il traffico e risolvere i problemi relativi alle liste di sicurezza.
  • Abilitare e gestire i log di flusso dal centro comandi di rete.
  • Utilizzare i filtri di acquisizione per valutare e selezionare il traffico da includere nel log di flusso.
  • Sfrutta Oracle Cloud Infrastructure Logging per inviare informazioni di log a un gruppo di log specificato.
  • Abilita i log di flusso per tutte le VNIC in una VCN, una subnet, istanze specifiche della destinazione, load balancer di rete o VNIC delle risorse come punti di abilitazione.

Ricerca continua delle vulnerabilità

Architetto enterprise, architetto della sicurezza

Gli scanner di vulnerabilità sono strumenti software che aiutano le organizzazioni a identificare e assegnare priorità alle vulnerabilità nei loro sistemi informatici, reti, applicazioni e data store. Questi scanner analizzano il sistema o l'applicazione target per individuare potenziali punti deboli, ad esempio:
  1. Software o firmware obsoleti.
  2. Difetti senza patch (ad esempio: sistemi operativi, software o plugin senza patch).
  3. Impostazioni non configurate correttamente.
  4. Codice non sicuro o errori di programmazione.
  5. Password deboli o meccanismi di autenticazione.

Oracle Vulnerability Scanning Service aiuta a migliorare il livello di sicurezza in Oracle Cloud Infrastructure controllando regolarmente gli host per potenziali vulnerabilità. Il servizio genera report con metriche e dettagli su queste vulnerabilità.

Le funzionalità di base di Oracle Vulnerability Scanning Service sono:

  • Una suite di scansione semplice, attiva per impostazione predefinita, prescrittiva e gratuita, strettamente integrata con la piattaforma Oracle Cloud Infrastructure.
  • Plugin e motori predefiniti basati su motori di scansione open source e creati da Oracle Cloud Infrastructure per la scansione di host e container.
  • Oracle Cloud Infrastructure gestisce l'implementazione, la configurazione e l'upgrade di questi motori e agenti nella flotta dei clienti.
  • I problemi rilevati dalla suite di scansione verranno rilevati attraverso Oracle Cloud Guard, con regole e ML per dare priorità alle vulnerabilità critiche.
  • Oracle Cloud Infrastructure agirà (avvisa, risolve automaticamente o mette in quarantena) tramite i rispondenti per ridurre il tempo dal rilevamento alla risoluzione, anche attraverso le zone di sicurezza massime.
  • Integrazione con scanner di vulnerabilità di terze parti come Qualys Vulnerability Management, Detection e Response.

Aggrega log servizio a piattaforme SIEM

Architetto enterprise, architetto di sicurezza, architetto di rete

Puoi inviare i log dei servizi OCI alle piattaforme SIEM (Security Information and Event Management) per aumentare la tua reattività agli attacchi alla sicurezza.

Le piattaforme SIEM consentono di monitorare gli eventi di sicurezza da diverse origini, ad esempio reti, dispositivi e identità. Puoi anche analizzare questi segnali in tempo reale utilizzando il machine learning per correlare vari segnali e identificare attività minacciose di hacking e eventi di sicurezza irregolari che viaggiano attraverso la rete.

OCI può inviare log ed eventi a diverse piattaforme SIEM di terze parti.

Ulteriori informazioni