Stellar Cyber: Oracle CloudでAIベースのオープン脅威検出およびレスポンス・プラットフォームを実行
企業がデジタル・オペレーションを包括的に防御し、データ・セキュリティ侵害を防ぐために、Stellar CyberのAIベースのオープン脅威検出および応答プラットフォーム(Open XDR)は、すべてのセキュリティ・ツールをシームレスに統合し、脅威の即時検出、インシデントの相関、および脅威の検知と応答の自動化された機能を世界中のセキュリティ・アナリストに提供します。
- ネットワークトラフィックのセンサー
- オペレーティング・システムのテレメトリ
- ログの収集
- エッジにおけるAPIデータ収集
- ファイアウォール、エンドポイント検出およびレスポンス(EDR)、アイデンティティ・プラットフォームなどのローカル・セキュリティ・ツールへのレスポンスをオーケストレーションするためのセキュアなチャネル
2015年に設立されたStellar Cyberは、Oracle Cloud Infrastructure (OCI)上でクラウドネイティブのセキュリティ・プラットフォームを実行しています。Stellar Cyberは、ログ処理と転送を自動化し、3500以上のネットワーク・アプリケーションに対して、詳細なパケット検査(DPI)とネットワークトラフィック分析(NTA)を提供します。デプロイメントには、ゼロデイのマルウェア検出、データ・バッファリングなど用のサンドボックスが含まれています。
最初はオンプレミス・アプリケーションとして開発され、Stellar CyberのデプロイメントはSoftware-as-a-Service (SaaS)プラットフォームとしてリファクタリングされ、OCIに移行されました。
Stellar Cyberの導入の特徴は次のとおりです。
-
ElasticSearch (OpenSearch)エンジンは、データ・レイク内の索引およびシャードを管理します。
-
Oracle Cloud Infrastructure Block Volumesでは、30-90日間分析されるデータを迅速に取得できます
-
Oracle Cloud Infrastructure Object Storageは、1年以上にわたって長期のコールド・ストレージ用のデータ・リポジトリを提供します。
-
Oracle Cloud Infrastructure DevOpsは、継続的インテグレーション/継続的開発(CI/CD)パイプラインを構築するためのツールを提供します。
-
Oracle Cloud Infrastructure Registryは、Dockerイメージを格納、共有および管理します
-
Oracle Cloud Infrastructure Email Deliveryは、Stellar Cyberの顧客にアラートおよび通知を送信します
アーキテクチャ
Stellar Cyberは、独自のセキュリティ・センサー、ログ収集エンジンおよびAPIコネクタを組み合せて、お客様の企業全体でセキュリティ関連データを収集します。
センサー・データおよびログは、不要なネットワーク・トラフィックまたは悪意のあるネットワーク・トラフィックからStellar Cyber Oracle Cloud Infrastructure (OCI)テナンシを保護するOracle Cloud Infrastructure Web Application Firewall (WAF)を介して送信されます。Stellar Cyberのアーキテクチャでは、Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE)クラスタの4つのノード・プールで実行されているコンテナを使用して構築されたオープン・ソース・コンポーネントを使用します。Apache KafkaおよびApache Flinkを含むノード・プールは、取込まれたデータがKafkaによって処理され、正規化およびエンリッチメントのためにFlinkに渡されるストリーム・サービスにデプロイされます。データ・ストリームは、Oracle Cloud Infrastructure Load Balancingを使用してロード・バランシングされます。
次の図は、トポロジ内の簡易データ・フローを示しています。
stellar-cyber-oci-data-flow-oracle.zip
Elastic Stackは、Elasticsearch (マスター)用とElasticsearchデータ・レイク(データ)用の2つの別々のOKEノード・プールにデプロイされます。Flinkからの正規化およびエンリッチされたデータは、取得および分析のためにElasticsearchに渡されます。RAWデータはElasticsearchデータ・レイクに格納されます。
マイクロサービスのノード・プールは、ユーザーがデータを調査、分析、視覚化できるように、相関、機械学習およびサービス(APIとUI)のコンテナを提供します。
機械学習コンテナはElasticsearchと相互作用し、ユーザーに表示されるサービス・コンテナにデータを提供します。機械学習アルゴリズムは、監視なし学習および行動分析を使用して時系列およびピア・グループを分析し、監視あり学習を使用して既知の攻撃パターンを一般化することで、脅威を分類します。グラフMLベースの相関エンジンを使用して、アラートから高レベルのインシデントを識別します。電子メール・アラートが必要な顧客の場合、Oracle Cloud Infrastructure Email Deliveryによって通知が生成されます。Oracle Cloud Infrastructure Domain Name Service (DNS)では、Stellar Cyber DNSゾーンを管理します。
