Cyber Stellar: Esegui una piattaforma di rilevamento e risposta delle minacce aperte basata sull'intelligenza artificiale su Oracle Cloud

Per aiutare le aziende a difendere le proprie operazioni digitali in modo olistico e per prevenire le violazioni della sicurezza dei dati, la piattaforma di rilevamento e risposta a minacce aperte basata sull'intelligenza artificiale (Open XDR) di Stellar Cyber integra perfettamente tutti i propri strumenti di sicurezza, fornendo rilevamento immediato delle minacce, correlazione degli incidenti e funzionalità automatizzate di caccia e risposta alle minacce agli analisti della sicurezza in tutto il mondo.

Stellar Cyber consente ai team addetti alle operazioni di sicurezza di rilevare, indagare e rispondere immediatamente agli attacchi informatici, riducendo l'impatto e i rischi per le proprie attività avvalendosi dei seguenti elementi:

• Sensori per il traffico di rete
• Telemetria del sistema operativo
• Raccolta log
• Raccolta dei dati API sul perimetro
• Un canale sicuro per orchestrare le risposte agli strumenti di sicurezza locali, come firewall, rilevamento e risposta degli endpoint (EDR) e piattaforme di identità

Fondata nel 2015, Stellar Cyber esegue la propria piattaforma di sicurezza cloud nativa su Oracle Cloud Infrastructure (OCI). Stellar Cyber automatizza l'elaborazione e l'inoltro dei log e fornisce un'ispezione approfondita dei pacchetti (DPI) e l'analisi del traffico di rete (NTA) per oltre 3500 applicazioni di rete. La distribuzione include una sandbox per il rilevamento di malware, il buffering dei dati e altro ancora.

Sviluppata inizialmente come applicazione on-premise, la distribuzione di Stellar Cyber è stata rifattata come piattaforma software-as-a-service (SaaS) e spostata in OCI.

I punti salienti dell'implementazione di Stellar Cyber includono:

• Il motore ElasticSearch (OpenSearch) gestisce indici e partizioni in un data lake

• Oracle Cloud Infrastructure Block Volumes fornisce un rapido recupero di dati da analizzare per 30-90 giorni

• Oracle Cloud Infrastructure Object Storage fornisce un repository di dati per lo storage a lungo termine a freddo per uno o più anni

• Oracle Cloud Infrastructure DevOps offre strumenti per creare pipeline di integrazione continua/sviluppo continuo (CI/CD)

• Oracle Cloud Infrastructure Registry memorizza, condivide e gestisce le immagini Docker

• Oracle Cloud Infrastructure Email Delivery invia avvisi e notifiche ai clienti di Stellar Cyber

Architettura

Stellar Cyber utilizza una combinazione di sensori di sicurezza, motori di raccolta log e connettori API per raccogliere dati correlati alla sicurezza nell'intera azienda di un cliente.

I dati e i log dei sensori vengono inviati tramite Oracle Cloud Infrastructure Web Application Firewall (WAF) che protegge la tenancy Stellar Cyber Oracle Cloud Infrastructure (OCI) dal traffico di rete indesiderato o dannoso. L'architettura di Stellar Cyber utilizza componenti open source costruiti con container in esecuzione su quattro pool di nodi in un cluster OKE (Oracle Cloud Infrastructure Container Engine for Kubernetes). Un pool di nodi contenente Apache Kafka e Apache Flink viene distribuito per i servizi di flusso, in cui i dati inclusi vengono elaborati da Kafka e passati a Flink per la normalizzazione e l'arricchimento. I flussi di dati vengono bilanciati con l'utilizzo di Oracle Cloud Infrastructure Load Balancing.

Il diagramma riportato di seguito illustra il flusso di dati semplificato tramite la topologia.

