Stellar Cyber: Execute uma Plataforma de Detecção e Resposta de Ameaças Abertas Baseada em IA no Oracle Cloud

Para ajudar as empresas a defender suas operações digitais de forma holística e para evitar violações de segurança de dados, a plataforma de detecção e resposta de ameaças abertas (Open XDR) baseada em IA da Stellar Cyber integra perfeitamente todas as suas ferramentas de segurança, fornecendo detecção imediata de ameaças, correlação de incidentes e recursos automatizados de caça e resposta a ameaças para analistas de segurança em todo o mundo.

A Stellar Cyber ajuda as equipes de operações de segurança a detectar, investigar e responder imediatamente a ataques cibernéticos, reduzindo o impacto e o risco para seus negócios usando o seguinte:

• Sensores para o tráfego da rede
• Telemetria do sistema operacional
• Coleta de logs
• Coleta de dados de API na borda
• Um canal seguro para orquestrar respostas para ferramentas de segurança locais, como firewalls, detecção e resposta de pontos finais (EDR) e plataformas de identidade

Fundada em 2015, a Stellar Cyber executa sua plataforma de segurança nativa da nuvem na OCI (Oracle Cloud Infrastructure). A Stellar Cyber automatiza o processamento e o encaminhamento de logs e fornece inspeção profunda de pacotes (DPI) e análise de tráfego de rede (NTA) para mais de 3500 aplicativos de rede. A implantação inclui um sandbox para detecção de malware de dia zero, buffer de dados e muito mais.

Inicialmente desenvolvida como um aplicativo local, a implantação da Stellar Cyber foi refatorada como uma plataforma de software como serviço (SaaS) e movida para a OCI.

Os destaques da implementação da Stellar Cyber incluem:

• O mecanismo ElasticSearch (OpenSearch) gerencia índices e shards em um data lake

• O Oracle Cloud Infrastructure Block Volumes fornece recuperação rápida de dados a serem analisados por 30 a 90 dias

• O Oracle Cloud Infrastructure Object Storage fornece um repositório de dados para armazenamento a frio e de longo prazo por um ou mais anos

• O Oracle Cloud Infrastructure DevOps fornece ferramentas para criar pipelines de integração/desenvolvimento contínuo (CI/CD)

• O Oracle Cloud Infrastructure Registry armazena, compartilha e gerencia imagens do Docker

• O Oracle Cloud Infrastructure Email Delivery envia alertas e notificações aos clientes da Stellar Cyber

Arquitetura

A Stellar Cyber usa uma combinação de seus próprios sensores de segurança, mecanismos de coleta de logs e conectores de API para coletar dados relacionados à segurança em toda a empresa do cliente.

Os dados e logs do sensor são enviados por meio do Oracle Cloud Infrastructure Web Application Firewall (WAF) que protege a tenancy da OCI (Stellar Cyber Oracle Cloud Infrastructure) contra tráfego de rede indesejado ou malicioso. A arquitetura da Stellar Cyber usa componentes de código-fonte aberto criados com contêineres executados em pools de quatro nós em um cluster do Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE). Um pool de nós que contém o Apache Kafka e o Apache Flink é implantado para serviços de fluxo, onde os dados ingeridos são processados pelo Kafka e passados para o Flink para normalização e enriquecimento. Os fluxos de dados são balanceados de carga usando o Oracle Cloud Infrastructure Load Balancing.

O diagrama a seguir ilustra o fluxo de dados simplificado pela topologia.

Descrição da ilustração stellar-cyber-oci-data-flow.png

stellar-cyber-oci-data-flow-oracle.zip

A Pilha Elástica é implantada em dois pools de nós separados do OKE: um para Elasticsearch (mestre) e outro para o data lake (dados) do Elasticsearch. Os dados normalizados e enriquecidos do Flink são passados ao Elasticsearch para recuperação e análise. Os dados brutos são armazenados no data lake do Elasticsearch.

Um pool de nós para microsserviços fornece contêineres para correlação, aprendizado de máquina e serviços (API e UI) para que os usuários examinem, analisem e visualizem seus dados.

O contêiner de aprendizado de máquina interage com o Elasticsearch e fornece dados ao contêiner de serviços a ser apresentado ao usuário. Os algoritmos de aprendizado de máquina classificam ameaças analisando séries temporais e grupos de pares com aprendizado e análise de comportamento não supervisionados e generalizando padrões de ataque conhecidos com aprendizado supervisionado. Um mecanismo de correlação baseado em ML de Gráfico é usado para identificar incidentes de alto nível de alertas. Para clientes que exigem alertas por e-mail, o Oracle Cloud Infrastructure Email Delivery gera notificações. O DNS (Domain Name Service) do Oracle Cloud Infrastructure gerencia zonas de DNS Cibernético Estelar.

