启用 OCI 漏洞扫描以保护主机
要确保部署到 Oracle Cloud Infrastructure (OCI) 的主机在当前和将来没有漏洞,应启用漏洞扫描服务 (Vulnerability Scanning Service, VSS),并在每个区域中为所有 VM 和裸金属实例创建目标。
使用 VSS 的报告功能可以查看每个区域中主机的当前风险级别,或者查看这些查找结果并使用 Cloud Guard 执行操作。
扫描主机后,可以进行排序和过滤以查找受影响最严重的主机,也可以查找它们负责的主机。该服务将从国家漏洞数据库(NVD 和 RedHat)的开源源中收集最新的通用漏洞和风险 (CVE)。然后,它将此数据与主机上安装的软件包相匹配,以允许服务报告安全风险,并提供指向国家漏洞数据库 (NVD) 的链接,并提供需要进行哪些补丁程序的详细信息。
每个匹配 CVE 的常见漏洞评分系统(Common 漏洞评分系统,CVSS)基本分数映射到 Oracle Cloud Guard 中使用的风险级别 (Critical, High, Medium, Low and None)。此匹配反映 NVD 将 CVSS v3.0 评级映射到风险严重程度的方式。
所有查找结果都将流向事件和日志记录流,并供其他系统使用,例如 SIEM。您还可以在 Cloud Guard 中查看查找结果,在该查找结果中,您可以决定应将哪个风险级别标记为针对主机的问题,或者哪些开放端口也是针对主机的问题。
体系结构
此体系结构介绍了 VSS 如何提供有关主机及其目标的关键信息。
VSS 使用我们的插件扫描主机,该插件在 Oracle Cloud 代理的每个主机上静默运行。该服务还对所有公共 IP 进行试通以收集端口信息,从而允许 VSS 收集这些查找结果以从我们的服务中报告,并将其转发到日志记录、事件和 Cloud Guard。
Oracle Cloud Infrastructure Registry (OCIR) 将利用 VSS 容器扫描程序引擎查找扫描的映像正在使用的脆弱软件包。当前只能在 OCIR 中启用和查看此容器扫描。
在执行“注意事项”主题中的启用下列出的配置步骤之前,VSS 不会主动扫描主机。可以将主机定位为扫描,如此处所述。
此架构图说明如何在区域中配置漏洞扫描,然后在全局区域中查看 Cloud Guard 中的问题。
插图 vulnerability_scan_arch.png 的说明
OCI 客户创建目标以扫描区间 B 和 C 中的所有计算实例。这些虚拟机 (VM) 定期扫描 CVE、CIS 基准和开放端口。然后,客户可以使用扫描服务的报告或 Cloud Guard 区域报告控制台查看查找结果。通常,DEV 和 QA 团队希望在将应用程序部署到生产区间之前查看其特定区间的结果。这样,他们就可以在生产前区间中为其所有服务器打补丁,测试所有服务器是否正常工作,并确保在将应用程序释放到生产服务器之前已解决漏洞。操作组通常将监视来自所有区域的 Cloud Guard 中的问题,然后通知各个团队,当发现需要关注的严重问题时,他们需要对其区间采取纠正措施。
- 区域
Oracle Cloud Infrastructure 区域是包含一个或多个数据中心(称为可用性域)的本地化地理区域。区域独立于其他区域,其距离很广(跨越国家或甚至大陆)。
- 可用性域
可用性域是区域内的独立独立数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,这些资源提供了容错功能。可用性域不共享基础设施,例如电源、冷却或内部可用性域网络。因此,一个可用性域的故障不可能影响该区域中的其他可用性域。
- 故障域
故障域是可用性域中的一组硬件和基础结构。每个可用性域都有三个具有独立电源和硬件的故障域。在多个故障域之间分配资源时,应用程序可以容忍故障域中的物理服务器故障、系统维护和电源故障。
- 虚拟云网络 (VCN) 和子网
VCN 是在 Oracle Cloud Infrastructure 区域中设置的可定制的软件定义网络。与传统的数据中心网络一样,VCN 为您提供了对网络环境的完全控制。VCN 可以有多个非重叠 CIDR 块,您可以在创建 VCN 后更改这些块。可以将 VCN 细分为子网,子网可限定为区域或可用性域。每个子网包含一系列与 VCN 中的其他子网不重叠的地址。您可以在创建后更改子网的大小。子网可以是公共的或专用的。