Oracle Cloud Infrastructure Block Volumesは、平均で30日から90日の間にデータが格納されるホット・ストレージを管理します。長期のコールド・ストレージの場合、Oracle Cloud Infrastructure Object Storageを使用して1年以上データを保持します。ホット・ストレージの範囲は1TBから300TBです。階層型のマルチテナンシにより、プラットフォームは複数の顧客を同時にサポートでき、顧客は独自のテナントを持つマネージド・サービス・プロバイダ(MSP)にすることもできます。収集されたデータ・ストリームを分離するために、追加のストレージ・バケットを作成できます。
Stellar Cyberは、OCIのCI/CDツール(コード・リポジトリおよびコンテナ・レジストリ)とOCI DevOpsを利用して、OKEクラスタをスケーリングおよび監視します。要塞ホストは、システムを管理するためのジャンプ・サーバーとして使用されます。
- サーバーレス・アーキテクチャを提供するOracle Functions
- ストリーミング・データ・ハンドラとしてKafkaを置き換えるOracle Cloud Infrastructure StreamingおよびOracle Stream Analytics
- 顧客アクセスのための独自のAPIサービスを置き換えるOracle API Gateway
- Oracle Autonomous Data Warehouseによるデータレイク
- Oracle Cloud Infrastructure Service Mesh: 暗号化されて相互認証されたマイクロサービス間通信用
PaaS製品を使用することで、Stellar Cyberはこれらのサービスの運用と保守に必要な労力を削減します。
次の図は、このリファレンス・アーキテクチャを示しています。
stellar-cyber-oci-architecture:oracle.zip
アーキテクチャには、次のコンポーネントがあります。
- テナント
テナンシは、Oracle Cloud Infrastructureへのサインアップ時にOracleがOracle Cloud内で設定するセキュアで分離されたパーティションです。テナンシ内のOracle Cloudでリソースを作成、整理および管理できます。テナンシは、会社または組織と同義です。通常、会社は単一のテナンシを持ち、そのテナンシ内の組織構造を反映します。通常、単一のテナンシは単一のサブスクリプションに関連付けられ、単一のサブスクリプションには1つのテナンシのみが含まれます。
- リージョン
Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含むローカライズされた地理的領域です。リージョンは他のリージョンから独立しており、広大な距離で(複数の国または複数の大陸にまたがる)リージョンを分離できます。
- コンパートメント
コンパートメントは、Oracle Cloud Infrastructureテナンシ内のリージョン間論理パーティションです。コンパートメントを使用して、Oracle Cloudでリソースを編成、リソースへのアクセスを制御および使用割当てを設定します。特定のコンパートメント内のリソースへのアクセスを制御するには、誰がリソースにアクセスできるか、どのアクションを実行できるかを指定するポリシーを定義します。
- 可用性ドメイン
アベイラビリティ・ドメインは、リージョン内の独立したスタンドアロン・データ・センターです。各可用性ドメイン内の物理リソースは、他の可用性ドメイン内のリソースから分離されるため、耐障害性が提供されます。可用性ドメインは、電源や冷却、内部可用性ドメイン・ネットワークなどのインフラストラクチャを共有しません。そのため、ある可用性ドメインでの障害がリージョン内の他の可用性ドメインに影響することはほとんどありません。
- 仮想クラウド・ネットワーク(VCN)およびサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義のネットワークです。従来のデータ・センター・ネットワークと同様に、VCNによってネットワーク環境を完全に制御できます。VCNには、VCNの作成後に変更できる、重複しない複数のCIDRブロックを含めることができます。VCNをサブネットにセグメント化して、そのスコープをリージョンや可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。
- セキュリティ・リスト
サブネットごとに、サブネットの内外で許可する必要があるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。
- ルート表
仮想ルート表には、サブネットからVCN外部の宛先(通常はゲートウェイ経由)へのトラフィックをルーティングするルールが含まれます。
- インターネット・ゲートウェイ
インターネット・ゲートウェイにより、VCN内のパブリック・サブネットとパブリック・インターネットの間のトラフィックが許可されます。
- ネットワーク・アドレス変換(NAT)ゲートウェイ
NATゲートウェイを使用すると、VCN内のプライベート・リソースは、受信インターネット接続に公開されることなく、インターネット上のホストにアクセスできます。
- サービス・ゲートウェイ
サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。The traffic from the VCN to the Oracle service travels over the Oracle network fabric and never traverses the internet.
