Stellar Cyber:在 Oracle Cloud 上运行基于 AI 的开放威胁检测和响应平台
为了帮助公司全面保护其数字运营并防止数据安全违规,Stellar Cyber 基于 AI 的开放式威胁检测和响应平台 (Open XDR) 无缝集成了其所有安全工具,为全球安全分析师提供即时威胁检测、事件关联以及自动威胁狩猎和响应功能。
- 用于网络流量的传感器
- 操作系统遥测
- 日志收集
- 边缘的 API 数据收集
- 用于编排对本地安全工具(例如防火墙、端点检测和响应 (EDR) 和身份平台)的响应的安全通道
Stellar Cyber 成立于 2015 年,在 Oracle Cloud Infrastructure (OCI) 上运行云原生安全平台。Stellar Cyber 将日志处理和转发自动化,为 3500 多个网络应用提供深度数据包检查 (DPI) 和网络流量分析 (NTA)。部署包括一个沙盒,用于零日恶意软件检测、数据缓冲等。
Stellar Cyber 部署最初作为内部部署应用开发,最初将其作为软件即服务 (SaaS) 平台进行重构,并迁移到 OCI。
Stellar Cyber 部署的要点包括:
-
ElasticSearch (OpenSearch) 引擎管理数据湖中的索引和分片
-
Oracle Cloud Infrastructure Block Volumes 可快速检索 30-90 天内要分析的数据
-
Oracle Cloud Infrastructure Object Storage 为一年或多年的长期冷存储提供数据存储库
-
Oracle Cloud Infrastructure DevOps 提供了用于构建连续集成/连续开发 (CI/CD) 管道的工具
-
Oracle Cloud Infrastructure Registry 可存储、共享和管理 Docker 映像
-
Oracle Cloud Infrastructure 电子邮件传送会向 Stellar Cyber 客户发送警报和通知
体系结构
Stellar Cyber 将自身的安全传感器、日志收集引擎和 API 连接器结合使用,以便在整个客户企业中收集安全相关数据。
传感器数据和日志通过 Oracle Cloud Infrastructure Web Application Firewall (WAF) 发送,用于保护 Stellar 网络 Oracle Cloud Infrastructure (OCI) 租户免受不需要的或恶意网络流量的影响。Stellar Cyber 的体系结构使用在 Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE) 集群中的四个节点池上运行的容器构建的开源组件。包含 Apache Kafka 和 Apache Flink 的节点池部署用于流服务,其中摄取的数据由 Kafka 处理,并传递到 Flink 以实现规范化和扩充。使用 Oracle Cloud Infrastructure Load Balancing 对数据流进行负载平衡。
下图说明了拓扑过程中的简化数据流。
stellar-cyber-oci-data-flow-oracle.zip
弹性堆栈部署在两个单独的 OKE 节点池中:一个用于 Elasticsearch(主节点),另一个用于 Elasticsearch 数据湖(数据)。将 Flink 中的规范化和扩充的数据传递给 Elasticsearch 进行检索和分析。原始数据存储在 Elasticsearch 数据湖中。
微服务的节点池为相关性、机器学习和服务(API 和 UI)提供了容器,以便用户检查、分析和可视化其数据。
机器学习容器与 Elasticsearch 交互,并向要提供给用户的服务容器提供数据。机器学习算法通过分析时间序列和对等组以及不受监督的学习和行为分析来对威胁进行分类,并通过监督学习来概括已知攻击模式。基于图形机器学习的相关引擎用于根据预警确定高级别事件。对于需要电子邮件警报的客户,Oracle Cloud Infrastructure 电子邮件传送会生成通知。Oracle Cloud Infrastructure 域名服务 (Domain Name Service,DNS) 管理 Stellar 网络 DNS 区域。
Oracle Cloud Infrastructure Block Volumes 管理平均在 30 到 90 天之间存储数据的热存储。对于较长期的冷存储,Oracle Cloud Infrastructure Object Storage 用于保留一年或多年的数据。热存储容量可以从 1 TB 到 300 TB。分层多租户允许平台同时支持多个客户,甚至允许客户成为拥有自己的租户的托管服务提供商 (MSP)。可以创建其他存储桶来分隔收集的数据流。
Stellar Cyber 利用 OCI 的 CI/CD 工具(代码资料档案库和容器注册表)以及 OCI DevOps 来扩展和监视 OKE 集群。堡垒主机用作管理系统的跳转服务器。
- Oracle Functions ,提供无服务器体系结构
- Oracle Cloud Infrastructure 流处理和 Oracle Stream Analytics ,将 Kafka 替换为流处理数据处理程序
- Oracle API Gateway 用于替换自己的 API 服务以供客户访问
- Oracle Autonomous Data Warehouse (适用于其数据湖)
- Oracle Cloud Infrastructure 服务网格,用于加密和相互验证的微服务到微服务通信
通过使用 PaaS 产品,Stellar Cyber 将减少操作和维护这些服务所需的工作量。
下图说明了此参考体系结构。
stellar-cyber-oci-architecture-oracle.zip
该体系结构具有以下组成部分:
- 租户
租户是 Oracle 在您注册 Oracle Cloud Infrastructure 时在 Oracle Cloud 中设置的安全隔离分区。您可以在租户中的 Oracle Cloud 中创建、组织和管理资源。租户与公司或组织同义。通常,公司只有一个租户并反映在该租户中的组织结构。单个租户通常与单个订阅关联,单个订阅通常只有一个租户。
- 区域
Oracle Cloud Infrastructure 区域是一个局部地理区域,包含一个或多个称为可用性域的数据中心。区域独立于其他区域,广阔的距离可以将其分开(跨国家甚至大陆)。
