Documentação do Oracle Cloud Infrastructure

Pré-requisitos

Execute essas tarefas antes de ativar o Oracle Cloud Guard.

Observação

O Cloud Guard não está disponível para tenancies gratuitas do Oracle Cloud Infrastructure. Antes de tentar ativar o Cloud Guard, certifique-se de que:
  • Você tem uma tenancy paga.
  • Seu tipo de conta de tenancy é um destes:
    • default_dbaas
    • enterprise_dbaas
    • empresa

Criando o Grupo de Usuários do Cloud Guard

Para permitir que os usuários trabalhem com o Cloud Guard, crie um grupo de usuários com privilégios de administrador.

O Cloud Guard lida com informações de segurança globalmente e deve estar disponível a um público restrito.

  1. Faça log-in na console do Oracle Cloud Infrastructure como administrador da tenancy.
  2. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
  3. Selecione o nome do domínio de identidades no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Depois, selecione Grupos. Uma lista de grupos no domínio é exibida.

    Você deve ter permissão para trabalhar em um compartimento para ver os recursos nele. Se você não tiver certeza de qual compartimento usar, entre em contato com um administrador. Para obter mais informações consulte Noções Básicas de Compartimentos.

  4. Selecione Criar Grupo.
  5. Preencha os campos obrigatórios e selecione Criar.
    Forneça um nome que identifique claramente o grupo, como CloudGuardUsers. Evite digitar informações confidenciais.

O Que Vem a Seguir

Adicione usuários do Cloud Guard ao grupo que você criou.

Se você planeja usar um provedor de identidades (IdP), como o Oracle Identity Cloud Service, para autenticação federada de usuários, certifique-se de mapear o Grupo de Provedores de Identidades para o Grupo do OCI IAM criado. Consulte Gerenciando Usuários do Oracle Identity Cloud Service na Console para obter as etapas a serem seguidas para o Oracle Identity Cloud Service.

Instruções de Política para Usuários

Adicione uma instrução de política que permita que o grupo de usuários do Cloud Guard que você definiu gerencie os recursos do Cloud Guard.

Observação

Você pode encontrar todas as políticas obrigatórias para ativar o Cloud Guard no tópico Políticas Comuns do Oracle Cloud Infrastructure Identity and Access Management (IAM). Nessa página, procure "Cloud Guard" e expanda as quatro listas que você encontrar.

Para obter informações detalhadas sobre políticas individuais do Cloud Guard, consulte Políticas do Cloud Guard.

Para gerenciar recursos do Cloud Guard, adicione a política que segue a instrução para ativar todos os usuários no grupo CloudGuardUsers. Substitua o nome designado ao grupo, se você não o nomeou CloudGuardUsers.

allow group <identity_domain_name>/CloudGuardUsers to manage cloud-guard-family in tenancy

Se o grupo de usuários do Cloud Guard não estiver no domínio de identidades padrão, inclua o <identity_domain_name>, seguido por uma barra ("/"), antes do nome do grupo:

allow group <identity_domain_name>/CloudGuardUsers to manage cloud-guard-family in tenancy

Com essa política em vigor, os usuários que você adiciona ao grupo de usuários do Cloud Guard agora estão prontos para continuar Ativando o Cloud Guard.

Observação

Se, por algum motivo, você optar por não adicionar a instrução de política exata acima, adicione a seguinte instrução de política como requisito mínimo para permitir que os usuários acessem o Cloud Guard: 
allow group CloudGuardUsers to use cloud-guard-config in tenancy

Se o grupo de usuários do Cloud Guard não estiver no domínio de identidades padrão, inclua o <identity_domain_name>, seguido por uma barra ("/"), antes do nome do grupo:

allow group <identity_domain_name>/CloudGuardUsers to use cloud-guard-config in tenancy
Permissões e Políticas do IAM Correspondentes

Com base nas funções de segurança típicas que podem existir em uma organização, o Cloud Guard suporta as atribuições de administrador a seguir. Cada atribuição tem nomes de recursos do IAM correspondentes e políticas que você pode usar para controlar o acesso às funções do Cloud Guard.