Descrizione dell'illustrazione stellar-cyber-oci-data-flow.png

stellar-cyber-oci-data-flow-oracle.zip

Elastic Stack viene distribuito in due pool di nodi OKE separati: uno per Elasticsearch (master) e uno per Elasticsearch data lake (dati). I dati normalizzati e integrati da Flink vengono passati a Elasticsearch per il recupero e l'analisi. I dati di tipo RAW vengono memorizzati nel data lake di Elasticsearch.

Un pool di nodi per i microservizi fornisce container per la correlazione, l'apprendimento automatico e i servizi (API e interfaccia utente) che consentono agli utenti di esaminare, analizzare e visualizzare i propri dati.

Il contenitore di apprendimento automatico interagisce con Elasticsearch e fornisce dati al contenitore dei servizi da presentare all'utente. Gli algoritmi di apprendimento automatico classificano le minacce analizzando serie temporali e gruppi di pari livello con l'analisi di apprendimento e comportamento senza supervisione e generalizzando i pattern di attacco noti con l'apprendimento supervisionato. Un motore di correlazione basato su ML grafico viene utilizzato per identificare gli incidenti di alto livello dagli avvisi. Per i clienti che richiedono avvisi via e-mail, il servizio di consegna tramite e-mail di Oracle Cloud Infrastructure genera notifiche. Il servizio DNS (Domain Name Service) di Oracle Cloud Infrastructure gestisce le zone DNS Stellar Cyber.

Oracle Cloud Infrastructure Block Volumes gestisce lo storage a caldo in cui i dati vengono memorizzati in media tra 30 e 90 giorni. Per lo storage a lungo termine a freddo, Oracle Cloud Infrastructure Object Storage viene utilizzato per conservare i dati per uno o più anni. Lo storage a caldo può variare da 1 TB a 300 TB. Una multitenancy gerarchica consente alla piattaforma di supportare più clienti contemporaneamente e consente anche a un cliente di essere un Managed Service Provider (MSP) con i propri tenant. È possibile creare bucket di storage aggiuntivi per separare i flussi di dati raccolti.

Stellar Cyber sfrutta gli strumenti CI/CD di OCI (repository di codici e registro dei container) insieme a OCI DevOps per ridimensionare e monitorare il cluster OKE. Un bastion host viene utilizzato come jump server per amministrare il sistema.

Stellar Cyber prevede di sfruttare ulteriori offerte PaaS da OCI, ad esempio:

• Oracle Functions per fornire un'architettura serverless
• Oracle Cloud Infrastructure Streaming e Oracle Stream Analytics per sostituire Kafka come handler di dati di streaming
• Oracle API Gateway per sostituire i propri servizi API con l'accesso del cliente
• Oracle Autonomous Data Warehouse per il suo data lake
• Mesh di servizio Oracle Cloud Infrastructure per la comunicazione da microservizio a microservizio cifrata e autenticata a vicenda

Utilizzando le offerte PaaS, Stellar Cyber ridurrà lo sforzo necessario per gestire e gestire questi servizi.

Il diagramma riportato di seguito illustra questa architettura di riferimento.

Descrizione dell'illustrazione stellar-cyber-oci-architecture.png

architettura stellar-cyber-oci-oracle.zip

L'architettura è dotata dei componenti elencati di seguito.

• Tenancy

  Una tenancy è una partizione sicura e isolata che Oracle imposta all'interno di Oracle Cloud quando ti iscrivi a Oracle Cloud Infrastructure. Puoi creare, organizzare e amministrare le tue risorse in Oracle Cloud all'interno della tua tenancy. Una tenancy è sinonimo di azienda o organizzazione. In genere, un'azienda avrà una singola tenancy e ne rifletterà la struttura organizzativa all'interno di tale tenancy. Una singola tenancy in genere è associata a una singola sottoscrizione e una singola sottoscrizione in genere ha una sola tenancy.

• Area

  Un'area Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, definiti domini di disponibilità. Le regioni sono indipendenti da altre regioni e grandi distanze possono separarle (in tutti i paesi o anche in continenti).

