Visão Geral do Serviço Vulnerability Scanning

O Oracle Cloud Infrastructure Vulnerability Scanning Service ajuda a melhorar sua postura de segurança, verificando regularmente se há vulnerabilidades potenciais em hosts e imagens de contêiner. O serviço oferece aos desenvolvedores, administradores de operações e de segurança uma visibilidade abrangente de recursos mal configurados ou vulneráveis. Além disso, gera relatórios com métricas e detalhes sobre essas vulnerabilidades, incluindo informações de correção.

Dica

Assista a uma introdução em vídeo do serviço.

Todos os recursos e relatórios de Verificação de Vulnerabilidade são regionais, mas os resultados da verificação também são visíveis como problemas na região de relatório global do Cloud Guard.

O serviço Vulnerability Scanning identifica vulnerabilidades nos seguintes recursos:

Instâncias de Computação (também conhecidas como hosts)
Imagens do serviço Container Registry

O serviço Vulnerability Scanning pode identificar vários tipos de problemas de segurança:

As portas que são deixadas em abertas acidentalmente podem ser um vetor de ataque potencial para seus recursos de nuvem ou permitir que hackers explorem outras vulnerabilidades.
Pacotes do SO que requerem atualizações e patches para tratar vulnerabilidades.
Configurações do SO que os hackers podem explorar.
Comparativos de mercado (benchmarks) padrão do setor publicados pelo CIS(Center for Internet Security).
O serviço Vulnerability Scanning verifica os hosts quanto à conformidade com os benchmarks da seção 5 (Acesso, Autenticação e Autorização) definidos para Linux Independente de Distribuição.
Vulnerabilidades em aplicativos de terceiros, como log4j e spring4shell.

Observação
O
Oracle Cloud Infrastructure Vulnerability Scanning Service pode ajudá-lo a corrigir rapidamente vulnerabilidades e exposições, mas o serviço não é compatível com o PCI (Pay Card Industry). Não use o serviço de Verificação de Vulnerabilidade para atender aos requisitos de conformidade PCI.

O serviço Vulnerability Scanning só suporta instâncias do serviço Compute, ou imagens de contêiner, criadas com base em imagens de plataforma suportadas. A verificação não está disponível para nenhuma imagem com o label fim do suporte.

Para verificar vulnerabilidades nas instâncias do serviço Compute, a instância deve usar uma imagem que suporte o Oracle Cloud Agent. A verificação de porta no endereço IP público de uma instância não requer um agente.

Observação

As verificações de imagem do host e do contêiner da Verificação de Vulnerabilidade podem pegar resultados de CVE de outros sistemas operacionais não suportados. Os resultados são cobertos apenas por dados NVD, e podem estar faltando CVEs ou ter outros falsos positivos. Não oferecemos suporte a esses outros sistemas operacionais, portanto, use esses resultados com cautela.

O serviço Vulnerability Scanning detecta vulnerabilidades nas plataformas a seguir usando as origens de vulnerabilidade a seguir.

Plataforma	NVD (National Vulnerability Database)	OVAL (Open Vulnerability and Assessment Language)	CIS (Center for Internet Security)
Oracle Linux	Sim	Sim	Sim
CentOS	Sim	Sim	Sim
Ubuntu	Sim	Sim	Sim
Windows	Sim	Não	Não

Observação

Como a verificação do Windows não inclui dados do OVAL, não recomendamos que você utilize apenas o Oracle Cloud Infrastructure Vulnerability Scanning Service para garantir que suas instâncias do Windows estejam atualizadas e seguras.

Observação

Não é recomendável usar o serviço de Verificação de Vulnerabilidade para identificar problemas em Sistemas de Banco de Dados de Máquina Virtual e, em seguida, modificar o SO para tratar de cada problema. Em vez disso, siga as instruções em Atualizando um Sistema de Banco de Dados para aplicar as atualizações de segurança mais recentes ao SO.

