Informazioni sulla protezione e il monitoraggio di Oracle IDCS
Oracle Functions è una piattaforma serverless, altamente scalabile e completamente gestita Functions-as-a-Service basata su Oracle Cloud Infrastructure e basata sul motore di progetto Fn open source. Gli sviluppatori possono utilizzare Oracle Functions per scrivere e distribuire codice che garantisce valore aziendale senza preoccuparsi del provisioning o della gestione dell'infrastruttura di base. Oracle Functions è container nativo, con funzioni raggruppate sotto forma di immagini dei container Docker.
Architettura

Descrizione dell'illustrazione secure-monitor-idcs-arch.png
sicuro-monitor-idcs-arch-oracle.zip
- Area
Un'area geografica di Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separarle (tra paesi o addirittura continenti).
- Compartimento
I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy di Oracle Cloud Infrastructure. Usare i compartimenti per organizzare le risorse in Oracle Cloud, controllare l'accesso alle risorse e impostare le quote d'uso. Per controllare l'accesso alle risorse in un determinato compartimento, puoi definire i criteri che specificano chi può accedere alle risorse e quali azioni possono eseguire.
- Rete cloud virtuale (VCN) e subnet
Una VCN è una rete personalizzabile definita dal software che si imposta in un'area Oracle Cloud Infrastructure. Analogamente alle reti di data center tradizionali, i VCN offrono un controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi suddividere una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è composta da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. Puoi modificare la dimensione di una subnet dopo la creazione. Una subnet può essere pubblica o privata.
- Gateway API
Il servizio gateway API consente di pubblicare le interfacce API con endpoint privati accessibili dalla rete e che, se necessario, è possibile esporre alla rete Internet pubblica. Gli endpoint supportano la convalida, la trasformazione delle richieste e delle risposte API, CORS, l'autenticazione e l'autorizzazione e il limite delle richieste.
- Funzione
Oracle Functions è una piattaforma completamente gestita, multi-tenant, altamente scalabile, su richiesta, Functions-as-a-Service (FaaS). È alimentato dal motore open source Fn Project. Le funzioni consentono di distribuire il codice, richiamandolo direttamente o attivandolo in risposta agli eventi. Oracle Functions utilizza i container Docker ospitati in Oracle Cloud Infrastructure Registry.
- Storage degli oggetti
Lo storage degli oggetti ti consente di accedere rapidamente a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi i backup del database, i dati analitici e i contenuti avanzati quali immagini e video. Puoi memorizzare e recuperare i dati in tutta sicurezza direttamente da Internet o dall'interno della piattaforma cloud. Puoi ridimensionare lo storage in modo trasparente senza subire cali di prestazioni o affidabilità dei servizi. Puoi utilizzare lo storage standard per lo storage "hot" a cui hai bisogno per accedere in modo rapido, immediato e frequente. Utilizzare lo storage di archivio per lo storage in grassetto conservato per lunghi periodi di tempo e accesso raramente eseguito.
- Logging Analytics
Logging Analytics è un servizio regionale SaaS completamente gestito disponibile in più di 27 aree che fornisce raccolta, indicizzazione, arricchimento, query, visualizzazione e avvisi per i log da qualsiasi componente IT in esecuzione su on premise, OCI o cloud di terze parti.
- Vault
Vault è un servizio di gestione delle chiavi utilizzato per cifrare password e segreti dei client
Prima di iniziare
Esaminare i suggerimenti per la distribuzione e l'uso
- Gruppi di log
Definisci più gruppi di log per fornire autorizzazioni di accesso corrette a team diversi ed evitare di condividere dati riservati.
- Gestione dei costi
Il servizio Logging Analytics viene addebitato sul volume di dati nello storage attivo e di archiviazione. Per consentire la risoluzione dei problemi quotidiani e ricevere i vantaggi del rilevamento delle anomalie, del rilevamento dei pattern e di altre funzionalità di apprendimento automatico, Oracle consiglia di utilizzare un periodo di storage attivo di 90 giorni e spostare log più vecchi di 90 giorni nello storage di archivio. I log di archivio archiviati possono essere richiamati rapidamente su richiesta.
Esaminare le considerazioni sulla distribuzione e sull'uso
Durante la progettazione di uno stack di applicazioni ad alta disponibilità nel cloud, prendi in considerazione i seguenti fattori:
- Prestazioni
Le prestazioni delle query si basano sull'intervallo di tempo e sul numero di operazioni quali filtri, group-by e così via. Per migliorare le prestazioni delle query, Oracle consiglia di arricchire i log con etichette e campi specifici al momento dell'inclusione.
