Informazioni sulla protezione e il monitoraggio di Oracle IDCS

È possibile utilizzare il nuovo servizio Logging Analytics con altri servizi Oracle Cloud Infrastructure (OCI) per ottenere informazioni dettagliate sulla sicurezza e la governance da un'istanza Oracle Identity Cloud Service (IDCS). Questo playbook descrive come utilizzare una funzione serverless per automatizzare il processo di raccolta dei log di audit da IDCS e di caricamento in Log Analytics per l'analisi.

Oracle Functions è una piattaforma serverless, altamente scalabile e completamente gestita Functions-as-a-Service basata su Oracle Cloud Infrastructure e basata sul motore di progetto Fn open source. Gli sviluppatori possono utilizzare Oracle Functions per scrivere e distribuire codice che garantisce valore aziendale senza preoccuparsi del provisioning o della gestione dell'infrastruttura di base. Oracle Functions è container nativo, con funzioni raggruppate sotto forma di immagini dei container Docker.

Architettura

In questa architettura la funzione chiama l'API IDCS per raccogliere i log, quindi chiama l'API Log Analytics per caricarla su Log Analytics. Utilizza il gateway API e il controllo dello stato per pianificare l'esecuzione della funzione ogni cinque minuti. Memorizza lo stato corrente nel bucket di storage degli oggetti. Questo diagramma illustra la topologia e il flusso di dati che ti consentirà di ottenere informazioni dettagliate sulla sicurezza e sulla governance da un'istanza di Oracle IDCS.
Segue la descrizione di secure-monitor-idcs-arch.png
Descrizione dell'illustrazione secure-monitor-idcs-arch.png

sicuro-monitor-idcs-arch-oracle.zip

  • Area

    Un'area geografica di Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separarle (tra paesi o addirittura continenti).

  • Compartimento

    I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy di Oracle Cloud Infrastructure. Usare i compartimenti per organizzare le risorse in Oracle Cloud, controllare l'accesso alle risorse e impostare le quote d'uso. Per controllare l'accesso alle risorse in un determinato compartimento, puoi definire i criteri che specificano chi può accedere alle risorse e quali azioni possono eseguire.

  • Rete cloud virtuale (VCN) e subnet

    Una VCN è una rete personalizzabile definita dal software che si imposta in un'area Oracle Cloud Infrastructure. Analogamente alle reti di data center tradizionali, i VCN offrono un controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi suddividere una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è composta da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. Puoi modificare la dimensione di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

  • Gateway API

    Il servizio gateway API consente di pubblicare le interfacce API con endpoint privati accessibili dalla rete e che, se necessario, è possibile esporre alla rete Internet pubblica. Gli endpoint supportano la convalida, la trasformazione delle richieste e delle risposte API, CORS, l'autenticazione e l'autorizzazione e il limite delle richieste.

  • Funzione

    Oracle Functions è una piattaforma completamente gestita, multi-tenant, altamente scalabile, su richiesta, Functions-as-a-Service (FaaS). È alimentato dal motore open source Fn Project. Le funzioni consentono di distribuire il codice, richiamandolo direttamente o attivandolo in risposta agli eventi. Oracle Functions utilizza i container Docker ospitati in Oracle Cloud Infrastructure Registry.

  • Storage degli oggetti

    Lo storage degli oggetti ti consente di accedere rapidamente a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi i backup del database, i dati analitici e i contenuti avanzati quali immagini e video. Puoi memorizzare e recuperare i dati in tutta sicurezza direttamente da Internet o dall'interno della piattaforma cloud. Puoi ridimensionare lo storage in modo trasparente senza subire cali di prestazioni o affidabilità dei servizi. Puoi utilizzare lo storage standard per lo storage "hot" a cui hai bisogno per accedere in modo rapido, immediato e frequente. Utilizzare lo storage di archivio per lo storage in grassetto conservato per lunghi periodi di tempo e accesso raramente eseguito.

  • Logging Analytics

    Logging Analytics è un servizio regionale SaaS completamente gestito disponibile in più di 27 aree che fornisce raccolta, indicizzazione, arricchimento, query, visualizzazione e avvisi per i log da qualsiasi componente IT in esecuzione su on premise, OCI o cloud di terze parti.