• Compartimento

  I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy di Oracle Cloud Infrastructure. Usare i compartimenti per organizzare le risorse in Oracle Cloud, controllare l'accesso alle risorse e impostare le quote di utilizzo. Per controllare l'accesso alle risorse in un determinato compartimento, definisci i criteri che specificano chi può accedere alle risorse e quali azioni può eseguire.

• Dominio di disponibilità

  I domini di disponibilità sono data center standalone indipendenti all'interno di un'area geografica. Le risorse fisiche in ciascun dominio di disponibilità sono isolate dalle risorse presenti negli altri domini di disponibilità, che offrono tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio l'alimentazione, il raffreddamento o la rete interna del dominio di disponibilità. È pertanto improbabile che l'eventuale guasto di un dominio di disponibilità influenzi gli altri domini di disponibilità nell'area.

• Rete cloud virtuale (VCN) e subnet

  Una VCN è una rete personalizzabile e definita dal software configurata in un'area Oracle Cloud Infrastructure. Analogamente alle reti di data center tradizionali, i VCN offrono il controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che puoi modificare dopo aver creato la VCN. Puoi segmentare una VCN nelle subnet che possono essere definite nell'area o in un dominio di disponibilità. Ogni subnet è composta da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. Puoi modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

• Lista di sicurezza

  Per ogni subnet, puoi creare regole di sicurezza che specifichino l'origine, la destinazione e il tipo di traffico che deve essere consentito all'interno e all'esterno della subnet.

• Tabella di instradamento

  Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni esterne a una VCN, in genere tramite gateway.

• Gateway Internet

  Il gateway Internet consente il traffico tra le subnet pubbliche in una rete VCN e la rete Internet pubblica.

• Gateway NAT (Network Address Translation)

  Un gateway NAT consente alle risorse private di una VCN di accedere agli host su Internet, senza esporre tali risorse alle connessioni a Internet in entrata.

• Gateway del servizio

  Il gateway di servizi fornisce l'accesso da una VCN ad altri servizi, come Oracle Cloud Infrastructure Object Storage. Il traffico dalla VCN al servizio Oracle viaggia sulla struttura di rete Oracle e non attraversa mai Internet.

• Web Application Firewall (WAF)

  Oracle Cloud Infrastructure Web Application Firewall (WAF) è un servizio di applicazione conforme alle carte di pagamento (PCI), basato su regioni e perimetrali collegato a un punto di applicazione, come un load balancer o un nome di dominio di applicazione Web. WAF protegge le applicazioni dal traffico Internet dannoso e indesiderato. WAF può proteggere qualsiasi endpoint che si interfaccia con Internet, garantendo un'applicazione coerente delle regole in tutte le applicazioni di un cliente.

• DNS

  Il servizio DNS (Domain Name System) di Oracle Cloud Infrastructure è una rete DNS (Domain Name System) a anycast altamente scalabile che offre prestazioni, resilienza e scalabilità DNS avanzate, in modo che gli utenti finali si connettono all'applicazione dei clienti il più rapidamente possibile, ovunque si trovino.

• Load balancer

  Il servizio Oracle Cloud Infrastructure Load Balancing offre la distribuzione automatica del traffico da un unico punto di accesso a più server nel back-end.

• Calcola

  Il servizio Oracle Cloud Infrastructure Compute consente di eseguire il provisioning e la gestione degli host di computazione nel cloud. Puoi avviare le istanze di computazione con forme che soddisfano i requisiti delle risorse per CPU, memoria, larghezza di banda di rete e storage. Dopo aver creato un'istanza di computazione, puoi accedere a tale istanza in modo sicuro, riavviarla, collegare e scollegare volumi e terminarla quando non hai più bisogno di tale istanza.