O Oracle Cloud Infrastructure Block Volumes gerencia o armazenamento a quente no qual os dados são armazenados entre 30 e 90 dias, em média. Para armazenamento a mais longo prazo e frio, o Oracle Cloud Infrastructure Object Storage é usado para reter dados por um ou mais anos. O armazenamento a quente pode variar de 1 TB a 300 TB. Uma multitenancy hierárquica permite que a plataforma suporte vários clientes ao mesmo tempo e permite que um cliente seja um MSP (Managed Service Provider) com seus próprios locatários. É possível criar buckets de armazenamento adicionais para separar fluxos de dados coletados.

A Stellar Cyber aproveita as ferramentas de CI/CD da OCI (repositório de código e registro de contêiner) junto com o OCI DevOps para dimensionar e monitorar o cluster do OKE. Um bastion host é usado como um servidor jump para administrar o sistema.

A Stellar Cyber planeja aproveitar as ofertas adicionais de PaaS da OCI, como:

• Oracle Functions para fornecer uma arquitetura sem servidor
• Oracle Cloud Infrastructure Streaming e Oracle Stream Analytics para substituir o Kafka como o handler de streaming de dados
• O Oracle API Gateway para substituir seus próprios serviços de API para acesso do cliente
• Oracle Autonomous Data Warehouse para seu data lake
• Oracle Cloud Infrastructure Service Mesh para comunicação entre microsserviços criptografada e mutuamente autenticada

Ao usar ofertas PaaS, a Stellar Cyber reduzirá o esforço necessário para operar e manter esses serviços.

O diagrama a seguir ilustra essa arquitetura de referência.

Descrição da ilustração stellar-cyber-oci-architecture.png

arquitetura stellar-cyber-oci-oracle.zip

A arquitetura tem os seguintes componentes:

• Locação

  Uma tenancy é uma partição segura e isolada que a Oracle configura no Oracle Cloud quando você acessa o Oracle Cloud Infrastructure. Você pode criar, organizar e administrar seus recursos no Oracle Cloud em sua tenancy. Uma tenancy é sinônimo de empresa ou organização. Geralmente, uma empresa terá uma única tenancy e refletirá sua estrutura organizacional dentro dessa tenancy. Em geral, uma única tenancy é associada a uma única assinatura e, em geral, uma única assinatura só tem uma tenancy.

• Região

  Uma região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, denominada domínios de disponibilidade. As regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou até mesmo continentes).

• Compartimento

  Os compartimentos são partições lógicas entre regiões em uma tenancy do Oracle Cloud Infrastructure. Use compartimentos para organizar seus recursos no Oracle Cloud, controlar o acesso aos recursos e definir cotas de uso. Para controlar o acesso aos recursos em um determinado compartimento, você define políticas que especificam quem pode acessar os recursos e quais ações eles podem executar.

• Domínio de disponibilidade

  Os domínios de disponibilidade são data centers independentes e independentes dentro de uma região. Os recursos físicos em cada domínio de disponibilidade são isolados dos recursos dos outros domínios de disponibilidade, o que oferece tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura como energia ou resfriamento ou a rede interna do domínio de disponibilidade. Portanto, provavelmente uma falha em um domínio de disponibilidade não afetará os outros domínios de disponibilidade da região.

• Rede virtual na nuvem (VCN) e sub-redes

  Uma VCN é uma rede personalizável e definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes tradicionais de data center, as VCNs oferecem total controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar após criar a VCN. Você pode segmentar uma VCN em sub-redes, que podem ter escopo em uma região ou em um domínio de disponibilidade. Cada sub-rede consiste em um intervalo ininterrupto de endereços que não se sobrepõem às outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

• Lista de segurança

  Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego que deve ser permitido dentro e fora da sub-rede.

• Tabela de roteamento

  As tabelas de roteamento virtual contêm regras para rotear o tráfego de sub-redes para destinos fora de uma VCN, geralmente por meio de gateways.

• Gateway de Internet

  O gateway de internet permite tráfego entre as sub-redes públicas em uma VCN e a internet pública.

• Gateway NAT (Network Address Translation)

  Um gateway NAT permite que recursos privados em uma VCN acessem hosts na internet, sem expor esses recursos a conexões de internet de entrada.

• Gateway de serviço

  O gateway de serviço fornece acesso de uma VCN a outros serviços, como o Oracle Cloud Infrastructure Object Storage. O tráfego da VCN para o serviço Oracle passa pela malha da rede Oracle e nunca atravessa a internet.

• WAF (Web Application Firewall)

  O Oracle Cloud Infrastructure Web Application Firewall (WAF) é um serviço de aplicação de borda, baseado em região e em conformidade com o setor de cartões de pagamento (PCI) anexado a um ponto de imposição, como um balanceador de carga ou um nome de domínio de aplicativo Web. O WAF protege aplicativos contra tráfego malicioso e indesejado na internet. O WAF pode proteger qualquer ponto final voltado para a Internet, fornecendo aplicação de regras consistente entre os aplicativos de um cliente.

