1. Oracle Cloud Infrastructure를 위한 모범 사례 프레임워크
  2. 환경 모니터 및 감사

환경 모니터 및 감사

환경을 모니터링하고 감사할 수 있는 올바른 컨트롤을 사용하고 있는지 확인

모니터링에 Cloud Guard 사용

보안 설계자, 엔터프라이즈 설계자

Oracle Cloud Guard를 통해 Oracle Cloud Infrastructure 고객 테넌트 전반에 걸쳐 클라우드 보안 상태에 대한 단일화된 뷰를 얻을 수 있습니다.

Oracle Cloud Guard는 테넌트 전반에서 잘못 구성된 리소스 및 비보안 활동을 감지하며 보안 관리자에게 클라우드 보안 문제를 분류하고 해결할 수 있는 가시성을 제공합니다. 보안 비일관성은 즉시 사용 가능한 보안 레시피로 자동으로 수정되어 보안 운영 센터를 효과적으로 확장할 수 있습니다.

모든 구획을 모니터하도록 Cloud Guard가 테넌시의 루트 레벨에서 사용으로 설정되었는지 확인합니다.

감사 구성

보안 설계자, 엔터프라이즈 설계자

Oracle Cloud Infrastructure Audit 서비스는 지원되는 모든 Oracle Cloud Infrastructure 공용 API(애플리케이션 프로그래밍 인터페이스) 엔드포인트에 대한 호출을 로그 이벤트로 자동으로 기록합니다.
현재 모든 서비스는 Oracle Cloud Infrastructure Audit의 로깅을 지원합니다.

Oracle Cloud Infrastructure Object Storage는 버킷 관련 이벤트에 대한 로깅은 지원하지만 객체 관련 이벤트에 대해서는 로깅을 지원하지 않습니다. Oracle Cloud Infrastructure Audit이 기록한 로그 이벤트에는 Oracle Cloud Infrastructure 콘솔, CLI(명령행 인터페이스), SDK(소프트웨어 개발 키트), 사용자정의 클라이언트 또는 기타 Oracle Cloud Infrastructure 서비스에서 생성하는 API 호출이 포함됩니다. 로그에 포함된 정보는 다음과 같습니다.

  • API 작업이 발생한 시간입니다.
  • 활동의 출처입니다.
  • 작업의 대상입니다.
  • 작업 유형입니다.
  • 응답의 유형입니다.

각 로그 이벤트에는 헤더 ID, 대상 리소스, 기록된 이벤트의 시간기록, 요청 매개변수 및 응답 매개변수가 포함됩니다. 콘솔, API 또는 Java용 SDK를 사용하여 Oracle Cloud Infrastructure Audit에서 기록된 이벤트를 볼 수 있습니다. 이벤트에서 발생한 데이터는 진단 수행, 리소스 사용량 추적, 준수 모니터링 및 보안 관련 이벤트 수집에 사용할 수 있습니다.

  • 감사 보존이 365일로 설정되었는지 확인합니다.
  • Oracle Cloud Infrastructure Audit 데이터에 액세스해야 하는 타사 툴이 있는 경우 서비스 커넥터 허브를 구성하여 적절한 보존 기간 세트를 사용하여 Oracle Cloud Infrastructure Audit 데이터를 객체 저장소에 복사합니다.

정책 감사

보안 설계자, 엔터프라이즈 설계자

정책을 정기적으로 검토하여 적절한 보안 방법을 준수하는지 확인합니다.

정책 감사자는 Oracle Cloud Infrastructure 콘솔을 사용하여 임시 방식으로 IAM 정책을 검토할 수 있습니다. 오프라인 분석에 대한 정책 보고서를 생성하는 데 사용할 수 있는 여러 옵션도 있습니다.

Cloud Guard에는 IAM 정책에 적합한 구성 감지기 레시피 2개와 활동 감지기 레시피 1개가 있습니다.

  • 정책에 너무 많은 권한이 부여됩니다.
  • 그룹에 부여된 테넌시 관리 권한입니다.
  • 보안 정책이 수정되었습니다.

Oracle 관리 레시피를 수정할 수 있지만, Oracle은 태그 또는 구획 사용을 통해 이러한 규칙이 대상으로 지정된 객체를 변경할 수 있도록 레시피를 복제할 것을 권장합니다. 따라서 테넌시 내 운영 환경은 더욱 엄격한 제어를 가지지만, 테넌시의 다른 구획에 상주하는 비운용 환경에서 제한 사항을 완화할 수 있습니다. IAM 정책을 보다 세분화된 레벨에서 검토해야 하는 경우 Oracle은 보안 정책 수정됨 감지기를 사용하여 다음 이벤트를 트리거할 것을 권장합니다.

  • 정책을 통해 수동 검토를 트리거합니다.
  • 토론을 호출하여 조사 또는 수정을 수행합니다.

정책을 감사할 때 다음 잠재적 문제를 고려하십시오.

  • 정책이 어디에서 정의되며 구획 사용과 관련된 조직의 표준을 준수합니까?
  • 동적 그룹 사용을 감사합니다. 이러한 그룹은 과도한 권한을 부여합니까?
  • 어떤 서비스가 구성되고 어디에 있습니까? 일부 서비스는 특정 구획 또는 그룹으로 제한될 수 있습니다.
  • 중복된 명령문을 모두 제거합니다.
  • 전체 테넌시에 권한을 부여하는 정책을 식별합니다.
  • 필요한 것보다 많은 권한을 가진 그룹을 식별합니다.

취약점을 지속적으로 스캔

보안 설계자, 엔터프라이즈 설계자

Oracle Vulnerability Scanning Service는 호스트에 잠재적인 취약점을 정기적으로 확인하여 Oracle Cloud Infrastructure에서 보안 상태를 개선할 수 있도록 지원합니다. 이 서비스는 해당 취약점에 대한 측정항목과 세부정보가 포함된 보고서를 생성합니다.

Oracle Vulnerability Scanning Service의 핵심 기능은 다음과 같습니다.

  • 기본적으로 Oracle Cloud Infrastructure 플랫폼과 긴밀하게 통합된, 규범적이고 무료 스캐닝 제품군입니다.
  • 호스트 및 컨테이너 스캔을 위해 Oracle Cloud Infrastructure에서 생성 및 오픈 소스 스캔 엔진을 기반으로 하는 기본 플러그인 및 엔진입니다.
  • Oracle Cloud Infrastructure는 고객 차량 내 엔진과 에이전트의 배포, 구성 및 업그레이드를 관리합니다.
  • 스캐닝 제품군에서 감지한 문제는 Oracle Cloud Guard를 통해 심각한 취약점을 우선 순위화하는 규칙 및 ML을 통해 확인할 수 있습니다.
  • Oracle Cloud Infrastructure는 응답기를 통해 조치(경보, 자동 해결 또는 격리)를 수행하여 최대 보안 구역을 비롯해 감지에서 해결까지 걸리는 시간을 단축합니다.

추가 정보