1. 타사 SIEM을 사용하여 Oracle Cloud Infrastructure 서비스 로그를 집계합니다.
  2. 타사 SIEM을 사용하여 Oracle Cloud Infrastructure 서비스 로그 집계

타사 SIEM을 사용하여 Oracle Cloud Infrastructure 서비스 로그 집계

작업 로드를 OCI(Oracle Cloud Infrastructure)에 배치할 때 Oracle Cloud Infrastructure Audit 로그, 서비스 로그 및 보안 이벤트를 집계하는 것이 기본 요구 사항입니다.

이 데이터를 중앙 집중화하면 조직에서 테넌시를 분석, 모니터링 및 보호할 수 있습니다. 보안 사용 사례의 경우 고객은 이러한 로그를 SIEM(보안 정보 및 이벤트 관리) 플랫폼으로 보낼 수 있습니다. SIEM 시스템은 클라우드 리소스의 보안을 관리하는 중요한 운영 툴입니다. OCI에는 기본 위협 감지, 예방 및 대응 기능이 포함되어 있어 효율적인 SIEM을 구현하는 데 사용할 수 있습니다.

기업은 테넌시 지역에서 집계된 로그 정보의 배포를 간소화하기 위해 Terraform 및 Ansible을 비롯한 코드형 인프라(IaC) 툴을 사용할 수 있습니다. 이러한 IaC 툴은 민첩한 개발, DevOps 모범 사례, CI/CD(지속적인 통합/지속적 제공)를 가능하게 할 뿐만 아니라 클라우드 인프라 구성요소의 수동 프로비저닝과 같은 장애물도 제거합니다. IaC는 모듈 방식이므로 각 코드를 분할하거나 결합하여 여러 배포 사용 사례를 충족하면서 소프트웨어 개발 주기를 더 효율적으로 수행할 수 있습니다.

설계자에게 문의

Ask the Architect 에피소드 다시 보기:

구조

이 구조는 영역별 로그 결과를 캡처하고, 결과를 집계하고, 이를 보안 정보 및 이벤트 관리(SIEM) 플랫폼으로 스트리밍하기 위해 서로 다른 영역에 유사한 토폴로지를 배치합니다.

다음 다이어그램은 전체 구조를 보여 줍니다. 보고 및 가입자 영역에 대한 개별 뷰는 [배치 계획] 섹션에 제공됩니다.


oci-log-multistream.png에 대한 설명은 다음과 같습니다.
그림 oci-log-multistream.png에 대한 설명

oci-log-multistream-oracle.zip

이 구조에는 다음과 같은 구성 요소가 있습니다.

  • 테넌트

    테넌시는 Oracle Cloud Infrastructure에 등록할 때 Oracle이 Oracle Cloud 내에서 설정하는 안전하고 격리된 파티션입니다. 테넌시 내 Oracle Cloud에서 리소스를 생성, 구성 및 관리할 수 있습니다. 테넌시는 회사 또는 조직과 동의어입니다. 일반적으로 한 회사는 단일 테넌시를 가지며 해당 테넌시 내에 조직 구조를 반영합니다. 일반적으로 단일 테넌시는 단일 구독과 연결되며, 단일 구독은 하나의 테넌시만 갖습니다.

  • 지역

    Oracle Cloud Infrastructure 지역은 가용성 도메인이라고 하는 하나 이상의 데이터 센터를 포함하는 지역화된 지리적 영역입니다. 지역은 다른 지역과 독립적이며 거리가 멀면 국가 또는 대륙을 가로질러 분리할 수 있습니다.

  • IAM(ID 및 액세스 관리)

    Oracle Cloud Infrastructure Identity and Access Management(IAM)는 Oracle Cloud Infrastructure(OCI) 및 Oracle Cloud Applications의 접근 제어 플레인입니다. IAM API 및 사용자 인터페이스를 통해 ID 도메인과 ID 도메인 내의 리소스를 관리할 수 있습니다. 각 OCI IAM ID 도메인은 독립형 ID 및 액세스 관리 솔루션 또는 다른 사용자 모집단을 나타냅니다.

  • 정책

    Oracle Cloud Infrastructure Identity and Access Management 정책은 어떤 리소스에 접근할 수 있는지와 방법을 지정합니다. 액세스는 그룹 및 구획 레벨에서 부여됩니다. 즉, 특정 구획 내에서 또는 테넌시에 특정 유형의 액세스 권한을 그룹에 부여하는 정책을 작성할 수 있습니다.

  • 로깅
    로깅은 클라우드의 리소스에서 다음 유형의 로그에 대한 액세스를 제공하는 확장성이 뛰어난 완전 관리형 서비스입니다.
    • 감사 로그: 감사 서비스에서 내보낸 이벤트와 관련된 로그입니다.
    • 서비스 로그: API 게이트웨이, 이벤트, 함수, 로드 밸런싱, 오브젝트 스토리지, VCN 플로우 로그 등의 개별 서비스에서 내보낸 로그입니다.
    • 사용자정의 로그: 사용자정의 애플리케이션, 다른 클라우드 제공자 또는 온프레미스 환경의 진단 정보를 포함하는 로그입니다.
  • VCN(가상 클라우드 네트워크) 및 서브넷

    VCN은 Oracle Cloud Infrastructure 지역에서 설정한 커스터마이징 가능한 소프트웨어 정의 네트워크입니다. 기존 데이터 센터 네트워크와 마찬가지로 VCN은 네트워크 환경을 완벽하게 제어할 수 있습니다. VCN에는 VCN 생성 후 변경할 수 있는 겹치지 않는 여러 CIDR 블록이 있을 수 있습니다. VCN을 서브넷으로 세그먼트할 수 있으며, 지역 또는 가용성 도메인으로 범위를 지정할 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속된 주소 범위로 구성됩니다. 생성 후 서브넷의 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.

