Documentação do Oracle Cloud Infrastructure

Orientação de Design para Integração SIEM

Um dos pilares do Cloud Adoption Framework é a segurança. Quando você migrar worklads ou criar cargas de trabalho na nuvem, implemente diferentes níveis de segurança para reduzir o risco de ataques. O OCI (Oracle Cloud Infrastructure) usa a estrutura de DiD (defesa em profundidade) para proteger a infraestrutura de nuvem em diferentes níveis. O OCI também aplica a abordagem de Segurança de Confiança Zero. Para obter mais informações, consulte Approaching Zero Trust Security with Oracle Cloud Infrastructure.

O que é Defesa em Profundidade e por que é Importante?

A defesa em profundidade é uma abordagem de segurança multicamadas que ajuda a proteger dados usando diferentes tipos de defesas de segurança. Se uma camada de defesa falhar ou for comprometida, outros tipos de defesas reduzirão o ataque e se tornarão operacionais. Por exemplo, se você salvar seus dados em vários sistemas seguros com diferentes tipos de defesa, como biometria, acesso à rede e autenticação, cada camada de segurança aumentará a confiança de que seus dados estão seguros. Para cada camada, há um sistema de monitoramento em potencial que fornece uma visão completa do status de segurança do sistema seguro.

Da mesma forma, ao aplicar esse conceito à defesa dos sistemas de TI, a abordagem de defesa em profundidade protege todas as camadas de seus sistemas. Por exemplo, a estrutura DiD oferece proteção entre computadores laptop, usuários e suas identidades, redes que conectam sistemas e aplicativos que protegem seus dados.

Elementos de Defesa em Profundidade

A defesa em profundidade foca nas seguintes áreas de controle:

  • Controles físicos: Impedindo o acesso a sistemas físicos. O pessoal de segurança normalmente representa esse controle, em vez de sistemas biométricos ou portas de segurança.
  • Controles técnicos: Impedindo o acesso a sistemas de TI, incluindo hardware e software. Esse controle inclui sistemas de firewall e detecção de intrusão, scanners Web, acesso just-in-time, segmentação de rede e criptografia de dados. Esse controle também é implementado por meio da monitoração de seus próprios sistemas usando plataformas de SIEm (gerenciamento de eventos e informações de segurança) e plataformas de SOAR (segurança, orquestração, automação e resposta).
  • Controles administrativos: Avalie e verifique a segurança por meio da implementação de políticas de segurança, avaliação de risco de cibersegurança e gerenciamento de funcionários e fornecedores.

Para obter mais informações, consulte Keep Your Data Secure On and Off the Cloud: Defense In-Depth.

Padrão de Integração SIEM

Uma plataforma SIEM é necessária para aumentar a capacidade de resposta a ataques de segurança. Por meio dos sistemas SIEM, você pode monitorar eventos de segurança de diferentes fontes, como redes, dispositivos e identidades. Você também pode analisar esses sinais em tempo real usando aprendizado de máquina para correlacionar vários sinais e identificar atividades de hackers ameaçadoras e eventos de segurança irregulares que trafegam pela rede. Há vários SIEMs de terceiros disponíveis para integração com logs e eventos produzidos no OCI. Se a sua plataforma SIEM não estiver na cobertura, recomendamos que você entre em contato com o representante da Oracle para obter suporte.

Consolidação do Log de Serviço

Quando você integra sistemas de monitoramento com o OCI, pode consolidar os logs gerados no OCI Logging. O serviço Logging fornece acesso a todos os logs de recursos do OCI, gerencia totalmente todos os logs da tenancy e é altamente escalável. Os logs incluem informações críticas de diagnóstico que descrevem o desempenho dos recursos e como eles estão sendo acessados.

Os tipos de logs são os seguintes:

  • Logs de auditoria: Logs relacionados a eventos emitidos pelo serviço OCI Audit.
  • Logs de serviço: Logs emitidos por serviços nativos do OCI, como API Gateway, Events, Functions, Load Balancing, Object Storage e logs de fluxo da VCN. Cada um desses serviços suportados tem categorias de registro em log predefinidas que você pode ativar ou desativar nos seus respectivos recursos.
  • Logs personalizados: Logs que contêm informações de diagnóstico de aplicativos personalizados, outros provedores de nuvem ou um ambiente on-premises. Os logs personalizados podem ser ingeridos por meio da API ou configurando o Agente de Monitoramento Unificado. Você pode configurar uma instância do OCI Compute para fazer upload de logs personalizados diretamente por meio do Unified Monitoring Agent. Há suporte para logs personalizados em cenários de máquina virtual e bare metal.