  • Vault

    Vault è un servizio di gestione delle chiavi utilizzato per cifrare password e segreti dei client

Prima di iniziare

Per completare correttamente i passi di questo playbook, è necessario preparare l'applicazione IDCS OAuth per le chiamate API e preparare l'ambiente OCI.

Esaminare i suggerimenti per la distribuzione e l'uso

I requisiti potrebbero essere diversi dall'architettura descritta qui. Utilizza questi suggerimenti come punto di partenza.
  • Gruppi di log

    Definisci più gruppi di log per fornire autorizzazioni di accesso corrette a team diversi ed evitare di condividere dati riservati.

  • Gestione dei costi

    Il servizio Logging Analytics viene addebitato sul volume di dati nello storage attivo e di archiviazione. Per consentire la risoluzione dei problemi quotidiani e ricevere i vantaggi del rilevamento delle anomalie, del rilevamento dei pattern e di altre funzionalità di apprendimento automatico, Oracle consiglia di utilizzare un periodo di storage attivo di 90 giorni e spostare log più vecchi di 90 giorni nello storage di archivio. I log di archivio archiviati possono essere richiamati rapidamente su richiesta.

Esaminare le considerazioni sulla distribuzione e sull'uso

Durante la progettazione di uno stack di applicazioni ad alta disponibilità nel cloud, prendi in considerazione i seguenti fattori:

  • Prestazioni

    Le prestazioni delle query si basano sull'intervallo di tempo e sul numero di operazioni quali filtri, group-by e così via. Per migliorare le prestazioni delle query, Oracle consiglia di arricchire i log con etichette e campi specifici al momento dell'inclusione.

  • Sicurezza e RBAC.

    Personalizza le definizioni delle origini log per filtrare i dati di informazioni personali identificabili (PII) e abilitare l'arricchimento della geolocalizzazione. Disponibilità: Logging Analytics è un servizio SaaS ad alta disponibilità completamente gestito. Distribuire l'applicazione Oracle Cloud Infrastructure Logging Analytics è disponibile come stack in Oracle Cloud Marketplace

Prepara applicazione IDCS OAuth per chiamata API

Per chiamare l'API IDCS mediante un ID client/segreto, devi creare un'applicazione personalizzata in IDCS e generare un ID client/segreto. Assicurarsi di registrare l'URL IDCS, l'ID client e il segreto.

In questa procedura verrà creata un'applicazione client che utilizza un token per utilizzare le API REST IDCS. Ciò elimina la necessità di immettere il nome utente e la password per autenticare la funzione che verrà creata successivamente in questo esercizio.
  1. Nella console IDCS selezionare Applicazioni, fare clic su Aggiungi, quindi selezionare Applicazione riservata.
  2. Assegnare un nome all'applicazione e fare clic su Avanti.
    Viene visualizzata la finestra Configuration.
  3. Controllare Tipi di privilegi consentiti e Proprietario risorsa, quindi concedere al client l'accesso all'amministratore di Identity Cloud Service aggiungendo il ruolo di amministratore del dominio di Identity all'applicazione. Fare clic su Avanti.
  4. Selezionare Applica autorizzazione come autorizzazione e fare clic su Avanti, quindi su Fine.
    Viene visualizzato un popup che mostra l'ID client e il segreto client.
  5. Copiare l'ID client e il segreto client in base alle esigenze.

Preparazione dell'ambiente OCI

Successivamente, devi preparare l'ambiente OCI assicurandoti di disporre delle autorizzazioni appropriate e avere le risorse necessarie per completare i task.

