Oracle IDCS 보안 및 모니터링에 대해 알아보기

다른 Oracle Cloud Infrastructure(OCI) 서비스와 함께 새로운 Logging Analytics Service를 활용하면 IDCS(Oracle Identity Cloud Service) 인스턴스에서 보안 및 거버넌스 통찰력을 얻을 수 있습니다. 이 플레이북에서는 서버 미사용 함수를 사용하여 IDCS에서 감사 로그를 수집하고 분석을 위해 Log Analytics로 로드하는 프로세스를 자동화하는 방법을 보여줍니다.

Oracle Functions는 확장성이 뛰어난 완전 관리형 Oracle Cloud Infrastructure를 기반으로 하며 오픈 소스 Fn Project 엔진이 탑재된 서버리스 FaaS(Functions-as-a-Service) 플랫폼입니다. 개발자는 Oracle Functions를 사용하여 기본 Infrastructure의 프로비저닝 또는 관리에 대한 걱정 없이 비즈니스 가치를 제공하는 코드를 작성 및 배포할 수 있습니다. Oracle Functions는 컨테이너 네이티브이며 Docker 컨테이너 이미지로 패키징된 함수입니다.

구조

이 구조에서는 함수가 IDCS API를 호출하여 로그를 수집한 다음 Log Analytics API를 호출하여 Log Analytics로 로드합니다. API 게이트웨이 및 상태 확인을 사용하여 함수가 5분마다 실행되도록 스케줄링합니다. 현재 상태를 오브젝트 스토리지 버킷에 저장합니다. 이 다이어그램은 Oracle IDCS 인스턴스에서 보안 및 거버넌스 통찰력을 얻을 수 있는 토폴로지와 데이터 플로우를 보여줍니다.

secure-monitor-idcs-arch.png 그림에 대한 설명

secure-monitor-idcs-arch-oracle.zip

• 지역

  Oracle Cloud Infrastructure 지역은 가용성 도메인이라고 하는 하나 이상의 데이터 센터를 포함하는 지역화된 지리적 영역입니다. 지역은 다른 지역과 독립적이며, 방대한 거리로 이들을 분리할 수 있습니다(국가 또는 대륙 간).

• 구획

  구획은 Oracle Cloud Infrastructure 테넌시 내의 여러 지역 논리적 파티션입니다. 구획을 사용하여 Oracle Cloud에서 리소스를 구성하고, 리소스에 대한 액세스를 제어하고, 사용량 할당량을 설정합니다. 제공된 구획의 리소스에 대한 액세스를 제어하려면 리소스에 액세스할 수 있는 사용자 및 수행할 수 있는 작업을 지정하는 정책을 정의합니다.

• VCN(가상 클라우드 네트워크) 및 서브넷

  VCN은 Oracle Cloud Infrastructure 지역에서 설정한 커스터마이징 가능한 소프트웨어 정의 네트워크입니다. 기존의 데이터 센터 네트워크와 마찬가지로 VCN은 네트워크 환경에 대한 완벽한 제어를 제공합니다. VCN에는 VCN을 생성한 후 변경할 수 있는 겹치지 않는 여러 CIDR 블록이 있을 수 있습니다. VCN을 서브넷으로 분할할 수 있으며, 지역 또는 가용성 도메인으로 범위가 지정될 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속적인 주소 범위로 구성됩니다. 서브넷을 생성한 후 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.

• API 게이트웨이

  API 게이트웨이 서비스를 사용하면 네트워크 내에서 접근 가능한 전용 엔드포인트로 API를 게시할 수 있으며, 필요한 경우 공용 인터넷에 노출할 수 있습니다. 엔드포인트는 API 검증, 요청 및 응답 변환, CORS, 인증 및 권한 부여, 요청 제한을 지원합니다.

• 기능

  Oracle Functions는 전담 관리되며 확장성이 뛰어나며 온디맨드 FaaS(Functions-as-a-Service) 플랫폼입니다(FaaS). Fn Project 오픈 소스 엔진에 의해 구동됩니다. 함수를 사용하면 직접 호출하거나 이벤트에 대한 응답으로 트리거하여 코드를 배치할 수 있습니다. Oracle Functions는 Oracle Cloud Infrastructure Registry에서 호스트되는 Docker 컨테이너를 사용합니다.