Para obter mais informações sobre como consolidar logs usando os serviços Logging e OCI Service Connector Hub, consulte Security Log Consolidation in CIS OCI Landing Zone.

Como prática recomendada, capture também eventos gerados pelo Cloud Guard para obter dados detalhados suficientes para envio à plataforma SIEM. Esse processo ajuda você a se preparar para possíveis problemas de segurança.

Para obter informações sobre como exportar os eventos gerados pelo Cloud Guard, consulte Integrate Oracle Cloud Guard with External Systems Using OCI Events and Functions.

Arquitetura de Referência SIEM de Terceiros

Em uma arquitetura de referência SIEM de terceiros, o serviço Logging captura logs de diferentes origens, como logs de auditoria, logs de serviço (os logs de fluxo da VCN) e logs personalizados. Há um fluxo distinto para cada log, e cada log é conectado ao seu fluxo com um hub conector de serviço que grava os logs no serviço OCI Streaming. Em paralelo, os eventos gerados pelo Cloud Guard são coletados e normalizados por meio de uma função do OCI que grava os eventos no OCI Streaming.

O OCI Streaming então pode estabelecer interface com uma plataforma SIEM de terceiros, como Splunk ou QRadar, que coleta os dados transmitidos para análise mais detalhada. Para obter um exemplo, consulte Implement a SIEM system in Splunk using logs streamed from Oracle Cloud.

Diagrama de uma arquitetura de referência SIEM mostrando a integração do OCI Logging.

A arquitetura de referência SIEM inclui os componentes de arquitetura a seguir.

região
Região do OCI é uma área geográfica localizada que contém um ou mais data centers, denominada domínios de disponibilidade. As regiões são independentes de outras regiões, e grandes distâncias podem separar regiões entre países ou continentes.
domínio de disponibilidade
Domínios de disponibilidade são data centers stand-alone e independentes dentro de uma região. Os recursos físicos de cada domínio de disponibilidade são isolados dos recursos de outros domínios de disponibilidade, o que oferece tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura como energia ou refrigeração ou a rede interna do domínio de disponibilidade. Como resultado, é improvável que uma falha em um domínio de disponibilidade afete os outros domínios de disponibilidade na região.
rede virtual na nuvem e sub-redes
VCN (rede virtual na nuvem) é uma rede personalizável definida por software que você configura em uma região do OCI. Como as redes tradicionais de data center, as VCNs oferecem total controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar após a criação da VCN. Você pode segmentar uma VCN em sub-redes, com escopo definido para uma região ou para um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não se sobrepõem a outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.
Logging
O Logging é um serviço escalável e totalmente gerenciado, que oferece acesso a logs de seus recursos na nuvem. Os tipos de logs incluem logs de auditoria, logs de serviço e logs personalizados.
Streaming
O serviço Streaming fornece uma solução de armazenamento totalmente gerenciada, escalável e durável para ingestão de fluxos contínuos de altos volumes de dados que você pode consumir e processar em tempo real. Você pode usar o serviço Streaming para ingestão de dados de alto volume, como logs de aplicativo, telemetria operacional, dados de fluxo de cliques na Web ou para outros casos de uso nos quais os dados são produzidos e processados de forma contínua e sequencial em um modelo de mensagem de publicação/assinatura.
Service Connector Hub
O Service Connector Hub é uma plataforma de barramento de mensagens da nuvem que orquestra a movimentação de dados entre serviços no OCI. Você pode usar a plataforma para mover dados entre os serviços do OCI. Os dados são movidos usando conectores de serviço. Um conector de serviço especifica o serviço de origem que contém os dados a serem movidos, as tarefas a serem executadas nos dados e o serviço de destino para o qual os dados devem ser entregues quando as tarefas são concluídas.
Oracle Cloud Guard
O Cloud Guard ajuda a monitorar, identificar, obter e manter uma postura de segurança forte no Oracle Cloud. Use o serviço para examinar os recursos do OCI em busca de fragilidade de segurança relacionada à configuração, bem como seus operadores e usuários em busca de atividades de risco. No momento da detecção, o Cloud Guard pode sugerir, auxiliar ou executar ações corretivas, com base em sua configuração.