• Container Engine per Kubernetes

  Oracle Cloud Infrastructure Container Engine for Kubernetes è un servizio completamente gestito, scalabile e ad alta disponibilità che puoi utilizzare per distribuire le tue applicazioni gestite in container nel cloud. Puoi specificare le risorse di computazione richieste dalle tue applicazioni, mentre Container Engine for Kubernetes le esegue sul provisioning di Oracle Cloud Infrastructure in una tenancy esistente. Container Engine for Kubernetes utilizza Kubernetes per automatizzare la distribuzione, il ridimensionamento e la gestione delle applicazioni in container su cluster di host.

• Volume a blocchi

  Grazie ai volumi di storage a blocchi, puoi creare, collegare, connettere e spostare volumi di storage, nonché modificare le prestazioni dei volumi per soddisfare i tuoi requisiti di storage, prestazioni e applicazioni. Dopo aver collegato e connesso un volume a un'istanza, puoi utilizzare il volume con una normale unità disco fisso. Inoltre, puoi disconnettere un volume e collegarlo a un'altra istanza senza perdere i dati.

• Memorizzazione file

  Il servizio Oracle Cloud Infrastructure File Storage fornisce un file system di rete duraturo, scalabile, sicuro e di livello enterprise. Puoi connetterti a un file system del servizio di storage di file da qualsiasi istanza Bare Metal, Virtual Machine o container in una rete VCN. Inoltre, puoi accedere a un file system dall'esterno della rete VCN utilizzando Oracle Cloud Infrastructure FastConnect e IPSec VPN.

• Volteggio

  Oracle Cloud Infrastructure Vault consente di gestire centralmente le chiavi di cifratura che proteggono i dati e le credenziali segrete utilizzate per proteggere l'accesso alle risorse nel cloud. Puoi utilizzare il servizio Vault per creare e gestire i vault, le chiavi e i segreti.

• Notifiche

  Il servizio Oracle Cloud Infrastructure Notifications trasmette messaggi a componenti distribuiti tramite un pattern di pubblicazione/sottoscrizione, offrendo messaggi sicuri, altamente affidabili, a bassa latenza e duraturi per le applicazioni ospitate su Oracle Cloud Infrastructure.

• Audit

  The Oracle Cloud Infrastructure Audit service automatically records calls to all supported Oracle Cloud Infrastructure public application programming interface (API) endpoints as log events. Al momento, tutti i servizi supportano il log tramite Oracle Cloud Infrastructure Audit.

• Criterio

  Un criterio di Oracle Cloud Infrastructure Identity and Access Management specifica chi può accedere a quali risorse e come. L'accesso viene concesso a livello di gruppo e compartimento. Ciò significa che puoi scrivere un criterio che concede a un gruppo un tipo specifico di accesso all'interno di un compartimento specifico o alla tenancy.

Partecipa all'evento Creato e distribuito

Vuoi mostrare cosa hai costruito su Oracle Cloud Infrastructure? Vuoi condividere le tue lezioni apprese, le migliori prassi e le architetture di riferimento con la nostra comunità globale di architetti cloud? Ti aiutiamo a iniziare.

1. Scarica il modello (PPTX)

   Illustrare la propria architettura di riferimento trascinando e rilasciando le icone nel wireframe di esempio.

2. Guarda l'esercitazione sull'architettura

   Istruzioni dettagliate su come creare un'architettura di riferimento.

3. Invia il tuo diagramma

   Inviaci un'e-mail con il tuo diagramma. I nostri architetti cloud esamineranno il tuo diagramma e ti contatteranno per discutere della tua architettura.

Visualizza altro

Ulteriori informazioni sulle funzioni di questa architettura.

• Framework basato sulle best practice per Oracle Cloud Infrastructure

• Documentazione di Oracle Cloud Infrastructure

• Uso dello streaming con Apache Kafka

• Distribuzione di Elasticsearch su Oracle Cloud Infrastructure mediante un modello Terraform (Blog)

• Distribuisci Oracle Container Engine for Kubernetes (Esercitazione)

• Valutatore costi Oracle Cloud

Riconoscimenti

• Autori: Robert Huie, Sasha Banks-Louie
• Collaboratori: Ganesh Pitchaiah, Robert Lies