Atribuição do Administrador Funções do Cloud Guard Recursos de Permissões do IAM Funções Acessíveis
Proprietário do Serviço (Raiz ou Superadministrador)
  • Ativar Cloud Guard
  • Criar grupos e políticas do IAM
 cloud-guard-family Gerenciar cloud-guard-family na tenancy
Arquiteto de Segurança ( Analista de Segurança)
  • Clonar receitas do detector
  • Gerenciar detectores
  • Designar receitas de detectores a destinos
  • Ler/gerenciar problemas e pontuações de problemas e outras métricas

cloud-guard-detectors

cloud-guard-targets

cloud-guard-detector-recipes

cloud-guard-responder-recipes

cloud-guard-managed-lists

cloud-guard-problems

cloud-guard-risk-scores

cloud-guard-security-scores

 Gerenciar/Inspecionar/Ler* esses recursos na tenancy/compartimento
Administrador de Operações de Segurança
  • Gerenciar, Inspecionar ou Ler* problemas do Cloud Guard
 cloud-guard-problems Gerenciar/Inspecionar/Ler* problemas do Cloud Guard

* Ler versus Inspecionar: Ler permite exibir detalhes de problemas listados; Inspecionar só permite exibir a lista de problemas. Ler é um superconjunto de Inspecionar.

Cuidado

Certifique-se de que apenas o administrador raiz possa excluir destinos.
Amostra de Casos de Uso de Política

Os casos de uso listados na tabela a seguir para fornecer exemplos de atribuições de administrador e as políticas do IAM que você pode configurar para dar suporte a elas.

Caso de Uso Mínimo de Políticas Obrigatórias Funções permitidas, não permitidas Permissões Aut.
Acesso somente para leitura aos dados e à configuração do Cloud Guard para todos os compartimentos O administrador pode criar um grupo especial como cgreadgroup, adicionar usuários a esse grupo e, em seguida, adicionar estas políticas:
  • allow group cgreadgroup to read cloud-guard-family in tenancy
  • allow group cgreadgroup to read compartments in tenancy

Allowed: leia as páginas Overview, Problems, Detectors, Targets e Responder Activity.

Não Permitido: edite ou clone receitas do detector, crie destinos, exclua receitas dos destinos e crie listas gerenciadas.

 Página Visão Geral - Ler: Sim
Problemas - Ler: Sim
Problemas - Gerenciar: Não
Problemas - Corrigir: Não
Destinos - Ler: Sim
Destinos - Gerenciar: Não
Receitas/Regras do Detector - Ler: Sim
Receitas/Regras do Detector - Gerenciar: Não
Atividade do Respondedor - Ler: Sim
Acesso somente para leitura aos dados e à configuração do Cloud Guard para um compartimento O administrador pode criar um grupo especial como cggroupcomptonly, adicionar usuários a esse grupo; em seguida, adicionar estas políticas ('OCIDemo' é o nome do compartimento aqui):
  • allow group cggroupcomptonly to read compartments in tenancy where target.compartment.name = 'OCIDemo'
  • allow group cggroupcomptonly to read cloud-guard-family in compartment OCIDemo
  • allow group cggroupcomptonly to inspect cloud-guard-config in tenancy

Permitido: só ler dados do compartimento especificado, nas páginas Visão Geral, Problemas, Detetores e Destinos.

Não Permitido: ler essas páginas mostrando dados de outros compartimentos.

 Página Visão Geral - Ler: Sim
Problemas - Ler: Sim
Problemas - Gerenciar: Não
Problemas - Corrigir: Não
Destinos - Ler: Sim
Destinos - Gerenciar: Não
Receitas e Regras de Detectores - Ler: Sim
Receitas e Regras de Detectores - Gerenciar: Não
Atividade do Respondedor - Ler: Sim
Acesso somente para leitura às receitas do detector do Cloud Guard O administrador pode criar um grupo especial como cgreaddetrecipes, adicionar usuários a esse grupo e, em seguida, adicionar estas políticas:
  • allow group cgreaddetrecipes to read cloud-guard-detector-recipes in tenancy
  • allow group cgreaddetrecipes to read compartments in tenancy
  • allow group cgreaddetrecipes to inspect cloud-guard-config in tenancy

Permitido: ler páginas de receitas e regras do detector

Não permitido: clonar ou excluir receitas. Gerencie regras de uma receita, exiba páginas fora dos Detectores e Respondedores.