- Sicurezza e RBAC.
Personalizza le definizioni delle origini log per filtrare i dati di informazioni personali identificabili (PII) e abilitare l'arricchimento della geolocalizzazione. Disponibilità: Logging Analytics è un servizio SaaS ad alta disponibilità completamente gestito. Distribuire l'applicazione Oracle Cloud Infrastructure Logging Analytics è disponibile come stack in Oracle Cloud Marketplace
Prepara applicazione IDCS OAuth per chiamata API
Per chiamare l'API IDCS mediante un ID client/segreto, devi creare un'applicazione personalizzata in IDCS e generare un ID client/segreto. Assicurarsi di registrare l'URL IDCS, l'ID client e il segreto.
Preparazione dell'ambiente OCI
Successivamente, devi preparare l'ambiente OCI assicurandoti di disporre delle autorizzazioni appropriate e avere le risorse necessarie per completare i task.
- Permesso di gestire i seguenti tipi di risorse nella tenancy Oracle Cloud Infrastructure:
- VCN
- Gateway Internet
- Tabelle di instradamento
- Liste di sicurezza
- Subnet
- Funzioni
- Gateway API
- Controlli dello stato
- Quota sufficiente per creare le risorse seguenti:
- 1 VCN
- 1 subnet
- 1 gateway Internet
- 1 regole di instradamento
- 1 funzione
- 1 gruppo dinamico
- 1 Criterio
- 1 gateway API
- 1 Controllo dello stato
Informazioni sui dashboard definiti da Oracle
Comprendere il dashboard dei log di controllo di IDCS
Il dashboard Log di audit IDCS riepiloga le informazioni di audit, utilizzando i widget, in un unico riquadro con grafici e visualizzazioni, in base alla selezione dell'intervallo di tempo. In questo modo viene fornita una panoramica generale delle varie attività dell'applicazione e dell'utente nel periodo di tempo selezionato.
- Un totale di (per applicazione)
Numero di eventi applicazione ed eventi utente.
- Eventi dell'applicazione
Grafico che illustra il record periodico degli eventi dell'applicazione
- Un totale di (per utente)
Numero di eventi applicazione ed eventi utente.
- Eventi utente
Grafico che illustra il record periodico degli eventi utente
- Eventi per applicazione per tipo
Visualizzazione mappa ad albero degli eventi raggruppati per tipo di evento per ogni applicazione.
- Eventi per utente per tipo
Visualizzazione mappa ad albero degli eventi raggruppati per tipo di evento per ciascun utente
- Ripartizione per applicazione
Grafico a torta che mostra la distribuzione del conteggio di eventi raggruppati per applicazioni.
- Partizione per tipo di evento (per applicazione)
Un grafico a torta che raggruppa il conteggio degli eventi per tipo di evento solo per gli eventi dell'applicazione.
- Ripartizione per utente
Grafico a torta che mostra la distribuzione del numero di eventi, raggruppati per utente.
- Partizione per tipo di evento (per utente)
Grafico a torta che mostra il conteggio degli eventi raggruppati per tipo di evento solo per gli eventi utente.
Comprendere il dashboard Amministrazione di IDCS
- Visualizzazione del collegamento degli eventi che comportano un'azione di amministrazione riuscita o non riuscita dell'utente raggruppato per tipo di evento e utente. Ogni bolla nel grafico rappresenta un gruppo di eventi di un tipo specifico da parte di un determinato utente. Questa visualizzazione è utile per identificare attività anomale.
- Visualizzazione della mappa struttura degli eventi che comportano un'azione di amministrazione riuscita o non riuscita dell'utente raggruppata per tipo di evento e utente. Per ciascun utente viene visualizzato un set di rettangoli che rappresentano gli eventi azione di amministrazione riusciti. La visualizzazione è utile per visualizzare le attività di amministrazione di ogni utente.
- Vista istogramma in pila del conteggio degli eventi corrispondenti distribuiti nel periodo di tempo selezionato. I diversi colori di ogni barra rappresentano gli eventi per diversi utenti.
- Analisi in formato tabulare degli eventi ai quali sono stati concessi ruoli a utenti specifici per applicazioni specifiche.