  • 보안 목록

    각 서브넷에 대해 서브넷에 들어오고 나가야 하는 트래픽의 소스, 대상 및 유형을 지정하는 보안 규칙을 생성할 수 있습니다.

  • 경로 테이블

    가상 라우팅 테이블에는 일반적으로 게이트웨이를 통해 서브넷에서 VCN 외부의 대상으로 트래픽을 라우팅하는 규칙이 포함됩니다.

  • 계산

    Oracle Cloud Infrastructure Compute 서비스를 사용하면 클라우드에서 컴퓨트 호스트를 프로비전하고 관리할 수 있습니다. CPU, 메모리, 네트워크 대역폭 및 스토리지에 대한 리소스 요구사항을 충족하는 구성으로 컴퓨트 인스턴스를 실행할 수 있습니다. 컴퓨트 인스턴스를 생성한 후에도 안전하게 접근하고 재시작하며 볼륨을 연결 및 분리하고 더 이상 필요하지 않을 때 종료할 수 있습니다.

  • 오브젝트 스토리지

    오브젝트 스토리지를 사용하면 데이터베이스 백업, 애널리틱스 데이터, 이미지 및 비디오와 같은 풍부한 컨텐츠를 비롯하여 모든 컨텐츠 유형의 구조적 및 비구조적 데이터에 신속하게 접근할 수 있습니다. 인터넷 또는 클라우드 플랫폼 내에서 직접 안전하게 데이터를 저장하고 검색할 수 있습니다. 성능 또는 서비스 신뢰성의 저하를 경험하지 않고도 스토리지를 원활하게 확장할 수 있습니다. 빠르고 즉각적이며 자주 액세스하는 데 필요한 "핫" 스토리지에 표준 스토리지를 사용합니다. 장기간 보존하고 거의 액세스하지 않는 "콜드" 스토리지에 아카이브 스토리지를 사용합니다.

  • 서비스 커넥터

    Oracle Cloud Infrastructure Service Connector Hub는 OCI의 서비스 간 데이터 이동을 통합관리하는 클라우드 메시지 버스 플랫폼입니다. Oracle Cloud Infrastructure에서 서비스 간에 데이터를 이동하는 데 사용할 수 있습니다. 데이터는 서비스 커넥터를 사용하여 이동합니다. 서비스 커넥터는 이동할 데이터, 데이터에 대해 수행할 작업 및 지정된 작업이 완료될 때 데이터를 전달해야 하는 대상 서비스를 포함하는 소스 서비스를 지정합니다.

    Oracle Cloud Infrastructure Service Connector Hub를 사용하여 SIEM 시스템에 대한 로깅 집계 프레임워크를 빠르게 구축할 수 있습니다. 선택적 작업은 소스에서 로그 데이터를 필터링하기 위한 소스 또는 로그 필터 작업의 데이터를 처리하는 함수 작업일 수 있습니다.

  • Cloud Guard

    Oracle Cloud Guard를 사용하여 Oracle Cloud Infrastructure에서 리소스의 보안을 모니터링하고 유지 관리할 수 있습니다. Cloud Guard는 리소스에서 보안 약점을 검사하고 운영자 및 사용자가 위험한 작업을 모니터하도록 정의할 수 있는 감지기 레시피를 사용합니다. 잘못된 구성 또는 비보안 작업이 감지되면 Cloud Guard는 수정 조치를 권장합니다. 정의할 수 있는 응답자 레시피를 기반으로 이러한 작업을 수행할 수 있습니다.

  • 이벤트

    Oracle Cloud Infrastructure 서비스는 리소스의 변경사항을 설명하는 구조적 메시지인 이벤트를 내보냅니다. 이벤트는 클라우드 리소스에 영향을 주는 CRUD(생성, 읽기, 업데이트 또는 삭제) 작업, 리소스 수명 주기 상태 변경 및 시스템 이벤트를 위해 내보내집니다.

  • 감사

    Oracle Cloud Infrastructure Audit 서비스는 지원되는 모든 Oracle Cloud Infrastructure 공용 애플리케이션 프로그래밍 인터페이스(API) 엔드포인트에 대한 호출을 로그 이벤트로 자동 기록합니다. 현재 모든 서비스는 Oracle Cloud Infrastructure Audit의 로깅을 지원합니다.

  • 스트리밍

    Oracle Cloud Infrastructure Streaming은 거의 실시간으로 소비하고 처리할 수 있는 대용량의 연속 데이터 스트림을 입수하기 위한 확장 가능하며 내구성 있는 전담 관리 스토리지 솔루션을 제공합니다. Streaming을 사용하여 애플리케이션 로그, 운영 원격 측정, 웹 클릭-스트림 데이터 같은 대용량 데이터를 입수하거나 게시-구독 메시징 모델에서 데이터가 연속적으로 생성되고 처리되는 기타 사용 사례를 제공할 수 있습니다.

  • Data Safe

    Oracle Data Safe는 완전히 통합된 지역 클라우드 서비스로, Oracle 데이터베이스에서 중요한 데이터와 규제되는 데이터를 보호하기 위한 완벽한 기능을 제공합니다. 또한 Data Safe는 온프레미스 데이터베이스, Oracle Exadata Database Service on Cloud@Customer 및 다중 클라우드 배포를 지원합니다. 모든 Oracle Database 고객은 Oracle Data Safe를 사용하여 구성 및 사용자 위험을 평가하고 사용자 활동을 모니터링 및 감사하며 민감한 데이터를 검색, 분류 및 마스킹하여 데이터 침해 위험을 줄이고 규정 준수를 간소화할 수 있습니다.