- Web Application Firewall (WAF)
Oracle Cloud Infrastructure Web Application Firewall (WAF)は、ロード・バランサやWebアプリケーション・ドメイン名などの強制ポイントにアタッチされた、支払カード業界(PCI)準拠のリージョンベースおよびエッジ強制サービスです。WAFは、悪意のある不要なインターネット・トラフィックからアプリケーションを保護します。WAFは、インターネット接続エンドポイントを保護することで、顧客のアプリケーションに対する一貫性のあるルール適用を実現できます。
- DNS
Oracle Cloud Infrastructure Domain Name System (DNS)サービスは、拡張性に優れたグローバル・エニーキャスト・ドメイン・ネーム・システム(DNS)・ネットワークであり、エンド・ユーザーがどこからでも、可能なかぎり迅速に顧客のアプリケーションに接続できるように、DNSのパフォーマンス、自己回復性およびスケーラビリティを提供します。
- ロード・バランサ
Oracle Cloud Infrastructure Load Balancingサービスは、単一のエントリ・ポイントからバックエンドの複数のサーバーへの自動トラフィック分散を提供します。
- コンピュート
Oracle Cloud Infrastructure Computeサービスを使用すると、クラウド内のコンピュート・ホストをプロビジョニングおよび管理できます。CPU、メモリー、ネットワーク帯域幅およびストレージのリソース要件を満たすシェイプを使用してコンピュート・インスタンスを起動できます。コンピュート・インスタンスを作成したら、インスタンスに安全にアクセスして再起動し、ボリュームをアタッチおよびデタッチして、不要になったら終了できます。
- Container Engine for Kubernetes
Oracle Cloud Infrastructure Container Engine for Kubernetesは、コンテナ化されたアプリケーションをクラウドにデプロイするために使用できる、完全に管理されたスケーラブルで可用性の高いサービスです。アプリケーションで必要なコンピュート・リソースを指定すると、Container Engine for KubernetesがそれらをOracle Cloud Infrastructureの既存のテナンシにプロビジョニングします。Container Engine for KubernetesはKubernetesを使用して、ホストのクラスタ間でコンテナ化されたアプリケーションのデプロイメント、スケーリングおよび管理を自動化します。
- ブロック・ボリューム
ブロック・ストレージ・ボリュームでは、ストレージ・ボリュームを作成、アタッチ、接続および移動し、ボリューム・パフォーマンスを変更して、ストレージ、パフォーマンスおよびアプリケーションの要件を満たすことができます。ボリュームをインスタンスにアタッチおよび接続した後は、そのボリュームを通常のハード・ドライブのように使用できます。また、データを失うことなく、ボリュームを切断して別のインスタンスにアタッチすることもできます。
- ファイル・ストレージ
Oracle Cloud Infrastructure File Storage Serviceでは、永続的でスケーラブルなエンタープライズ規模のネットワーク・ファイル・システムを提供します。File Storageサービスのファイル・システムには、VCN内の任意のベア・メタル、仮想マシンまたはコンテナ・インスタンスから接続できます。また、Oracle Cloud Infrastructure FastConnectおよびIPSec VPNを使用してVCNの外部からファイル・システムにアクセスすることもできます。
- ボールト
Oracle Cloud Infrastructure Vaultでは、データを保護する暗号化キーと、クラウド内のリソースへのアクセスを保護するために使用するシークレット資格証明を集中管理できます。Vaultサービスを使用して、ボールト、キーおよびシークレットを作成および管理できます。
- 通知
Oracle Cloud Infrastructure Notificationsサービスは、Oracle Cloud Infrastructureでホストされているアプリケーションに対して、セキュア、高信頼性、低レイテンシおよび永続的なメッセージを配信するパブリッシュ/サブスクライブ・パターンを介して、分散コンポーネントにメッセージをブロードキャストします。
- 監査
Oracle Cloud Infrastructure Auditサービスでは、Oracle Cloud Infrastructureのサポートされるすべてのパブリック・アプリケーション・プログラミング・インタフェース(API)エンドポイントへのコールがログ・イベントとして自動的に記録されます。現在、すべてのサービスがOracle Cloud Infrastructure Auditによるロギングをサポートしています。
- ポリシー
Oracle Cloud Infrastructure Identity and Access Managementポリシーでは、誰がどのリソースにどのようにアクセスできるかを指定します。アクセス権はグループ・レベルおよびコンパートメント・レベルで付与されます。つまり、特定のコンパートメント内またはテナンシへの特定のアクセスのタイプをグループに付与するポリシーを記述できます。
組込みとデプロイにご注目ください
Oracle Cloud Infrastructureで構築したものを表示しますか。学んだ教訓、ベスト・プラクティス、参照アーキテクチャをクラウド・アーキテクチャのグローバル・コミュニティと共有することを検討していますか?ご利用の開始をお手伝いします。
- テンプレート(PPTX)のダウンロード
サンプル ワイヤフレームにアイコンをドラッグ アンド ドロップして、独自のリファレンス アーキテクチャを説明します。
- アーキテクチャ・チュートリアルを見る
リファレンス・アーキテクチャの作成方法に関するステップバイステップの手順をご覧ください。
- ダイアグラムを発行します
ダイアグラムを含むEメールを送信してください。オラクルのクラウド・アーキテクトは、ダイアグラムを確認し、お客様に連絡してアーキテクチャについて話し合います。