• 객체 스토리지

  오브젝트 스토리지는 데이터베이스 백업, 애널리틱스 데이터, 이미지 및 비디오와 같은 풍부한 컨텐츠를 포함하여 모든 컨텐츠 유형의 구조적 및 비구조적 대량 데이터에 빠르게 접근할 수 있습니다. 인터넷을 통해 또는 클라우드 플랫폼 내에서 직접 안전하게 데이터를 저장하고 검색할 수 있습니다. 성능 또는 서비스 안정성이 저하되지 않으면서 스토리지를 원활하게 확장할 수 있습니다. 빠르고 즉각적이며 자주 액세스해야 하는 "핫" 스토리지에 표준 스토리지를 사용합니다. 장기간 보존하고 거의 액세스하지 않는 "콜드" 스토리지에 아카이브 스토리지를 사용합니다.

• 로깅 분석

  Logging Analytics는 온프레미스, OCI 또는 타사 클라우드에서 실행되는 모든 IT 구성요소의 로그 수집, 인덱싱, 강화, 쿼리, 시각화 및 경고를 제공하는 27개 이상의 지역에서 제공되는 완전 관리형 SaaS 지역 서비스입니다.

• 저장소

  Vault는 암호 및 클라이언트 암호를 암호화하는 데 사용되는 키 관리 서비스입니다.

시작하기 전에

이 플레이북의 단계를 성공적으로 완료하려면 API 호출용으로 IDCS 애플리케이션 OAuth를 준비하고 OCI 환경을 준비해야 합니다.

배치 및 사용 권장 사항 검토

요구 사항은 여기에 설명된 구조와 다를 수 있습니다. 이러한 권장 사항을 시작점으로 사용합니다.

• 로그 그룹

  여러 로그 그룹을 정의하여 각 팀에 올바른 액세스 권한을 제공하고 중요한 데이터를 공유하지 않도록 합니다.

• 원가 관리

  Logging Analytics 서비스는 활성 및 아카이브 스토리지의 데이터 볼륨에 따라 요금이 부과됩니다. Oracle은 일상적인 문제 해결을 허용하고 변형 감지, 패턴 감지 및 기타 머신 러닝 기능의 이점을 활용하기 위해 90일의 활성 스토리지 기간을 사용하고 로그를 아카이브 스토리지로 이동하는 것을 권장합니다. 저장된 아카이브 로그는 필요에 따라 신속하게 회수할 수 있습니다.

배치 및 사용 고려 사항 검토

클라우드에서 가용성이 높은 애플리케이션 스택을 설계할 때 다음 요인을 고려하십시오.

• 성능

  Query 성능은 시간 범위 및 필터, 그룹화 등의 작업 수를 기반으로 합니다. Oracle은 보다 나은 질의 성능을 위해 수집 시 특정 레이블 및 필드로 로그를 보강할 것을 권장합니다.

• 보안 및 RBAC.

  로그 소스 정의를 커스터마이징하여 PII(개인 식별 정보) 데이터를 필터링하고 지리적 위치 보강을 사용할 수 있습니다. 가용성: Logging Analytics는 완전 관리형 고가용성 SaaS 서비스입니다. 배포 Oracle Cloud Infrastructure Logging Analytics 앱은 Oracle Cloud Marketplace에서 스택으로 제공됨

API 호출을 위해 IDCS 애플리케이션 OAuth 준비

클라이언트 ID/비밀번호를 사용하여 IDCS API를 호출하려면 IDCS에서 커스터마이징 애플리케이션을 생성하고 클라이언트 ID/비밀번호를 생성해야 합니다. IDCS URL, 클라이언트 ID 및 암호를 기록해야 합니다.

이 절차에서는 토큰을 사용하여 IDCS REST API를 사용하는 클라이언트 애플리케이션을 생성할 수 있습니다. 그러면 이 연습의 뒷부분에서 생성할 함수를 인증하기 위해 유저 이름과 암호를 입력하지 않아도 됩니다.

1. IDCS 콘솔에서 애플리케이션을 선택하고 추가를 누른 다음 기밀 애플리케이션을 선택합니다.
2. 응용 프로그램에 이름을 지정하고 다음을 누릅니다.
   Configuration 창이 나타납니다.
3. 허용된 권한 부여 유형 및 리소스 소유자를 선택한 다음 ID 도메인 관리자 롤을 애플리케이션에 추가하여 Identity Cloud Service 관리자에 대한 액세스 권한을 클라이언트에 부여합니다. 다음을 누릅니다.
4. 권한 부여로 권한 부여 적용을 선택하고 다음, 완료를 차례로 누릅니다.
   클라이언트 ID 및 클라이언트 암호를 보여주는 팝업이 나타납니다.
5. 나중에 필요하므로 클라이언트 ID 및 클라이언트 암호를 복사합니다.

OCI 환경 준비

그런 다음 적절한 권한과 작업을 완료하는 데 필요한 리소스를 확보하여 OCI 환경을 준비해야 합니다.

다음 사항이 있는지 확인합니다.

