使用第三方 SIEM 汇总 Oracle Cloud Infrastructure 服务日志
在 Oracle Cloud Infrastructure (OCI) 上部署工作负载时,聚合 Oracle Cloud Infrastructure Audit 日志、服务日志和安全事件是基本要求。
通过集中管理此数据,组织可以分析、监视和保护租户。对于安全用例,客户可以将这些日志发送到安全信息和事件管理 (SIEM) 平台。SIEM 系统是管理云资源安全性的关键操作工具。OCI 包括本机威胁检测、预防和响应功能,可用于实施高效的 SIEM。
为了简化租户区域中聚合日志信息的部署,公司可以使用基础设施即代码 (IaC) 工具,包括 Terraform 和 Ansible。这些 IaC 工具不仅可以实现敏捷开发、DevOps 优秀实践以及持续集成和持续交付 (Continuous Integration and Continuous Delivery,CI/CD),还可消除障碍,例如手动预配云基础设施组件。由于 IaC 是模块化代码,因此可以拆分或组合每个代码以满足多个部署用例,同时还可提高软件开发周期的效率。
体系结构
此体系结构在不同区域中部署类似的拓扑,以捕获特定于区域的日志结果、汇总结果并将其流式传输到安全信息和事件管理 (SIEM) 平台。
下图说明了整体体系结构。“计划部署”部分中提供了报告和订阅用户区域的单个视图。
oci-log-multistream-oracle.zip
该体系结构包含以下组件:
- 租户
租户是 Oracle 在您注册 Oracle Cloud Infrastructure 时在 Oracle Cloud 中设置的安全隔离分区。您可以在租户中的 Oracle Cloud 中创建、组织和管理资源。租户与公司或组织同义。通常,公司只有一个租户并反映在该租户中的组织结构。单个租户通常与单个订阅关联,单个订阅通常只有一个租户。
- 区域
Oracle Cloud Infrastructure 区域是一个局部地理区域,包含一个或多个称为可用性域的数据中心。区域独立于其他区域,广阔的距离可以将其分开(跨国家甚至大陆)。
- 身份和访问管理 (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) 是 Oracle Cloud Infrastructure (OCI) 和 Oracle Cloud Applications 的访问控制层。通过 IAM API 和用户界面,您可以管理身份域和身份域中的资源。每个 OCI IAM 身份域代表一个独立的身份和访问管理解决方案或不同的用户群体。
- 策略
Oracle Cloud Infrastructure Identity and Access Management 策略指定谁可以访问哪些资源以及如何访问。在组和区间级别授予访问权限,这意味着您可以编写策略来向组授予特定区间或租户中特定类型的访问权限。
- 记录日志记录是一项高度可扩展且完全托管的服务,通过它可以从云中的资源访问以下类型的日志:
- 审计日志:与审计服务发出的事件相关的日志。
- 服务日志:单个服务(如 API 网关、事件、函数、负载平衡、对象存储和 VCN 流日志)发出的日志。
- 定制日志:包含来自定制应用、其他云提供商或内部部署环境的诊断信息的日志。
- 虚拟云网络 (VCN) 和子网
VCN 是您在 Oracle Cloud Infrastructure 区域中设置的可定制软件定义网络。与传统数据中心网络一样,VCN 允许您完全控制您的网络环境。一个 VCN 可以具有多个不重叠的 CIDR 块,您可以在创建 VCN 后对其进行更改。您可以将 VCN 细分为多个子网,这些子网可以限定到区域或可用性域。每个子网包含一系列不与 VCN 中的其他子网重叠的连续地址。创建后可以更改子网的大小。子网可以是公共子网,也可以是专用子网。
- 安全列表
对于每个子网,您可以创建安全规则来指定必须允许进出子网的流量源、目标和类型。
- 路由表
虚拟路由表包含将流量从子网路由到 VCN 外部的目标(通常通过网关)的规则。
- 计算
Oracle Cloud Infrastructure Compute 服务允许您在云中预配和管理计算主机。您可以使用配置启动计算实例,以满足您对 CPU、内存、网络带宽和存储的资源需求。创建计算实例后,您可以安全地访问它、重新启动它、连接和分离卷,并在不再需要时终止它。
- 对象存储
通过对象存储,可以快速访问任意内容类型的大量结构化和非结构化数据,包括数据库备份、分析数据以及丰富的内容(例如图像和视频)。您可以安全可靠地存储数据,然后直接从互联网或云平台检索数据。您可以无缝扩展存储,而不会降低性能或服务可靠性。将标准存储用于“热”存储,您需要快速、立即和频繁地访问这些存储。将归档存储用于保留很长时间、很少或很少访问的“冷”存储。
- 服务连接器
Oracle Cloud Infrastructure 服务连接器中心是一个云消息总线平台,用于编排 OCI 中服务之间的数据移动。您可以使用它在 Oracle Cloud Infrastructure 中的服务之间移动数据。使用服务连接器移动数据。服务连接器指定包含要移动的数据的源服务、要对数据执行的任务以及在完成指定任务时必须将数据传送到的目标服务。
您可以使用 Oracle Cloud Infrastructure 服务连接器中心为 SIEM 系统快速构建日志记录聚合框架。可选任务可以是处理源数据的一个函数任务,也可以是用于过滤源日志数据的日志过滤器任务。
- 云卫士
您可以使用 Oracle Cloud Guard 监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用您可以定义的部门配方来检查资源是否存在安全漏洞,以及监视操作员和用户是否有风险的活动。检测到任何配置错误或不安全活动时,Cloud Guard 会根据您可以定义的对应方配方建议更正操作并帮助执行这些操作。
- 事件
Oracle Cloud Infrastructure 服务发出事件,这些事件是描述资源更改的结构化消息。发出事件以执行创建、读取、更新或删除 (CRUD) 操作、资源生命周期状态更改以及影响云资源的系统事件。
- 审计
Oracle Cloud Infrastructure Audit 服务自动将所有受支持的 Oracle Cloud Infrastructure 公共应用程序编程接口 (API) 端点的调用记录为日志事件。目前,所有服务都支持 Oracle Cloud Infrastructure Audit 日志记录。
- 流
Oracle Cloud Infrastructure 流处理提供了一个完全托管、可扩展和持久的存储解决方案,用于摄取可以实时使用和处理的大量数据流。您可以使用流处理来摄取大量数据,例如应用日志、运行状况遥测、Web 点击流数据;或在发布 - 订阅消息传递模型中连续生成和处理数据的其他用例。
- 数据安全
Oracle Data Safe 是一个完全集成的区域云服务,它提供了一整套功能来保护 Oracle 数据库中的敏感数据和受监管数据。数据安全还支持内部部署数据库、Oracle Exadata Database Service on Cloud@Customer 和多云部署。所有 Oracle Database 客户都可以使用 Oracle Data Safe 评估配置和用户风险、监视和审计用户活动以及发现、分类和屏蔽敏感数据,从而降低数据泄露风险并简化合规性。