Monitorar e Auditar Seu Ambiente

Certifique-se de usar os controles corretos para monitorar e auditar seu ambiente

Ativar Cloud Guard para Monitoramento

Arquiteto Empresarial, Arquiteto de Segurança

O Oracle Cloud Guard permite que você obtenha uma visão unificada da postura de segurança na nuvem entre os tenants dos clientes da Oracle Cloud Infrastructure.
Os eventos do Cloud Guard devem ser monitorados por sua equipe de segurança.

Certifique-se de que o Cloud Guard esteja ativado no nível raiz da sua tenancy para monitorar todos os seus compartimentos. O Oracle Cloud Guard detecta recursos mal configurados e atividades inseguras entre tenants e fornece aos administradores de segurança visibilidade para fazer a triagem e resolver problemas de segurança na nuvem. As inconsistências de segurança podem ser corrigidas automaticamente com receitas de segurança predefinidas para dimensionar efetivamente o centro de operações de segurança. A Oracle fornece receitas do detector (um componente do Cloud Guard que identifica possíveis problemas de segurança, com base na configuração ou atividade do recurso) para ativar a Segurança da Instância no Cloud Guard.

A Segurança da Instância é uma receita do Oracle Cloud Guard que monitora hosts de computação em busca de atividade suspeita. A Segurança da Instância fornece segurança de runtime para cargas de trabalho em hosts virtuais e bare metal do serviço Compute. A Segurança da Instância expande o Cloud Guard do gerenciamento da postura de segurança na nuvem para a proteção da carga de trabalho na nuvem. A Segurança da Instância garante que as necessidades de segurança sejam atendidas em um só lugar com visibilidade consistente e compreensão holística do estado de segurança da infraestrutura.

Configurar Auditoria

Arquiteto Empresarial, Arquiteto de Segurança

O serviço Oracle Cloud Infrastructure Audit registra automaticamente as chamadas para todos os pontos finais suportados da API pública (API) do Oracle Cloud Infrastructure como eventos de log.
Atualmente, todos os serviços suportam logs do Oracle Cloud Infrastructure Audit.

O Oracle Cloud Infrastructure Object Storage suporta o registro de eventos relacionados a buckets, mas não o registro de eventos relacionados a objetos. Os eventos de log registrados pelo Oracle Cloud Infrastructure Audit incluem chamadas de API feitas pela console do Oracle Cloud Infrastructure, pela Interface de Linha de Comando (CLI), por SDKs (Software Development Kits), pelos seus próprios clientes personalizados ou por outros serviços do Oracle Cloud Infrastructure. As informações nos logs incluem o seguinte:

  • Horário em que a atividade da API ocorreu.
  • Origem da atividade.
  • Destino da atividade.
  • Tipo de ação.
  • Tipo de resposta.

Cada evento de log inclui um ID de cabeçalho, recursos de destino, timestamp do evento registrado, parâmetros de solicitação e parâmetros de resposta. Você pode exibir eventos registrados pelo Oracle Cloud Infrastructure Audit usando a console, a API ou o SDK para Java. Os dados de eventos podem ser usados para executar diagnósticos, rastrear o uso de recursos, monitorar a conformidade e coletar eventos relacionados a segurança.

Se você tiver ferramentas de terceiros que precisam acessar dados do Oracle Cloud Infrastructure Audit, configure um Service Connector Hub para copiar dados do Oracle Cloud Infrastructure Audit para um Armazenamento de Objetos, com um período de retenção apropriado definido.

Auditar Suas Políticas

Arquiteto Empresarial, Arquiteto de Segurança

Revise periodicamente suas políticas para garantir que elas atendam às boas práticas de segurança.

Um auditor de políticas pode revisar políticas do IAM de maneira ad hoc usando a console do Oracle Cloud Infrastructure. Há também várias opções que podem ser aproveitadas para gerar relatórios de política para análise off-line.

O Cloud Guard tem duas receitas do detector de configuração e uma receita do detector de atividade especificamente para políticas do serviço IAM:

  • A política concede muitos privilégios.
  • Privilégio de administrador da tenancy concedido ao grupo.
  • Política de segurança modificada.

Embora as receitas gerenciadas pela Oracle possam ser modificadas, a Oracle recomenda clonar as receitas para permitir que você altere os objetos que são direcionados por essas regras (por meio do uso de tags ou compartimentos). Isso permite que os ambientes de produção em uma tenancy tenham controles mais rígidos, enquanto relaxam as restrições em ambientes de não produção que residem em outro compartimento na tenancy. Se você precisar revisar políticas do serviço IAM em um nível mais granular, a Oracle recomenda usar o detector Política de Segurança Modificada para acionar um evento que:

  • Aciona uma revisão manual por meio da política.
  • Chama uma função para executar investigação ou correção.