Verificare di disporre degli elementi riportati di seguito.
  • Permesso di gestire i seguenti tipi di risorse nella tenancy Oracle Cloud Infrastructure:
    • VCN
    • Gateway Internet
    • Tabelle di instradamento
    • Liste di sicurezza
    • Subnet
    • Funzioni
    • Gateway API
    • Controlli dello stato
  • Quota sufficiente per creare le risorse seguenti:
    • 1 VCN
    • 1 subnet
    • 1 gateway Internet
    • 1 regole di instradamento
    • 1 funzione
    • 1 gruppo dinamico
    • 1 Criterio
    • 1 gateway API
    • 1 Controllo dello stato

Informazioni sui dashboard definiti da Oracle

I log di audit IDCS definiti da Oracle e i dashboard di Governance dell'amministratore IDCS vengono creati automaticamente nel servizio Logging Analytics quando lo stack Terraform viene distribuito. Questi dashboard ti consentono di visualizzare i dati di analisi in un unico pannello, utile per monitorare da vicino le attività dell'applicazione cloud, rilevare eventi anomali e amministrare le azioni di amministrazione.

Comprendere il dashboard dei log di controllo di IDCS

Il dashboard Log di audit IDCS riepiloga le informazioni di audit, utilizzando i widget, in un unico riquadro con grafici e visualizzazioni, in base alla selezione dell'intervallo di tempo. In questo modo viene fornita una panoramica generale delle varie attività dell'applicazione e dell'utente nel periodo di tempo selezionato.

Il dashboard Log di audit IDCS contiene un riepilogo dei dati riportati di seguito.
  • Un totale di (per applicazione)

    Numero di eventi applicazione ed eventi utente.

  • Eventi dell'applicazione

    Grafico che illustra il record periodico degli eventi dell'applicazione

  • Un totale di (per utente)

    Numero di eventi applicazione ed eventi utente.

  • Eventi utente

    Grafico che illustra il record periodico degli eventi utente

  • Eventi per applicazione per tipo

    Visualizzazione mappa ad albero degli eventi raggruppati per tipo di evento per ogni applicazione.

  • Eventi per utente per tipo

    Visualizzazione mappa ad albero degli eventi raggruppati per tipo di evento per ciascun utente

  • Ripartizione per applicazione

    Grafico a torta che mostra la distribuzione del conteggio di eventi raggruppati per applicazioni.

  • Partizione per tipo di evento (per applicazione)

    Un grafico a torta che raggruppa il conteggio degli eventi per tipo di evento solo per gli eventi dell'applicazione.

  • Ripartizione per utente

    Grafico a torta che mostra la distribuzione del numero di eventi, raggruppati per utente.

  • Partizione per tipo di evento (per utente)

    Grafico a torta che mostra il conteggio degli eventi raggruppati per tipo di evento solo per gli eventi utente.

Comprendere il dashboard Amministrazione di IDCS

Il dashboard Amministrazione IDCS presenta la prospettiva parallela per le azioni di amministrazione riuscite e non riuscite da parte dell'utente, nell'intervallo di tempo specificato. Questo dashboard fornisce una panoramica di tutte le attività amministrative e informazioni dettagliate sulle azioni riuscite e non riuscite. Per eseguire il drill-down, è possibile aprire le visualizzazioni in Log Explorer e fare clic sugli eventi esatti alla causa principale.
Il dashboard Amministrazione di IDCS offre le funzioni riportate di seguito.
  • Visualizzazione del collegamento degli eventi che comportano un'azione di amministrazione riuscita o non riuscita dell'utente raggruppato per tipo di evento e utente. Ogni bolla nel grafico rappresenta un gruppo di eventi di un tipo specifico da parte di un determinato utente. Questa visualizzazione è utile per identificare attività anomale.
  • Visualizzazione della mappa struttura degli eventi che comportano un'azione di amministrazione riuscita o non riuscita dell'utente raggruppata per tipo di evento e utente. Per ciascun utente viene visualizzato un set di rettangoli che rappresentano gli eventi azione di amministrazione riusciti. La visualizzazione è utile per visualizzare le attività di amministrazione di ogni utente.
  • Vista istogramma in pila del conteggio degli eventi corrispondenti distribuiti nel periodo di tempo selezionato. I diversi colori di ogni barra rappresentano gli eventi per diversi utenti.
  • Analisi in formato tabulare degli eventi ai quali sono stati concessi ruoli a utenti specifici per applicazioni specifiche.