Documentação do Oracle Cloud Infrastructure

Conceitos do Cloud Guard

Entenda os componentes e a terminologia do Cloud Guard.

O Cloud Guard examina os recursos do Oracle Cloud Infrastructure para verificar se há falhas de segurança relacionadas à configuração e também para verificar se há atividades de risco para os operadores e usuários. No momento da detecção, o Cloud Guard pode sugerir, auxiliar ou executar ações, com base em sua configuração.

O diagrama a seguir fornece uma visão geral de alto nível do fluxo do sistema do Cloud Guard. Você pode consultar esse diagrama ao revisar os conceitos do Cloud Guard cujas definições são mostradas a seguir.

Imagem do fluxo do sistema de alto nível no Cloud Guard

Dica

Assista a uma introdução em vídeo ao serviço Cloud Guard.

Estes termos são importantes para você entender à medida que trabalha com o Cloud Guard:

Destino
Define o escopo do que o Cloud Guard deve verificar. Para o Oracle Cloud Infrastructure, esse escopo é vinculado ao compartimento em que o destino é definido e a todos os compartimentos filhos a partir desse ponto até que outro destino seja encontrado. O outro destino encontrado assume o controle desse ponto para qualquer compartimento descendente.
  • Um destino pode consistir em toda a tenancy do OCI (destino no compartimento raiz).
  • Para monitorar as políticas de IAM, o compartimento raiz deve ser um destino.
  • Especifique pelo menos um destino ao ativar o Cloud Guard. Você pode modificar esse destino e definir mais destinos posteriormente.
  • Os destinos não podem se sobrepor e apenas um único destino de cada vez é aplicado a um compartimento e seus recursos.
  • Um compartimento (e seus compartimentos secundários) pode ser isento de verificações sendo declarado um destino, mas sem ter receitas do detector aplicadas a esse destino.
Detector
Executa verificações e identifica possíveis problemas de segurança com base no tipo e na configuração.
Receita do detector
Fornece as linhas de base para examinar os recursos e as atividades no destino.
Receita do detector gerenciada pela Oracle
  • Fornecido pelo Cloud Guard.
  • Permite definir apenas o escopo dos recursos cuja regra dispara um problema.
  • Não permite que você desative regras ou altere o nível de risco de uma regra.
  • Pode ser atualizado para incluir novos padrões e definições a qualquer momento.

    Monitore as Notas da Versão do Cloud Guard para obter essas atualizações.

Receita do detector gerenciada pelo usuário
  • Criado clonando uma receita gerenciada pela Oracle.
  • Permite definir o escopo dos recursos cuja regra dispara um problema.
  • Permite também que você desative regras individuais e altere o nível de risco de uma regra.
Receita do Detector de Atividade do OCI
Conjunto de regras projetadas especificamente para detectar ações em recursos que possam representar um problema de segurança.
Receita do Detector de Configuração do OCI
Conjunto de regras projetadas especificamente para detectar definições de configuração de recursos que podem representar um problema de segurança.
Receita de Configuração do OCI Container Security
Conjunto de regras projetadas especificamente para ajudar uma organização a definir como pretende operar suas cargas de trabalho conteinerizadas e, em seguida, impor essas intenções.
Receita do Detector de Segurança da Instância do OCI
Conjunto de regras projetadas especificamente para fornecer segurança de runtime para cargas de trabalho em hosts virtuais e bare metal do serviço Compute.
Receita do detector de ameaças do OCI
Conjunto de regras projetadas especificamente para detectar padrões sutis de atividade em seu ambiente que possam se desenvolver para representar um problema de segurança.
Regra do detector
Fornece uma definição específica de uma classe de recursos, com ações ou configurações específicas, que fazem com que um detector relate um problema. Uma receita de detector consiste em várias regras de detector. Se uma regra for acionada, isso fará com que o detector relate um problema. Cada regra em uma receita do detector pode ser configurada individualmente.
Problema
Qualquer ação ou configuração em um recurso que possa causar um problema de segurança. O Cloud Guard monitora a atividade de rede da tenancy do Oracle Cloud Infrastructure para identificar e resolver problemas. Problemas:
  • É criado quando o Cloud Guard descobre um desvio de uma regra do detector.
  • São definidos pelo tipo de detector que os cria: atividade ou configuração.
  • Contém dados sobre o tipo específico de problema encontrado.
  • Pode ser resolvido, ignorado ou corrigido.
Respondedor
Uma ação que o Cloud Guard pode executar quando um detector identificou um problema. As ações disponíveis são específicas do recurso. Os respondedores são estruturados de forma semelhante aos detectores:
Receita do respondedor
Define a ação ou o conjunto de ações a serem tomadas em resposta a um problema que um detector identificou.
Receita do respondedor gerenciada pela Oracle
  • Fornecido pelo Cloud Guard.
  • Não permite que você desative regras.
  • Pode ser atualizado para incluir novos padrões e definições a qualquer momento.

    Monitore as Notas da Versão do Cloud Guard para obter essas atualizações.

Receita do respondedor gerenciada pelo usuário
  • Criado clonando a receita gerenciada pela Oracle.
  • Permite que você desative regras individuais e altere o nível de risco de uma regra.
Regra do respondedor
Define as ações específicas a serem tomadas. Se uma regra do respondedor for acionada, ela acionará o respondedor. Cada regra em uma receita do detector pode ser configurada individualmente.
O Cloud Guard fornece um conjunto de respondedores com regras padrão. Você pode usar esses respondedores como estão. Você pode clonar qualquer um dos respondedores padrão e modificar as regras para atender a necessidades específicas. Você pode ativar e desativar as regras do respondedor individualmente. Você pode limitar o escopo da aplicação de regras individuais especificando as condições para limitar o escopo.
Lista gerenciada
Uma lista reutilizável de parâmetros que torna mais fácil definir o escopo das regras do detector e do respondedor. Por exemplo, uma lista predefinida de "Espaço de endereço IP Oracle confiável" contém todos os endereços IP Oracle que você deseja considerar como confiáveis ao definir regras para detectores e respondedores.
Regiões no Cloud Guard
A atividade que o Cloud Guard monitora pode ocorrer em dois tipos de regiões:
Região de Inscrição
A região padrão da tenancy do Cloud Guard. A primeira região definida quando a tenancy do Cloud Guard foi ativada.
Observação

A região secundária selecionada confirma que sua organização atende a todos os requisitos legais do país onde a região secundária está hospedada. Consulte Selecionar Cuidadosamente Sua Região de Relatório.

Para pesquisar o nome da região de relatório, consulte Exibindo a Região de Relatório.

A integração com os serviços Notifications e Events para enviar notificação só acontece na região de inscrição. A seleção de uma determinada região  na lista Regiões, na parte superior da console, não tem efeito sobre as informações exibidas. Para filtrar informações por região, use Filtros nas páginas Cloud Guard.

Regiões Monitoradas
Outras regiões monitoradas pela tenancy do Cloud Guard.
Região Home do OCI
Para o Cloud Guard, a região home do OCI é uma constante inalterável no ambiente do OCI.
Observação

Você especifica a região de relatório do Cloud Guard quando ativa o Cloud Guard. Em todas as tarefas de configuração e solução de problemas que você executa após a ativação, especifique a região de relatório do Cloud Guard, não a região home do OCI.