Observação

Você não pode usar o serviço Vulnerability Scanning em hosts que não foram criados diretamente com o serviço Compute, como o Exadata Database Service on Dedicated Infrastructure ou o serviço Database. Use os recursos fornecidos com esses serviços para garantir que os hosts tenham as atualizações de segurança mais recentes.

O serviço Vulnerability Scanning suporta as seguintes opções de destino:

Instâncias de Computação Individuais
Todas as instâncias do serviço Compute dentro de um compartimento e seus subcompartimentos.
Se você configurar o serviço Vulnerability Scanning no compartimento raiz, todas as instâncias do serviço Compute em toda a tenancy serão verificadas.
Imagens em um repositório do Container Registry

Conceitos

Entenda os principais conceitos e componentes relacionados ao serviço Vulnerability Scanning.

O diagrama a seguir fornece uma visão geral de alto nível do serviço.

Uma receita de verificação é associada a um ou mais destinos como instâncias de Computação e repositórios do Container Registry. Um gateway de serviço é necessário para acessar instâncias em sub-redes privadas. O serviço Vulnerability Scanning verifica esses destinos e gera relatórios, eventos e logs. O Cloud Guard também pode ser usado para exibir problemas de varredura.

Receita de Verificação: Parâmetros de verificação para um tipo de recurso de nuvem, incluindo quais informações examinar e com que frequência.
Destino: Um ou mais recursos de nuvem que você deseja verificar usando uma receita específica. Os recursos de um destino são do mesmo tipo, como instâncias do serviço Compute.
Verificação de Host: Métricas sobre uma instância específica do serviço Compute que foi verificada, incluindo as vulnerabilidades encontradas, seus níveis de risco e a conformidade com o benchmark do CIS.
O serviço Vulnerability Scanning usa um agente de host para detectar essas vulnerabilidades.
Verificação de Porta: Portas abertas que foram detectadas em uma instância específica do serviço Compute que foi verificada.
O serviço Vulnerability Scanning pode detectar portas abertas usando um agente de host ou usando um mapeador de rede que pesquise seus endereços IP públicos .
Verificação de Imagem do Contêiner: Métricas sobre uma imagem específica do Container Registry que foi verificada, incluindo as vulnerabilidades encontradas e seus níveis de risco.
Relatório de Vulnerabilidades: Informações sobre um tipo específico de vulnerabilidade que foi detectada em um ou mais destinos, como uma atualização ausente de um pacote de SO.

Integração com o Cloud Guard

Você pode exibir vulnerabilidades de segurança identificadas pelo serviço Vulnerability Scanning no Oracle Cloud Guard.

O Cloud Guard é um serviço do Oracle Cloud Infrastructure que fornece um painel de controle central para monitorar todos os seus recursos de nuvem em busca de pontos fracos de segurança na configuração, métricas e logs. Quando detecta um problema, ele pode sugerir, ajudar ou executar ações corretivas, com base na sua configuração do Cloud Guard.

Como o serviço Vulnerability Scanning, o Cloud Guard usa receitas e destinos.

Uma receita define os tipos de problemas que você deseja que o Cloud Guard relate
Um destino define os compartimentos que você deseja que o Cloud Guard monitore e está associado a uma receita.

Uma receita do detector de configuração consiste em regras do detector. A receita padrão do detector de configuração do Cloud Guard inclui regras que verificam vulnerabilidades e portas abertas encontradas pelo serviço Vulnerability Scanning.

Para obter mais informações, consulte Verificando com o Cloud Guard.

Identificadores de Recursos

Os recursos de Verificação de Vulnerabilidade, como a maioria dos tipos de recursos do Oracle Cloud Infrastructure, têm um identificador exclusivo designado pela Oracle chamado OCID (Oracle Cloud ID).

Para obter informações sobre o formato do OCID e outras maneiras de identificar seus recursos, consulte Identificadores de Recursos.

Maneiras de Acessar o Vulnerability Scanning

Você pode acessar o Verificação de Vulnerabilidade usando a Console (uma interface baseada em browser), a interface de linha de comando (CLI) ou a API REST. Instruções para a Console, a CLI, e a API estão incluídas em tópicos ao longo deste guia.

