Documentação do Oracle Cloud Infrastructure

Protegendo a Verificação de Vulnerabilidade

Este tópico fornece informações e recomendações de segurança para o Oracle Cloud Infrastructure Vulnerability Scanning Service.

A Verificação de Vulnerabilidade ajuda a melhorar a sua postura de segurança no Oracle Cloud verificando regularmente se há vulnerabilidades potenciais nos hosts.

Responsabilidades de Segurança

Para usar a Verificação de Vulnerabilidade com segurança, saiba mais sobre suas responsabilidades de segurança e conformidade.

Em geral, a Oracle fornece segurança de infraestrutura e operações na nuvem, como controles de acesso do operador de nuvem e aplicação de patch de segurança da infraestrutura. Você é responsável por configurar com segurança seus recursos de nuvem. A segurança na nuvem é uma responsabilidade compartilhada entre você e a Oracle.

A Oracle é responsável pelos seguintes requisitos de segurança:

  • Segurança Física: A Oracle é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos no Oracle Cloud Infrastructure. Essa infraestrutura consiste em hardware, software, redes e equipamentos que executam os serviços do Oracle Cloud Infrastructure.
  • Segurança de Banco de Dados: A Oracle é responsável por proteger e aplicar patches ao banco de dados usado para armazenar recursos de Verificação de Vulnerabilidade, incluindo receitas de verificação, destinos de verificação e resultados da verificação.

Suas responsabilidades de segurança estão descritas nesta página, que incluem as seguintes áreas:

  • Controle de Acesso: Limite os privilégios o máximo possível. Os usuários devem receber apenas o acesso necessário para executar seu trabalho.

Tarefas iniciais de segurança

Use esta lista de verificação para identificar as tarefas que você executa para proteger a Verificação de Vulnerabilidade em uma nova tenancy do Oracle Cloud Infrastructure.

Tarefa Mais Informações
Use políticas do serviço IAM para controlar quem pode configurar a Verificação de Vulnerabilidade e quem pode exibir os resultados da verificação. Políticas do serviço IAM
Configure um gateway de serviço para verificar instâncias do serviço Compute que não tenham endereços IP públicos. Segurança de Rede

Tarefas de Segurança de Rotina

Depois de se familiarizar com a Verificação de Vulnerabilidade, use esta lista de verificação para identificar tarefas de segurança que recomendamos que você execute regularmente.

Tarefa Mais Informações
Responda às vulnerabilidades detectadas nos relatórios de verificação
Execute uma auditoria de segurança Auditando

Políticas do Serviço IAM

Use políticas para limitar o acesso à Verificação de Vulnerabilidade.

Uma política especifica quem pode acessar os recursos do Oracle Cloud Infrastructure e como. Para obter mais informações, consulte Como as Políticas Funcionam.

Designe a um grupo o mínimo de privilégios necessários para executar suas responsabilidades. Cada política tem um verbo que descreve quais ações o grupo tem permissão para executar. Do menor acesso ao máximo, os verbos disponíveis são: inspect, read, use e manage.

Considere as perguntas organizacionais a seguir ao criar políticas para Verificação de Vulnerabilidade.

  • Há um grupo dedicado responsável por configurar a Verificação de Vulnerabilidade entre recursos em todos os compartimentos?
  • Os administradores de compartimentos são responsáveis por configurar a Verificação de Vulnerabilidade para recursos em seus compartimentos individuais?
  • Há um grupo dedicado que monitora os resultados da verificação de recursos em todos os compartimentos e, em seguida, comunica esses resultados aos proprietários de compartimentos ou proprietários de recursos?
  • Os administradores de compartimentos monitoram os resultados da verificação de recursos em seus compartimentos individuais e, em seguida, comunicam esses resultados aos proprietários de recursos?
  • Os proprietários de recursos precisam de acesso aos resultados da verificação?

Para usar a verificação baseada em agente para instâncias do serviço Compute (hosts), você também deve conceder ao serviço Vulnerability Scanning permissão para implantar o Oracle Cloud Agent nas instâncias de destino.

Recomendamos que você conceda permissões DELETE a um conjunto mínimo de usuários e grupos do IAM. Esta prática minimiza a perda de dados de exclusões inadvertidas por usuários autorizados ou por agentes maliciosos. Só conceda permissões DELETE aos administradores de tenancies e compartimentos.