 Página Visão Geral - Ler: Não
Problemas - Ler: Não
Problemas - Gerenciar: Não
Problemas - Corrigir: Não
Destinos - Ler: Não
Destinos - Gerenciar: Não
Receitas e Regras de Detectores - Ler: Sim
Receitas e Regras de Detectores - Gerenciar: Não
Atividade do Respondedor - Ler: Não
Acesso somente para leitura aos problemas do Cloud Guard, excluindo Pontuação de Segurança e Pontuação de Risco O administrador pode criar um grupo especial como cgreadproblems, adicionar usuários a esse grupo e adicionar estas políticas:
  • allow group cgreadproblems to read cloud-guard-problems in tenancy
  • allow group cgreadproblems to read compartments in tenancy
  • allow group cgreadproblems to inspect cloud-guard-config in tenancy

Permitido na página Visão Geral, exiba:

  • Snapshot de Problemas
  • Problemas Agrupados por...
  • Problemas de Atividade do Usuário
  • Linha de Tendência de Novos Problemas

Não permitido na página Visão Geral, acesso a:

  • Pontuação de Segurança
  • Pontuação de Risco
  • Recomendações de Segurança
  • Status do Respondedor
  • Linha de Tendência de Pontuação de Segurança
  • Linha de Tendência de Remediação

O acesso a todas as outras páginas também não é permitido.

 Página Visão Geral - Ler:

(limitado a Snapshot de Problemas, Problemas Agrupados por..., Problemas de Atividade do Usuário e Linha de Tendência de Novos Problemas)

 Sim
Problemas - Ler: Não
Problemas - Gerenciar: Não
Problemas - Corrigir: Não
Destinos - Ler: Não
Destinos - Gerenciar: Não
Receitas e Regras de Detectores - Ler: Não
Receitas e Regras de Detectores - Gerenciar: Não
Atividade do Respondedor - Ler: Não
Acesso somente para leitura aos problemas do Cloud Guard, incluindo Pontuação de Segurança e Pontuação de Risco O administrador pode criar um grupo especial de usuários como na linha anterior, com políticas detalhadas lá e, em seguida, adicionar estas políticas:
  • allow group cgreadproblems to inspect cloud-guard-risk-scores in tenancy
  • allow group cgreadproblems to inspect cloud-guard-security-scores in tenancy

Permitido na página Visão Geral, exiba:

  • Pontuação de Segurança
  • Pontuação de Risco
  • Snapshot de Problemas
  • Problemas Agrupados por...
  • Problemas de Atividade do Usuário
  • Linha de Tendência de Novos Problemas

Não permitido na página Visão Geral, acesso a:

  • Recomendações de Segurança
  • Status do Respondedor
  • Linha de Tendência de Pontuação de Segurança
  • Linha de Tendência de Remediação

O acesso a todas as outras páginas também não é permitido.

 Página Visão Geral - Ler:

(limitado a Pontuação de Segurança, Pontuação de Risco, Snapshot de Problemas, Problemas Agrupados por... , Problemas de Atividade do Usuário e Linha de Tendência de Novos Problemas)

 Sim
Problemas - Ler: Não
Problemas - Gerenciar: Não
Problemas - Corrigir: Não
Destinos - Ler: Não
Destinos - Gerenciar: Não
Receitas e Regras de Detectores - Ler: Não
Receitas e Regras de Detectores - Gerenciar: Não
Atividade do Respondedor - Ler: Não
Referência de Permissões do Cloud Guard

A tabela a seguir resume as permissões do Cloud Guard disponíveis.

Permissão Finalidade Escopo Obrigatório Observações

cloud-guard-family

Coleta todas as permissões existentes para o Cloud Guard em uma única permissão.

O uso de qualquer um dos metaverbos inspect, read, use e manage para isso concede os mesmos privilégios para todas as outras permissões.

Use essa permissão com cuidado.

tenancy ou compartimento

Nome de permissão comum para todas as permissões.

cloud-guard-detectors

Não é mais necessários. Dados estáticos estão disponíveis sem autorização.

