Monitorar e Auditar Seu Ambiente
Certifique-se de usar os controles corretos para monitorar e auditar seu ambiente
Ativar Cloud Guard para Monitoramento
Arquiteto Empresarial, Arquiteto de Segurança
Certifique-se de que o Cloud Guard esteja ativado no nível raiz da sua tenancy para monitorar todos os seus compartimentos. O Oracle Cloud Guard detecta recursos mal configurados e atividades inseguras entre tenants e fornece aos administradores de segurança visibilidade para fazer a triagem e resolver problemas de segurança na nuvem. As inconsistências de segurança podem ser corrigidas automaticamente com receitas de segurança predefinidas para dimensionar efetivamente o centro de operações de segurança. A Oracle fornece receitas do detector (um componente do Cloud Guard que identifica possíveis problemas de segurança, com base na configuração ou atividade do recurso) para ativar a Segurança da Instância no Cloud Guard.
A Segurança da Instância é uma receita do Oracle Cloud Guard que monitora hosts de computação em busca de atividade suspeita. A Segurança da Instância fornece segurança de runtime para cargas de trabalho em hosts virtuais e bare metal do serviço Compute. A Segurança da Instância expande o Cloud Guard do gerenciamento da postura de segurança na nuvem para a proteção da carga de trabalho na nuvem. A Segurança da Instância garante que as necessidades de segurança sejam atendidas em um só lugar com visibilidade consistente e compreensão holística do estado de segurança da infraestrutura.
Configurar Auditoria
Arquiteto Empresarial, Arquiteto de Segurança
O serviço Oracle Cloud Infrastructure Audit registra automaticamente as chamadas para todos os pontos finais suportados da API pública (API) do Oracle Cloud Infrastructure como eventos de log.O Oracle Cloud Infrastructure Object Storage suporta o registro de eventos relacionados a buckets, mas não o registro de eventos relacionados a objetos. Os eventos de log registrados pelo Oracle Cloud Infrastructure Audit incluem chamadas de API feitas pela console do Oracle Cloud Infrastructure, pela Interface de Linha de Comando (CLI), por SDKs (Software Development Kits), pelos seus próprios clientes personalizados ou por outros serviços do Oracle Cloud Infrastructure. As informações nos logs incluem o seguinte:
- Horário em que a atividade da API ocorreu.
- Origem da atividade.
- Destino da atividade.
- Tipo de ação.
- Tipo de resposta.
Cada evento de log inclui um ID de cabeçalho, recursos de destino, timestamp do evento registrado, parâmetros de solicitação e parâmetros de resposta. Você pode exibir eventos registrados pelo Oracle Cloud Infrastructure Audit usando a console, a API ou o SDK para Java. Os dados de eventos podem ser usados para executar diagnósticos, rastrear o uso de recursos, monitorar a conformidade e coletar eventos relacionados a segurança.
Se você tiver ferramentas de terceiros que precisam acessar dados do Oracle Cloud Infrastructure Audit, configure um Service Connector Hub para copiar dados do Oracle Cloud Infrastructure Audit para um Armazenamento de Objetos, com um período de retenção apropriado definido.
Auditar Suas Políticas
Arquiteto Empresarial, Arquiteto de Segurança
Um auditor de políticas pode revisar políticas do IAM de maneira ad hoc usando a console do Oracle Cloud Infrastructure. Há também várias opções que podem ser aproveitadas para gerar relatórios de política para análise off-line.
O Cloud Guard tem duas receitas do detector de configuração e uma receita do detector de atividade especificamente para políticas do serviço IAM:
- A política concede muitos privilégios.
- Privilégio de administrador da tenancy concedido ao grupo.
- Política de segurança modificada.
Embora as receitas gerenciadas pela Oracle possam ser modificadas, a Oracle recomenda clonar as receitas para permitir que você altere os objetos que são direcionados por essas regras (por meio do uso de tags ou compartimentos). Isso permite que os ambientes de produção em uma tenancy tenham controles mais rígidos, enquanto relaxam as restrições em ambientes de não produção que residem em outro compartimento na tenancy. Se você precisar revisar políticas do serviço IAM em um nível mais granular, a Oracle recomenda usar o detector Política de Segurança Modificada para acionar um evento que:
- Aciona uma revisão manual por meio da política.