Permitir que os usuários do grupo SecurityAdmins verifiquem recursos em toda a tenancy

Um grupo dedicado é responsável por configurar a Verificação de Vulnerabilidade entre recursos em todos os compartimentos.

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy
Permita que os usuários do grupo SalesAdmins verifiquem recursos no compartimento SalesApps

Os administradores de compartimentos são responsáveis por configurar a Verificação de Vulnerabilidade para recursos em seus compartimentos individuais.

Allow group SalesAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesApps
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesApps
Permitir que os usuários do grupo SecurityAuditors exibam os resultados da verificação de toda a tenancy

Um grupo dedicado monitora os resultados da Verificação de Vulnerabilidade para recursos em todos os compartimentos.

Allow group SecurityAuditors to read vss-family in tenancy
Permita que os usuários do grupo SalesAuditors exibam os resultados da verificação no compartimento SalesApps

Os administradores de compartimentos monitoram os resultados da verificação de recursos em seus compartimentos individuais.

Allow group SalesAuditors to read vss-family in compartment SalesApps

Para obter mais informações sobre políticas de Verificação de Vulnerabilidade e ver mais exemplos, consulte Verificando Políticas do Serviço IAM.

Segurança de Rede

Use a Verificação de Vulnerabilidade para verificar recursos que estão em sub-redes privadas ou não têm endereços IP públicos.

Uma instância do serviço Compute está associada a uma VCN (rede virtual na nuvem) e uma sub-rede . Quando você cria uma sub-rede em uma VCN, por padrão, a sub-rede é considerada pública e a comunicação com a internet é permitida. Se uma instância que você deseja verificar estiver em uma sub-rede privada ou não tiver endereço IP público, a VCN deverá incluir um gateway de serviço e uma regra de roteamento para o gateway de serviço. Consulte Acesso aos Serviços Oracle: Gateway de Serviço.

Auditando

Localize logs de acesso e outros dados de segurança para Verificação de Vulnerabilidade.

O serviço Audit registra automaticamente todas as chamadas de API para recursos do Oracle Cloud Infrastructure. Você pode atingir suas metas de segurança e conformidade usando o serviço Audit para monitorar todas as atividades do usuário em sua tenancy. Como todas as chamadas da Console, SDK e CLI (linha de comando) passam por nossas APIs, todas as atividades dessas origens são incluídas. Os registros de auditoria estão disponíveis por meio de uma API de consulta filtrável autenticada ou podem ser recuperados como arquivos batch do serviço Object Storage. O conteúdo do log de auditoria inclui a atividade ocorrida, o usuário que a iniciou, a data e a hora da solicitação, bem como o IP de origem, o agente do usuário e cabeçalhos HTTP da solicitação. Consulte Exibindo Eventos de Log de Auditoria.

Por exemplo, você pode auditar rotineiramente todas as atividades da API relacionadas à criação, atualização e exclusão de destinos de verificação. Você pode pesquisar o serviço Audit para estes eventos:

  • CreateHostScanTarget
  • UpdateHostScanTarget
  • DeleteHostScanTarget
Exemplo de Log de Auditoria

Um trecho de um evento CreateHostScanTarget no serviço Audit.

{
  "eventType": "com.oraclecloud.vulnerabilityScanning.CreateHostScanTarget.begin",
  "cloudEventsVersion": "0.1",
  "eventTypeVersion": "2.0",
  "source": "vulnerabilityScanning",
  "eventId": "<unique_ID>",
  "eventTime": "2021-09-20T13:19:20.046Z",
  "contentType": "application/json",
  "data": {
    "eventGroupingId": "<unique_ID>",
    "eventName": "CreateHostScanTarget",
    "compartmentId": "<unique_ID>",
    "compartmentName": "MyCompartment",
    "resourceName": "MyScanTarget",
    "resourceId": "<unique_ID>",
    "availabilityDomain": "AD3",
    "freeformTags": {},
    "definedTags": {},
    "identity": {
      "principalName": "myuser",
      "principalId": "<unique_ID>",
      "authType": "natv",
      "callerName": null,
      "callerId": null,
      "tenantId": "<unique_ID>",
      "ipAddress": "<IP_address>",
      "credentials": "<credentials>",
      "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36",
      "consoleSessionId": "<unique_ID>"
    },
    ...
  }
}

Para obter uma lista de todos os eventos de Verificação de Vulnerabilidade, consulte Verificando Eventos.