• Oracle Cloud Infrastructure 테넌시에서 다음 유형의 리소스를 관리할 수 있는 권한:
  • VCN
  • 인터넷 게이트웨이
  • 경로 테이블
  • 보안 목록
  • 서브넷
  • 함수
  • API 게이트웨이
  • 상태 확인
• 다음 리소스를 만들 수 있는 충분한 할당량:
  • 1 VCN
  • 서브넷 1개
  • 인터넷 게이트웨이 1개
  • 1 경로 규칙
  • 1 기능
  • 1 동적 그룹
  • 1개 정책
  • 1 API 게이트웨이
  • 1개 건전성 검사

Oracle 정의 대시보드(Dashboard)에 대해 알아보기

Terraform 스택이 배포되면 Oracle 정의 IDCS 감사 로그 및 IDCS 관리 거버넌스 대시보드가 Logging Analytics 서비스에 자동으로 생성됩니다. 이러한 대시보드를 통해 단일 창에서 분석 데이터를 볼 수 있습니다. 이 창은 클라우드 애플리케이션 작업을 면밀히 모니터링하고, 변형 이벤트를 감지하며, 관리 작업을 관리하는 데 유용합니다.

IDCS 감사 로그 대시보드 이해

IDCS 감사 로그 대시보드에는 선택한 시간 범위에 따라 차트 및 시각화가 포함된 단일 창에서 위젯을 사용하여 감사 정보가 요약되어 있습니다. 그러면 선택한 기간 동안 다양한 응용 프로그램 및 사용자 작업을 광범위하게 볼 수 있습니다.

IDCS 감사 로그 대시보드에는 다음 데이터가 요약되어 있습니다.

• 합계(애플리케이션)

  애플리케이션 이벤트 및 사용자 이벤트 수입니다.

• 애플리케이션 이벤트

  애플리케이션 이벤트의 주기적 레코드를 보여주는 차트입니다.

• 합계(사용자)

  애플리케이션 이벤트 및 사용자 이벤트 수입니다.

• 사용자 이벤트

  사용자 이벤트의 주기적 레코드를 보여주는 차트입니다.

• 유형별 애플리케이션별 이벤트

  각 애플리케이션에 대해 이벤트 유형별로 그룹화된 이벤트의 트리 맵 시각화입니다.

• 유형별 사용자별 이벤트

  각 사용자에 대해 이벤트 유형별로 그룹화된 이벤트의 트리 맵 시각화입니다.

• 응용 프로그램별 재분할

  애플리케이션별로 그룹화된 이벤트 수의 분포를 보여주는 파이 차트입니다.

• 이벤트 유형별 재분할(응용 프로그램용)

  애플리케이션 이벤트에 대해서만 이벤트 유형별 이벤트 수를 그룹화하는 파이 차트입니다.

• 사용자별 재분할

  사용자별로 그룹화된 이벤트 수 분포를 보여주는 파이 차트입니다.

• 이벤트 유형별 재분할(사용자의 경우)

  사용자 이벤트에 대해서만 이벤트 유형별로 그룹화된 이벤트 수를 보여주는 파이 차트입니다.

IDCS 관리 거버넌스 대시보드 이해

IDCS 관리 거버넌스 대시보드는 지정된 시간범위 내에 사용자별 성공 및 실패한 관리 작업에 대한 병렬 관점을 표시합니다. 이 대시보드는 모든 관리 작업에 대한 개요와 성공 및 실패한 작업에 대한 통찰력을 제공합니다. 드릴 다운하려면 로그 탐색기에서 시각화를 열고 근본 원인에 대한 정확한 이벤트를 누를 수 있습니다.

IDCS 관리 거버넌스 대시보드는 다음 기능을 제공합니다.

• 이벤트 유형 및 사용자별로 그룹화된 사용자의 관리 작업 성공 또는 실패와 관련된 이벤트의 링크 시각화. 차트의 각 버블은 특정 사용자가 특정 유형의 이벤트 그룹을 나타냅니다. 이 시각화는 변형 작업을 식별하는 데 유용합니다.
• 이벤트 유형 및 사용자별로 그룹화된 사용자의 관리 작업 성공 또는 실패와 관련된 이벤트의 트리 맵 시각화. 각 사용자에 대해 성공적인 관리 작업 이벤트를 나타내는 일련의 사각형이 표시됩니다. 시각화는 각 사용자의 관리 작업을 보는 데 유용합니다.
• 선택한 기간 동안 분배된 대응 이벤트 수에 대한 스택 히스토그램 보기. 각 막대의 다양한 색상은 서로 다른 사용자에 대한 이벤트를 나타냅니다.
• 특정 응용 프로그램에 대해 특정 사용자에게 롤이 부여된 이벤트의 표 형식 분석입니다.