NA

Não está sendo usado na console.

cloud-guard-targets

Obrigatório para exibir e gerenciar dados de destino para o compartimento ou a tenancy.

O metaverbo inspect é necessário para preencher minimamente a lista de seleção para filtrar problemas. Ele pode ter escopo na tenancy ou em um ou vários compartimentos.

O metaverbo read dá o privilégio de exibir a configuração do destino.

O metaverbo use é obrigatório para atualizar qualquer destino criado anteriormente.

O metaverbo manage é obrigatório para gerenciar o ciclo de vida do destino.

Recomendado: Defina o escopo desta permissão no compartimento para permitir que o usuário só execute operações nesse compartimento.

tenancy ou compartimento

Os dados são usados na página Alvos e também para preencher o campo drop-down para filtrar a página Problemas.

cloud-guard-config

Obrigatório para exibir a configuração do Cloud Guard para a tenancy.

Sem essa permissão, os usuários não podem exibir a Visão Geral e outras páginas do Cloud Guard. Eles são redirecionados para a página Ativar do Cloud Guard.

O metaverbo inspect para poder exibir o status de ativação do Cloud Guard com os detalhes da região de inscrição configurada.

Os metaverbos use ou manage devem ser restritos aos usuários que precisam de recursos para ativar ou desativar o Cloud Guard.

tenancy

Esses dados são usados para identificar o status do Cloud Guard e os detalhes da região de inscrição. Todas as chamadas subsequentes da console são redirecionadas para a região de inscrição para executar operações CRUDL.

A região de inscrição configurada é exibida na página Definições.

cloud-guard-managed-lists

Obrigatório para exibir e gerenciar os dados da lista gerenciada para o compartimento ou a tenancy.

O metaverbo inspect será obrigatório no escopo da tenancy se os usuários precisarem clonar listas gerenciadas pela Oracle existentes no compartimento raiz.

O metaverbo read é necessário para exibir uma configuração de lista gerenciada e associar a lista gerenciada ao grupo condicional ou às definições existentes no destino, na receita do detector ou do respondedor. Se a lista gerenciada existir no escopo da tenancy, a política deverá ter escopo na tenancy; se a lista gerenciada existir no compartimento, ela deverá ter escopo no compartimento.

O metaverbo use fornece mais recursos no topo de read, para modificar a lista gerenciada existente à qual eles já têm acesso de leitura.

O metaverbo manage é obrigatório para criar uma nova lista gerenciada e gerenciar o ciclo de vida das listas gerenciadas criadas pelo cliente.

tenancy ou compartimento

Os dados são usados na página Listas Gerenciadas e também para preencher os valores que associam uma lista gerenciada a grupos condicionais ou definições existentes em destinos, receitas do detector ou do respondedor.

cloud-guard-problems

Obrigatório para exibir e executar ações sobre problemas existentes no compartimento ou na tenancy.

O metaverbo inspect é obrigatório para exibir dados na página Visão Geral e também para listar os problemas na página Problemas. Ele pode ter escopo na tenancy, em que os problemas identificados para todos os compartimentos são visíveis. Ou pode ter escopo em um compartimento para restringir o acesso a problemas do compartimento específico.

Se a intenção for exibir detalhes do problema, o metaverbo read será obrigatório.

Os metaverbos use ou manage deverão ser adicionados à política se o usuário puder executar ações sobre problemas como "Marcar como Resolvido", "Descartar" ou "Corrigir" em um único problema ou em vários.

tenancy ou compartimento

Os dados são usados na página Problemas e também na página Visão Geral para preencher estes painéis:

  • Snapshot dos Problemas
  • Problemas da Atividade do Usuário
  • Problemas Agrupados por...
  • Linha de Tendência de Novos Problemas

A página de visão geral exige minimamente que o metaverbo inspect exiba os painéis.

cloud-guard-detector-recipes

Obrigatório para exibir e gerenciar os dados da receita do detector para o compartimento ou a tenancy.

Se os usuários precisarem clonar receitas gerenciadas pela Oracle existentes no compartimento raiz, o metaverbo inspect será obrigatório no escopo da tenancy.