- 区间
区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间在 Oracle Cloud 中组织资源、控制对资源的访问以及设置使用限额。要控制对给定区间中资源的访问,您可以定义策略来指定哪些人可以访问资源以及他们可以执行的操作。
- 可用性域
可用性域是区域中的独立独立数据中心。每个可用性域中的物理资源与提供容错能力的其他可用性域中的资源隔离。可用性域不共享基础设施(例如电源或冷却设备)或内部可用性域网络。因此,一个可用性域出现故障不会影响区域中的其他可用性域。
- 虚拟云网络 (VCN) 和子网
VCN 是您在 Oracle Cloud Infrastructure 区域中设置的可定制软件定义网络。与传统数据中心网络一样,VCN 允许您完全控制您的网络环境。一个 VCN 可以具有多个不重叠的 CIDR 块,您可以在创建 VCN 后对其进行更改。您可以将 VCN 细分为多个子网,这些子网可以限定到区域或可用性域。每个子网包含一系列不与 VCN 中的其他子网重叠的连续地址。创建后可以更改子网的大小。子网可以是公共子网,也可以是专用子网。
- 安全列表
对于每个子网,您可以创建安全规则来指定必须允许进出子网的流量源、目标和类型。
- 路由表
虚拟路由表包含将流量从子网路由到 VCN 外部的目标(通常通过网关)的规则。
- Internet 网关
互联网网关允许 VCN 中的公共子网与公共互联网之间的通信。
- 网络地址转换 (NAT) 网关
通过 NAT 网关,VCN 中的专用资源可以访问互联网上的主机,而不向传入的互联网连接公开这些资源。
- 服务网关
通过服务网关,可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage 。从 VCN 到 Oracle 服务的流量会通过 Oracle 网络网状结构网络传输,并且从不通过互联网传输。
- Web 应用程序防火墙 (WAF)
Oracle Cloud Infrastructure Web Application Firewall (WAF) 是符合支付卡行业 (PCI) 标准的、基于区域且边缘强制执行服务,附加到实施点,例如负载平衡器或 Web 应用程序域名。WAF 可保护应用免受恶意和不需要的互联网流量干扰。WAF 可以保护任何面向互联网的端点,并在客户应用之间实现一致的规则实施。
- DNS
Oracle Cloud Infrastructure 域名系统 (Domain Name System,DNS) 服务是一个高度可扩展的全局任播域名系统 (Domain Name System,DNS) 网络,可提供增强的 DNS 性能、可恢复性和可扩展性,从而最终用户可以尽可能快地从任何位置连接到客户的应用。
- 负载平衡器
Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动流量分配。
- 计算
Oracle Cloud Infrastructure Compute 服务可用于在云中预配和管理计算主机。您可以使用配置启动计算实例,以满足您对 CPU、内存、网络带宽和存储的资源需求。创建计算实例后,可以安全地访问它,重新启动它,附加和分离卷,然后在不再需要时终止它。
- 适用于 Kubernetes 的容器引擎
Oracle Cloud Infrastructure Container Engine for Kubernetes 是一项完全托管、可扩展的高可用性服务,可用于将容器化应用部署到云中。您可以指定应用所需的计算资源,而适用于 Kubernetes 的容器引擎将在现有租户的 Oracle Cloud Infrastructure 上预配这些资源。适用于 Kubernetes 的容器引擎使用 Kubernetes 在主机集群中自动部署、扩展和管理容器化应用。
- 块存储卷
通过块存储卷,您可以创建、附加、连接和移动存储卷,并更改卷性能,从而满足您的存储、性能和应用要求。将卷连接到实例后,您可以像常规硬盘驱动器那样使用该卷。您还可以断开卷的连接并将其连接到另一个实例而不会丢失数据。
- 文件存储
Oracle Cloud Infrastructure File Storage 服务提供了一个持久、可扩展、安全的企业级网络文件系统。您可以从 VCN 中的任何裸金属、虚拟机或容器实例连接到文件存储服务文件系统。您也可以使用 Oracle Cloud Infrastructure FastConnect 和 IPSec VPN 从 VCN 外部访问文件系统。
- Vault
通过 Oracle Cloud Infrastructure Vault ,您可以集中管理用于保护数据的加密密钥以及用于保护云中资源访问的密钥身份证明。您可以使用 Vault 服务创建和管理 Vault、密钥和密钥。
- 通知
Oracle Cloud Infrastructure Notifications 服务通过发布 - 订阅模式向分布式组件广播消息,为托管在 Oracle Cloud Infrastructure 上的应用程序提供安全、高度可靠、低延迟和持久的消息。
- 审计
Oracle Cloud Infrastructure Audit 服务自动将所有受支持的 Oracle Cloud Infrastructure 公共应用程序编程接口 (API) 端点的调用记录为日志事件。目前,所有服务都支持 Oracle Cloud Infrastructure Audit 日志记录。
- 策略
Oracle Cloud Infrastructure Identity and Access Management 策略指定谁可以访问哪些资源以及如何访问。在组和区间级别授予访问权限,这意味着您可以编写策略来向组授予特定区间或租户中特定类型的访问权限。
充分利用内置和部署功能
想要展示您在 Oracle Cloud Infrastructure 上构建的内容?与我们的云架构师全球社区分享您的经验教训、最佳实践和参考架构?让我们帮助您入门。
- 下载模板 (PPTX)
通过将图标拖放到示例线框中,说明您自己的参考体系结构。
- 观看体系结构教程
获取有关如何创建引用体系结构的分步说明。
- 提交您的图表
请向我们发送一封包含您的图表的电子邮件。我们的云架构师将查看您的图表并与您联系以讨论您的架构。