优化环境的安全态势

设计安全控制是一个迭代过程，成功实施安全取决于持续的监测和优化。在 Oracle Cloud Infrastructure 中，使用 Oracle Cloud Guard 优化安全状况。

企业架构师、安全架构师、网络架构师

Oracle Cloud Guard 最有趣的设计原则之一是 Oracle 使用嵌入式专长。Oracle 最了解 Oracle Cloud Infrastructure：哪些安全控制可用，以及如何以最佳方式大规模应用这些控制。Oracle 还了解要查找哪些问题以及如何应用安全功能来缓解这些问题。

Oracle 将其专长嵌入 Oracle Cloud Guard 中，并使用现成的规则来标识常见问题以及与设计阶段修复的基线的任何偏差，然后相应地进行优化。通过嵌入其专业知识，Oracle 可以减轻您的负担，从而无需自己构建这些策略。

Oracle Cloud Guard 有两个主要配置选项：检测器配方和响应器配方。检测器配方处理如何检测某些违规，响应器配方处理如何应对违规。

检测器配方是预定义和预配置的规则集。这些配方根据 Oracle Cloud Infrastructure 的安全最佳实践检测云账户中存在的安全违规和风险（如果有）。

检测器配方可以是对基础结构进行优化的一种方法。它们有以下差异：

配置检测器配方：此配方检查并检测违反租户内安全规则的任何配置，如 Oracle Cloud Guard 的预配规则所确定。示例包括具有公共 IP 的计算实例或未应用补丁程序的数据库实例。
活动检测器配方：此配方检查并检测违反租户内安全规则的任何单个用户操作或活动，具体取决于 Oracle Cloud Guard 的预配规则。示例包括用户终止数据库系统或删除子网。

通过检测器配方检测到规则违规时，Oracle Cloud Guard 可以从响应器配方执行预配置的操作之一。这些操作依赖于资源。例如，如果计算实例具有公共 IP，则会停止或删除该实例，或者将公共可见的对象存储桶设为专用。这些回应者配方可以使用更多规则来推荐操作，而规则的选择取决于资源类型。