监控环境并对环境进行审计
确保您使用正确的控件监视和审核环境
启用 Cloud Guard 进行监视
企业架构师、安全架构师
Oracle Cloud Guard 在租户中检测到配置错误的资源和不安全的活动,并使安全管理员能够看到三角形和解决云安全问题。可以使用现成的安全配方自动纠正安全不一致情况,以有效地扩展安全操作中心。
确保在租户的根级别启用 Cloud Guard 以监视所有区间。
配置审核
企业架构师、安全架构师
Oracle Cloud Infrastructure Audit 服务自动记录对所有支持的 Oracle Cloud Infrastructure 公共应用编程接口 (API) 端点的调用作为日志事件。Oracle Cloud Infrastructure Object Storage 支持记录与存储桶相关的事件,但不支持记录与对象相关的事件。Oracle Cloud Infrastructure Audit 记录的日志事件包括 Oracle Cloud Infrastructure 控制台、命令行界面 (Command Line Interface, CLI)、软件开发工具包 (Software Development Kits, SDK)、您自己的定制客户机或其他 Oracle Cloud Infrastructure 服务发出的 API 调用。日志中的信息包括:
- API 活动发生的时间。
- 活动的来源。
- 活动的目标。
- 操作类型。
- 回应类型。
每个日志事件包括一个标头 ID、目标资源、记录事件的时间戳、请求参数和响应参数。可以使用控制台、API 或 SDK for Java 查看 Oracle Cloud Infrastructure Audit 记录的事件。事件中的数据可用于执行诊断、跟踪资源使用情况、监视合规性以及收集与安全相关的事件。
- 确保审计保留期设置为 365 天。
- 如果您具有需要访问 Oracle Cloud Infrastructure Audit 数据的第三方工具,请配置服务连接器 Hub 以将 Oracle Cloud Infrastructure Audit 数据复制到对象存储,并设置适当的保留期。
审计策略
企业架构师、安全架构师
策略审计者可以使用 Oracle Cloud Infrastructure 控制台以即席方式复查 IAM 策略。还有几个选项可用于生成用于脱机分析的策略报告。
Cloud Guard 有两个配置检测器配方和一个专门针对 IAM 策略的活动检测器配方:
- 策略授予的权限太多。
- 授予组的租户管理员权限。
- 安全策略已修改。
虽然可以修改 Oracle 管理的配方,但 Oracle 建议克隆配方以允许您更改这些规则定位的对象(通过使用标记或区间)。这允许租户内的生产环境具有更严格的控制,同时放宽租户中不同区间内的非生产环境中的限制。如果需要在更细粒度的级别查看 IAM 策略,Oracle 建议使用安全策略修改检测器触发以下事件:
- 通过策略触发手动复查。
- 调用函数以执行调查或补救。
审计策略时,请考虑以下潜在问题:
- 您的策略在何处定义,这些策略是否符合组织的区间使用标准?
- 审计动态组的使用情况。这些组是否授予超额权限?
- 配置了哪些服务,这些服务位于何处?有些服务可能只限于某些区间或组。
- 找到任何删除重复的语句。
- 标识授予整个租户的权限的策略。
- 标识权限超过所需权限的组。
连续扫描漏洞
企业架构师、安全架构师
Oracle 漏洞扫描服务的核心功能包括:
- 默认情况下,简单、规范性和免费的扫描套件,与 Oracle Cloud Infrastructure 平台紧密集成。
- 基于 Oracle Cloud Infrastructure 创建的开源扫描引擎的默认插件和引擎,用于主机和容器扫描。
- Oracle Cloud Infrastructure 管理这些引擎和代理在整个客户组中的部署、配置和升级。
- 扫描套件检测到的问题将通过 Oracle Cloud Guard 解决,并提供规则和机器学习来确定严重漏洞的优先级。
- Oracle Cloud Infrastructure 将通过响应者执行操作(预警、自动中介或隔离),以缩短从检测到补救(包括通过最大安全区)的时间。