O metaverbo read é obrigatório para exibir uma configuração de receita e anexar receitas a um destino. Se houver receitas no escopo da tenancy, a política deverá ter escopo na tenancy; se houver receitas no compartimento, a política deverá ter escopo no compartimento.

O metaverbo use fornece mais recursos para modificar grupos condicionais e outras definições em receitas existentes às quais os usuários já têm acesso de leitura.

O metaverbo manage é obrigatório para clonar uma receita e gerenciar o ciclo de vida das receitas clonadas.

tenancy ou compartimento

Os dados são usados na página Receitas do detector e também para preencher a lista de seleção usada ao anexar a receita do detector a um destino.

cloud-guard-responder-recipes

Obrigatório para exibir e gerenciar os dados da receita do respondedor para o compartimento ou a tenancy.

Se os usuários precisarem clonar receitas gerenciadas pela Oracle existentes no compartimento raiz, o metaverbo inspect será obrigatório no escopo da tenancy.

O metaverbo read é obrigatório para exibir uma configuração de receita e anexar uma receita a um destino. Se houver receitas no escopo da tenancy, a política deverá ter escopo na tenancy; se houver receitas no compartimento, a política deverá ter escopo no compartimento.

O metaverbo use fornece mais recursos para modificar grupos condicionais e outras definições em receitas existentes às quais eles já têm acesso de leitura.

O metaverbo manage é necessário para clonar uma receita e gerenciar o ciclo de vida de receitas clonadas.

tenancy ou compartimento

Os dados são usados na página Receitas do Respostas" e também para preencher a lista de seleção ao anexar uma receita do respondedor a um destino.

cloud-guard-responder-executions

Obrigatório para exibir e gerenciar dados de atividade do respondedor para o compartimento ou a tenancy.

O metaverbo inspect é um requisito mínimo para preencher dados nas páginas Visão Geral e A atividade do respondedor.

O metaverbo read é obrigatório para exibir dados específicos da atividade do respondedor. Não é obrigatório na console.

Os metaverbos use ou manage são obrigatórios para executar ações como "Ignorar" ou "Executar" em uma atividade de respondedor específica, ou para "Ignorar" a execução de várias atividades do respondedor.

tenancy ou compartimento

O metaverbo inspect:

  • Esses dados são usados para preencher o painel Status do Respondedor e a Linha de Tendência de Remessa na página Visão Geral.
  • Esses dados também são usados na página A atividade do respondedor.

O metaverbo read:

  • Não é obrigatório na console.

Os metaverbos use ou manage:

  • Obrigatório para ignorar e executar ações em uma atividade de respondedor específica ou para executar salto em massa para várias atividades do respondedor.

cloud-guard-recommendations

Obrigatório para exibir recomendações que melhorem a pontuação de risco e a pontuação de segurança associadas à tenancy.

O metaverbo inspect é o requisito mínimo.

tenancy ou compartimento

Esses dados ficam visíveis na página Visão Geral no painel Recomendações de Segurança.

cloud-guard-user-preferences

Obrigatório para gerenciar as preferências do usuário na console do Cloud Guard. Atualmente usado para gerenciar o status do tour guiado do usuário conectado. Salvar a preferência do usuário ignora o prompt para concluir o tour guiado nos log-ins subsequentes.

O metaverbo inspect é o requisito mínimo para obter a preferência do usuário atual.

O metaverbo use ou manage deve ser usado para também persistir na preferência.

tenancy

Esses dados estão visíveis na seção Tour Guiado da página Definições.

cloud-guard-risk-scores

Obrigatório para exibir os dados da pontuação de risco da tenancy.

Sem essa permissão, os usuários não podem exibir a pontuação de risco associada à tenancy.

O metaverbo inspect é o requisito mínimo.

tenancy

Esses dados ficam visíveis na página Visão Geral do painel Pontuação de Risco.

cloud-guard-security-scores

Obrigatório para exibir a classificação da pontuação de segurança da tenancy.

Sem essa permissão, os usuários não podem exibir a pontuação de segurança associada à tenancy.

O metaverbo inspect é o requisito mínimo.

tenancy

Esses dados ficam visíveis na página Visão Geral, em Classificação da Pontuação de Segurança e Linha de Tendência da Pontuação de Segurança.