- 负载平衡器
Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动通信分发。
- 扫描配方
使用扫描配方定义要针对主机执行的扫描的数量和类型。默认情况下,每天执行扫描,并使用主机的代理查找详细问题。
- 扫描目标使用扫描目标定义要进行扫描的位置;区间内的所有主机及其所有子区间或一组特定主机。扫描服务将支持以下 OCI 计算基本映像:
- Oracle Linux
- CentOS
- Ubuntu
- Windows ServerOracle Linux、CentOS、Ubuntu 和 Windows Server
- Cloud Guard
使用 Oracle Cloud Guard 可以监视和维护 OCI 中资源的安全性。您可以定义 Cloud Guard 用于检查资源的安全弱点以及监视操作员和用户风险活动的检测器配方。检测到任何不正确的配置或不安全的活动时,Cloud Guard 会根据您可以定义的响应方配方建议更正操作并协助执行这些操作。
建议
- VCN
创建 VCN 时,根据计划附加到 VCN 中子网的资源数确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。
选择不与您打算设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中)重叠的 CIDR 块。
创建 VCN 后,可以更改、添加和删除其 CIDR 块。
设计子网时,请考虑流量和安全要求。将特定层或角色中的所有资源附加到可用作安全边界的同一子网。
- 扫描配方
创建扫描配方时,启用基于代理的扫描(默认值),以便 VSS 可以访问所有可能的主机信息;否则 VSS 只能检查有关公共 IP 上的开放端口的信息。
- 扫描目标通过指定根区间为整个租户创建目标。这将自动包括根区间和所有子区间中的所有资源。
注意:
如果为特定区间和/或特定计算实例创建目标,VSS 将不会扫描任何新区间和实例,除非您将它们显式添加到目标。
考虑事项
启用 VSS 时,请考虑以下事项
- 性能
每天至少扫描一次主机和端口。
- 安全性
尽快了解主机上的漏洞、开放端口和配置不佳。使用 VSS 控制台跟踪趋势,同时从 Cloud Guard 获取预警。
- 可用性
VSS 在所有区域都可用。
- 成本
对于面向 IP 的公共主机和端口扫描,在每个主机上使用 OCI 插件是没有成本的。
- 限制
默认情况下,最多可以创建 100 个扫描配方和 200 个扫描目标。如果您需要超出这些大小,则需要与客户服务联系,以了解是否可能增加扫描限制。
- 启用VSS 可用于所有区域,但客户需要启用一些功能才能对其主机进行扫描。完成以下步骤后,客户将监视 VSS 或 GC 中的漏洞和配置不佳。客户需要:
- 创建允许扫描服务运行我们的插件和收集有关计算实例的信息的 IAM 策略。
- 创建允许其管理员创建和管理扫描配方和目标的 IAM 策略。
- 创建一个或多个扫描配方。
- 创建一个或多个扫描目标。
- 在 Cloud Guard 中配置扫描检测器,以便将主机漏洞通知用户。
- 配置在 Cloud Guard 中转换为问题的 CVE 风险级别以及该给定问题的风险级别。
- 指定在 Cloud Guard 中应将哪些开放端口视为问题,以及该给定问题的风险级别。
-
IAM 策略VSS 需要以下 IAM 策略:
allow group Your Group to manage vss-family in tenancy allow service vulnerability-scanning-service to read compartments in tenancy allow service vulnerability-scanning-service to manage instances in tenancy allow service vulnerability-scanning-service to read vnics in tenancy allow service vulnerability-scanning-service to read vnic-attachments in tenancy