• DNS

  O serviço DNS (Domain Name System) do Oracle Cloud Infrastructure é uma rede DNS (Domain Name System) anycast global altamente escalável que oferece desempenho, resiliência e escalabilidade aprimorados do DNS, para que os usuários finais se conectem ao aplicativo dos clientes o mais rápido possível, de onde quer que estejam.

• Balanceador de carga

  O serviço Oracle Cloud Infrastructure Load Balancing fornece distribuição automatizada de tráfego de um único ponto de entrada para vários servidores no back-end.

• Serviço Compute

  O serviço Oracle Cloud Infrastructure Compute permite provisionar e gerenciar hosts de computação na nuvem. Você pode iniciar instâncias de computação com formas que atendam aos seus requisitos de recursos para CPU, memória, largura de banda da rede e armazenamento. Após criar uma instância de computação, você pode acessá-la com segurança, reiniciá-la, anexar e desanexar volumes e encerrá-la quando não precisar mais dela.

• Container Engine for Kubernetes

  O Oracle Cloud Infrastructure Container Engine for Kubernetes é um serviço totalmente gerenciado, escalável e altamente disponível que você pode usar para implantar seus aplicativos de contêineres para a nuvem. Você especifica os recursos de computação necessários para os seus aplicativos, e o Container Engine for Kubernetes os provisiona no Oracle Cloud Infrastructure em uma tenancy existente. O Container Engine for Kubernetes usa o Kubernetes para automatizar a implantação, o dimensionamento e o gerenciamento de aplicativos de contêineres em clusters de hosts.

• Volume em blocos

  Com volumes de armazenamento em blocos, você pode criar, anexar, conectar e mover volumes de armazenamento e alterar o desempenho do volume para atender aos requisitos de armazenamento, desempenho e aplicativo. Depois de anexar e conectar um volume a uma instância, você pode usar o volume como disco rígido comum. Também é possível desconectar um volume e anexá-lo a outra instância sem perder dados.

• Armazenamento de arquivos

  O serviço Oracle Cloud Infrastructure File Storage fornece um sistema de arquivos de rede durável, escalável e seguro e de nível empresarial. Você pode se conectar a um sistema de arquivos do serviço File Storage de qualquer instância bare metal, de máquina virtual ou de contêiner em uma VCN. Você também pode acessar um sistema de arquivos de fora da VCN usando o Oracle Cloud Infrastructure FastConnect e a IPSec VPN.

• Vault

  O Oracle Cloud Infrastructure Vault permite gerenciar centralmente as chaves de criptografia que protegem seus dados e as credenciais secretas usadas para proteger o acesso aos seus recursos na nuvem. Você pode usar o serviço Vault para criar e gerenciar vaults, chaves e segredos.

• Notificações

  O serviço Oracle Cloud Infrastructure Notifications transmite mensagens a componentes distribuídos por meio de um padrão publicar-assinar, entregando mensagens seguras, altamente confiáveis, de baixa latência e duráveis para aplicativos hospedados no Oracle Cloud Infrastructure.

• Auditoria

  O serviço Oracle Cloud Infrastructure Audit registra automaticamente as chamadas para todos os pontos finais suportados da API (application programming interface) pública do Oracle Cloud Infrastructure como eventos de log. Atualmente, todos os serviços suportam os logs do Oracle Cloud Infrastructure Audit.

• Política

  Uma política do Oracle Cloud Infrastructure Identity and Access Management especifica quem pode acessar quais recursos e como. O acesso é concedido no nível de grupo e compartimento. Isso significa que você pode gravar uma política que dá a um grupo um tipo específico de acesso em um compartimento específico ou à tenancy.

Seja Destaque na Criação e Implantação

Deseja mostrar o que você criou no Oracle Cloud Infrastructure? É importante compartilhar suas lições aprendidas, melhores práticas e arquiteturas de referência com nossa comunidade global de arquitetos de nuvem? Vamos ajudá-lo a começar.

1. Faça download do modelo (PPTX)

   Ilustre sua própria arquitetura de referência arrastando e soltando os ícones no quadro de fios de amostra.

2. Assistir ao tutorial de arquitetura

   Obtenha instruções passo a passo sobre como criar uma arquitetura de referência.

3. Enviar seu diagrama

   Envie um e-mail com seu diagrama. Nossos arquitetos de nuvem verificarão seu diagrama e entrarão em contato com você para discutir sua arquitetura.

Explorar Mais

Saiba mais sobre os recursos desta arquitetura.

• Estrutura de melhores práticas do Oracle Cloud Infrastructure

• Documentação do Oracle Cloud Infrastructure

• Usando o Serviço Streaming com o Apache Kafka

• Implantando o Elasticsearch no Oracle Cloud Infrastructure Usando um Modelo do Terraform (Blog)

• Implante o Oracle Container Engine for Kubernetes (Tutorial)

• Estimador de Custos do Oracle Cloud

Agradecimentos

• Autores: Robert Huie, Sasha Banks-Louie
• Contribuidores: Ganesh Pitchaiah, Robert Lies