환경 모니터링 및 감사
올바른 컨트롤을 사용하여 환경을 모니터링하고 감사하는지 확인합니다.
모니터링에 Cloud Guard 사용
엔터프라이즈 설계자, 보안 설계자
모든 구획을 모니터링하려면 Cloud Guard가 테넌시의 루트 레벨에서 사용으로 설정되었는지 확인하십시오. Oracle Cloud Guard는 테넌트 전반에서 잘못 구성된 리소스와 안전하지 않은 활동을 감지하고 보안 관리자에게 클라우드 보안 문제를 분류하고 해결할 수 있는 가시성을 제공합니다. 즉시 사용 가능한 보안 레시피를 통해 보안 불일치를 자동으로 수정하여 보안 운영 센터를 효과적으로 확장할 수 있습니다. Oracle은 Cloud Guard에서 인스턴스 보안을 사용으로 설정하기 위한 감지기 레시피(리소스 구성 또는 작업을 기반으로 잠재적 보안 문제를 식별하는 Cloud Guard 구성요소)를 제공합니다.
인스턴스 보안은 컴퓨트 호스트에서 의심스러운 작업을 모니터하는 Oracle Cloud Guard 레시피입니다. 인스턴스 보안은 컴퓨트 가상 및 베어메탈 호스트의 워크로드에 대한 런타임 보안을 제공합니다. Instance Security는 Cloud Guard를 클라우드 보안 상태 관리에서 클라우드 작업 로드 보호로 확장합니다. Instance Security는 인프라 보안 상태에 대한 일관된 가시성과 전체적인 이해를 바탕으로 한 곳에서 보안 요구 사항을 충족합니다.
감사 구성
엔터프라이즈 설계자, 보안 설계자
Oracle Cloud Infrastructure Audit 서비스는 지원되는 모든 Oracle Cloud Infrastructure API(퍼블릭 애플리케이션 프로그래밍 인터페이스) 끝점에 대한 호출을 로그 이벤트로 자동 기록합니다.Oracle Cloud Infrastructure Object Storage는 버킷 관련 이벤트에 대한 로깅을 지원하지만 객체 관련 이벤트에 대한 로깅은 지원하지 않습니다. Oracle Cloud Infrastructure Audit을 통해 기록되는 로그 이벤트에는 Oracle Cloud Infrastructure 콘솔, CLI(Command Line Interface), SDK(Software Development Kits), 사용자정의 클라이언트 또는 기타 Oracle Cloud Infrastructure 서비스를 통해 생성된 API 호출이 포함됩니다. 로그의 내용은 다음과 같습니다.
- API 작업이 발생한 시간입니다.
- 활동의 출처입니다.
- 작업의 대상입니다.
- 작업의 유형.
- 응답 유형입니다.
각 로그 이벤트에는 헤더 ID, 대상 리소스, 기록된 이벤트의 시간기록, 요청 매개변수 및 응답 매개변수가 포함됩니다. Oracle Cloud Infrastructure Audit을 통해 기록되는 이벤트는 콘솔, API 또는 Java용 SDK를 사용하여 볼 수 있습니다. 이벤트에서 발생한 데이터는 진단 수행, 리소스 사용량 추적, 준수 모니터링 및 보안 관련 이벤트 수집에 사용할 수 있습니다.
Oracle Cloud Infrastructure Audit 데이터에 액세스해야 하는 타사 툴이 있는 경우 적절한 보존 기간이 설정된 상태로 Oracle Cloud Infrastructure Audit 데이터를 객체 저장소로 복사하도록 서비스 커넥터 허브를 구성합니다.
정책 감사
엔터프라이즈 설계자, 보안 설계자
정책 감사자는 Oracle Cloud Infrastructure 콘솔을 사용하여 임시 방식으로 IAM 정책을 검토할 수 있습니다. 또한 오프라인 분석을 위한 정책 보고서를 생성하는 데 활용할 수 있는 여러 가지 옵션이 있습니다.
Cloud Guard에는 특히 IAM 정책에 대한 구성 감지기 레시피 2개와 작업 감지기 레시피 1개가 있습니다.
- 정책에서 너무 많은 권한을 부여합니다.
- 테넌시 관리자 권한이 그룹에 부여되었습니다.
- 보안 정책이 수정되었습니다.
Oracle 관리 레시피를 수정할 수 있지만, Oracle은 태그 또는 구획 사용을 통해 이러한 규칙에 따라 대상 객체를 변경할 수 있도록 레시피를 복제할 것을 권장합니다. 따라서 테넌시 내의 운용 환경은 더 엄격한 제어를 보유하면서 테넌시의 다른 컴파트먼트에 상주하는 비운용 환경의 제한을 완화할 수 있습니다. 보다 세분화된 레벨에서 IAM 정책을 검토해야 하는 경우 Oracle은 보안 정책 수정됨 감지기를 사용하여 다음과 같은 이벤트를 트리거할 것을 권장합니다.