Ao auditar suas políticas, considere os seguintes possíveis problemas:

  • Onde suas políticas são definidas e estão em conformidade com os padrões da sua organização para uso de compartimentos?
  • Audite o uso de grupos dinâmicos. Esses grupos concedem privilégios em excesso?
  • Quais serviços são configurados e onde estão localizados? Pode ser que alguns serviços devam ser limitados a determinados compartimentos ou grupos.
  • Localize qualquer instrução de remoção duplicada.
  • Identificar políticas que concedam privilégios a toda a tenancy.
  • Identificar grupos que têm mais privilégios do que precisam.

O Oracle Access Governance Cloud Service é uma solução de identidade, governança e administração (IGA) nativa da nuvem que fornece provisionamento de usuários, revisões de acesso e análise de identidade para ajudar você a definir e controlar privilégios de acesso. Aproveite insights de políticas acionáveis de inteligência artificial/inteligência orientada por machine learning para ajudar a auditar suas políticas.

Monitorar Logs de Fluxo da VCN

Arquiteto Empresarial, Arquiteto de Segurança

Os logs de fluxo da VCN capturam informações de tráfego de rede para dar suporte às suas necessidades de monitoramento e segurança.
Cada recurso em uma VCN tem uma ou mais placas de interface de rede virtual (VNICs). As listas de segurança são usadas para decidir qual tráfego é permitido por meio de uma VNIC específica. A VNIC está sujeita a todas as regras em todas as listas de segurança associadas à sub-rede da VNIC. Para ajudar você a solucionar problemas de listas de segurança ou auditar a entrada e saída de tráfego de VNICs, você pode configurar logs de fluxo da VCN.
  • Monitore detalhes sobre o tráfego que passa por uma VCN.
  • Audite o tráfego e solucione problemas de listas de segurança.
  • Ative e gerencie logs de fluxo do centro de comandos de rede.
  • Use filtros de captura para avaliar e selecionar o tráfego a ser incluído no log de fluxo.
  • Aproveite o Oracle Cloud Infrastructure Logging para enviar informações de log para um grupo de logs especificado.
  • Ative logs de fluxo para todas as VNICs em uma VCN, sub-rede, instâncias específicas de destino, balanceadores de carga de rede ou VNICs de recurso como pontos de ativação.

Verificar Continuamente se Há Vulnerabilidades

Arquiteto Empresarial, Arquiteto de Segurança

Os scanners de vulnerabilidade são ferramentas de software que ajudam as organizações a identificar e priorizar vulnerabilidades em seus sistemas de computador, redes, aplicativos e armazenamentos de dados. Esses scanners analisam o sistema ou aplicativo de destino para possíveis fraquezas, como:
  1. Software ou firmware desatualizado.
  2. Falhas não corrigidas (por exemplo: sistemas operacionais, software ou plug-ins não corrigidos).
  3. Configurações incorretas.
  4. Código inseguro ou erros de programação.
  5. Senhas fracas ou mecanismos de autenticação.

O Oracle Vulnerability Scanning Service ajuda a melhorar a sua postura de segurança no Oracle Cloud Infrastructure verificando regularmente se há vulnerabilidades potenciais nos hosts. O serviço gera relatórios com métricas e detalhes sobre essas vulnerabilidades.

Os principais recursos do Oracle Vulnerability Scanning Service são:

  • Um pacote de varredura simples, prescritivo e gratuito, ativado por padrão e totalmente integrado à plataforma Oracle Cloud Infrastructure.
  • Plug-ins e mecanismos padrão com base nos mecanismos de verificação criados e de código aberto do Oracle Cloud Infrastructure para verificação de host e contêiner.
  • O Oracle Cloud Infrastructure gerencia a implantação, a configuração e o upgrade desses mecanismos e agentes em toda a frota de clientes.
  • Os problemas detectados pelo pacote de verificação serão exibidos por meio do Oracle Cloud Guard, com regras e ML para priorizar vulnerabilidades críticas.
  • O Oracle Cloud Infrastructure tomará medidas (alerta, correção automática ou quarentena) por meio de respondentes para reduzir o tempo da detecção até a correção, inclusive por meio de zonas de segurança máxima.
  • Integração com scanners de vulnerabilidade de terceiros, como Qualys Vulnerability Management, Detection and Response.

Agregar Logs de Serviço às Plataformas SIEM

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Rede

Você pode enviar seus logs de serviço do OCI para plataformas de gerenciamento de eventos e informações de segurança (SIEM) para aumentar sua capacidade de resposta a ataques de segurança.

As plataformas SIEM permitem monitorar eventos de segurança de diferentes fontes, como redes, dispositivos e identidades. Você também pode analisar esses sinais em tempo real usando aprendizado de máquina para correlacionar vários sinais e identificar atividades de hackers ameaçadoras e eventos de segurança irregulares que trafegam pela rede.

A OCI pode enviar logs e eventos para várias plataformas SIEM de terceiros.