Para acessar a Console, você deve usar um browser suportado. Para ir até a página de acesso do , abra o menu de navegação na parte superior desta página e selecione Infraestrutura . Você será solicitado a digitar seu tenant na nuvem, seu nome de usuário e sua senha.

Para obter uma lista dos SDKs disponíveis, consulte SDKs e a CLI. Para obter informações gerais sobre o uso das APIs, consulte a documentação da API REST.

Autenticação e Autorização

Cada serviço do Oracle Cloud Infrastructure integra-se ao serviço IAM para autenticação e autorização em relação a todas as interfaces (a Console, SDK ou CLI e API REST).

Um administrador da sua organização precisa configurar grupos, compartimentos e políticas que controlem quais usuários podem acessar quais serviços, quais recursos e o tipo de acesso. Por exemplo, as políticas controlam quem pode criar usuários, criar e gerenciar uma VCN (rede virtual na nuvem), iniciar instâncias e criar buckets.

Se você for um novo administrador, consulte Conceitos Básicos de Políticas.
Para obter detalhes específicos sobre a gravação de políticas para este serviço, consulte Verificando Políticas do Serviço IAM por Vulnerabilidade.
Para obter detalhes específicos sobre a gravação de políticas para outros serviços, consulte a Referência de Políticas.

Segurança

Além de criar políticas do serviço IAM, há outras tarefas relacionadas à segurança do Vulnerability Scanning.

Por exemplo:

Configurar um gateway de serviço para que você possa verificar hosts sem endereços IP públicos
Executar uma auditoria de segurança das operações de verificação

Consulte Protegendo o Vulnerability Scanning.

Monitoramento

Para monitorar a atividade de verificação, o Vulnerability Scanning se integra a esses outros serviços no Oracle Cloud Infrastructure.

O serviço Audit registra automaticamente chamadas para todos os pontos finais de API públicos do Vulnerability Scanning como entradas de log. Consulte Visão Geral do Serviço Audit.
O serviço Monitoring permite monitorar seus recursos do serviço Vulnerability Scanning usando métricas e alarmes. Consulte Verificando Métricas.
O serviço Events permite que suas equipes de desenvolvimento respondam automaticamente quando um recurso do Vulnerability Scanning alterar seu estado. Consulte Verificando Eventos.

Limites e Cotas

O Oracle Cloud Infrastructure limita o número máximo de recursos de Verificação de Vulnerabilidade em sua tenancy. Você também pode usar cotas para definir limites em compartimentos específicos.

Consulte Limites de Verificação de Vulnerabilidade e Cotas de Verificação de Vulnerabilidade.

Para solicitar um aumento do limite de serviço, consulte Limites do Serviço.

Conceitos Básicos

Use o serviço Vulnerability Scanning para verificar vulnerabilidades de segurança nas instâncias do serviço Compute de um único compartimento.

Crie Políticas do IAM no Vulnerability Scanning.

Se você não for um administrador, deverá ter acesso ao serviço Vulnerability Scanning em uma política (IAM) gravada por um administrador.
Crie a Política de IAM Obrigatória para Receitas de Verificação de Computação.

Um administrador deve conceder a permissão do serviço Vulnerability Scanning para ativar o agente de Verificação de Vulnerabilidade em suas instâncias de computação de destino.
Abra o menu de navegação e selecione Identidade e Segurança. Selecione Scanning.
Selecione Criar Receita de Verificação.

Consulte Criando uma Receita de Verificação de Computação.
Selecione Criar Destino.

Para Compartimento de destino, selecione o compartimento que contém as instâncias do serviço Compute que você deseja verificar.

Consulte Criando um Destino de Computação
Selecione Exibir Resultado da Verificação.

Os resultados normalmente ficam disponíveis 15 minutos após a criação de um destino, mas podem levar até 24 horas.

Consulte Listando Verificações de Host.
(Opcional) Verificando com o Cloud Guard

Se você encontrar problemas, consulte Diagnosticando e Solucionando Problemas do serviço Vulnerability Scanning.

Documentação do Oracle Cloud Infrastructure