- 정책을 통해 수동 검토를 트리거합니다.
- 조사 또는 수정을 수행하는 함수를 호출합니다.
정책을 감사할 때 다음과 같은 잠재적 문제를 고려하십시오.
- 정책은 어디에 정의되어 있으며 구획 사용에 대한 조직의 표준을 준수합니까?
- 동적 그룹 사용을 감사합니다. 이러한 그룹이 과도한 권한을 부여합니까?
- 어떤 서비스가 구성되어 있으며 어디에 있습니까? 일부 서비스는 특정 구획 또는 그룹으로 제한되어야 할 수 있습니다.
- 중복된 명령문 제거 항목을 찾습니다.
- 전체 테넌시에 권한을 부여하는 정책을 식별합니다.
- 필요한 것보다 많은 권한을 가진 그룹을 식별합니다.
Oracle Access Governance Cloud Service는 액세스 권한을 정의하고 관리하는 데 도움이 되는 사용자 프로비저닝, 액세스 검토 및 ID 분석을 제공하는 클라우드 네이티브 IGA(ID 및 거버넌스 및 관리) 솔루션입니다. 인공 지능/머신 러닝 기반 인텔리전스에서 실행 가능한 정책 통찰력을 활용하여 정책을 감사할 수 있습니다.
VCN 플로우 로그 모니터
엔터프라이즈 설계자, 보안 설계자
- VCN을 통과하는 트래픽에 대한 세부정보를 모니터링합니다.
- 트래픽 감사 및 보안 목록 문제 해결
- 네트워크 명령 센터에서 플로우 로그를 사용 및 관리합니다.
- 캡처 필터를 사용하여 플로우 로그에 포함할 트래픽을 평가하고 선택합니다.
- Oracle Cloud Infrastructure Logging을 활용하여 로그 정보를 지정된 로그 그룹으로 전송합니다.
- 사용으로 설정 지점으로 VCN, 서브넷, 대상별 인스턴스, 네트워크 로드 밸런서 또는 리소스 VNIC의 모든 VNIC에 대해 플로우 로그를 사용으로 설정합니다.
취약성을 지속적으로 스캔
엔터프라이즈 설계자, 보안 설계자
- 오래된 소프트웨어 또는 펌웨어입니다.
- 패치가 적용되지 않은 결함(예: 패치가 적용되지 않은 운영 체제, 소프트웨어 또는 플러그인)입니다.
- 잘못 구성된 설정입니다.
- 안전하지 않은 코드 또는 프로그래밍 오류입니다.
- 취약한 암호 또는 인증 방식.
Oracle Vulnerability Scanning Service는 호스트에서 잠재적 취약성을 정기적으로 확인하여 Oracle Cloud Infrastructure의 보안 상태를 개선합니다. 이 서비스는 이러한 취약점에 대한 측정항목 및 세부정보가 포함된 보고서를 생성합니다.
Oracle Vulnerability Scanning Service의 핵심 기능은 다음과 같습니다.
- Oracle Cloud Infrastructure 플랫폼과 긴밀하게 통합된 단순하고 기본적으로 규범적이며 무료 스캐닝 제품군입니다.
- 호스트 및 컨테이너 스캔을 위해 Oracle Cloud Infrastructure에서 생성한 오픈 소스 스캔 엔진을 기반으로 하는 기본 플러그인 및 엔진입니다.
- Oracle Cloud Infrastructure는 고객 플리트 전반에서 이러한 엔진 및 에이전트의 배포, 구성 및 업그레이드를 관리합니다.
- 스캐닝 제품군에서 감지된 문제는 Oracle Cloud Guard를 통해 표시되며, 규칙 및 ML을 통해 중요한 취약점의 우선순위를 지정할 수 있습니다.
- Oracle Cloud Infrastructure는 응답자를 통해 조치(경보, 자동 중개 또는 격리)를 수행하여 최대 보안 영역을 포함하여 감지에서 해결까지 시간을 단축합니다.
- Qualys Vulnerability Management, Detection, Response 등의 타사 취약점 스캐너와의 통합.
SIEM 플랫폼에 대한 서비스 로그 집계
Network Architect, Security Architect, Enterprise Architect
SIEM 플랫폼을 사용하면 여러 소스의 보안 이벤트를 네트워크, 장치 및 ID로 모니터할 수 있습니다. 또한 머신 러닝을 사용하여 다양한 신호를 상호 연결하고 네트워크를 통해 이동하는 위협적인 해킹 활동과 불규칙한 보안 이벤트를 식별함으로써 이러한 신호를 실시간으로 분석할 수 있습니다.
OCI는 여러 타사 SIEM 플랫폼으로 로그 및 이벤트를 보낼 수 있습니다.