- Chama uma função para executar investigação ou correção.
Ao auditar suas políticas, considere os seguintes possíveis problemas:
- Onde suas políticas são definidas e estão em conformidade com os padrões da sua organização para uso de compartimentos?
- Audite o uso de grupos dinâmicos. Esses grupos concedem privilégios em excesso?
- Quais serviços são configurados e onde estão localizados? Pode ser que alguns serviços devam ser limitados a determinados compartimentos ou grupos.
- Localize qualquer instrução de remoção duplicada.
- Identificar políticas que concedam privilégios a toda a tenancy.
- Identificar grupos que têm mais privilégios do que precisam.
O Oracle Access Governance Cloud Service é uma solução de identidade, governança e administração (IGA) nativa da nuvem que fornece provisionamento de usuários, revisões de acesso e análise de identidade para ajudar você a definir e controlar privilégios de acesso. Aproveite insights de políticas acionáveis de inteligência artificial/inteligência orientada por machine learning para ajudar a auditar suas políticas.
Monitorar Logs de Fluxo da VCN
Arquiteto Empresarial, Arquiteto de Segurança
- Monitore detalhes sobre o tráfego que passa por uma VCN.
- Audite o tráfego e solucione problemas de listas de segurança.
- Ative e gerencie logs de fluxo do centro de comandos de rede.
- Use filtros de captura para avaliar e selecionar o tráfego a ser incluído no log de fluxo.
- Aproveite o Oracle Cloud Infrastructure Logging para enviar informações de log para um grupo de logs especificado.
- Ative logs de fluxo para todas as VNICs em uma VCN, sub-rede, instâncias específicas de destino, balanceadores de carga de rede ou VNICs de recurso como pontos de ativação.
Verificar Continuamente se Há Vulnerabilidades
Arquiteto Empresarial, Arquiteto de Segurança
- Software ou firmware desatualizado.
- Falhas não corrigidas (por exemplo: sistemas operacionais, software ou plug-ins não corrigidos).
- Configurações incorretas.
- Código inseguro ou erros de programação.
- Senhas fracas ou mecanismos de autenticação.
O Oracle Vulnerability Scanning Service ajuda a melhorar a sua postura de segurança no Oracle Cloud Infrastructure verificando regularmente se há vulnerabilidades potenciais nos hosts. O serviço gera relatórios com métricas e detalhes sobre essas vulnerabilidades.
Os principais recursos do Oracle Vulnerability Scanning Service são:
- Um pacote de varredura simples, prescritivo e gratuito, ativado por padrão e totalmente integrado à plataforma Oracle Cloud Infrastructure.
- Plug-ins e mecanismos padrão com base nos mecanismos de verificação criados e de código aberto do Oracle Cloud Infrastructure para verificação de host e contêiner.
- O Oracle Cloud Infrastructure gerencia a implantação, a configuração e o upgrade desses mecanismos e agentes em toda a frota de clientes.
- Os problemas detectados pelo pacote de verificação serão exibidos por meio do Oracle Cloud Guard, com regras e ML para priorizar vulnerabilidades críticas.
- O Oracle Cloud Infrastructure tomará medidas (alerta, correção automática ou quarentena) por meio de respondentes para reduzir o tempo da detecção até a correção, inclusive por meio de zonas de segurança máxima.
- Integração com scanners de vulnerabilidade de terceiros, como Qualys Vulnerability Management, Detection and Response.
Agregar Logs de Serviço às Plataformas SIEM
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Rede
As plataformas SIEM permitem monitorar eventos de segurança de diferentes fontes, como redes, dispositivos e identidades. Você também pode analisar esses sinais em tempo real usando aprendizado de máquina para correlacionar vários sinais e identificar atividades de hackers ameaçadoras e eventos de segurança irregulares que trafegam pela rede.
A OCI pode enviar logs e eventos para várias plataformas SIEM de terceiros.