使用第三方 SIEM 聚總 Oracle Cloud Infrastructure 服務日誌
在 Oracle Cloud Infrastructure (OCI) 上部署工作負載時,將 Oracle Cloud Infrastructure Audit 日誌、服務日誌及安全事件聚總是基礎需求。
集中此資料可讓組織分析、監控及保護其租用戶。針對安全使用案例,客戶可以將這些日誌傳送至安全資訊與事件管理 (SIEM) 平台。SIEM 系統是管理雲端資源安全性的重要作業工具。OCI 包括原生威脅偵測、預防及回應功能,可用於實作高效率的 SIEM。
為了協助簡化跨租用戶區域的聚總日誌資訊部署,公司可以使用基礎架構即程式碼 (IaC) 工具,包括 Terraform 和 Ansible。這些 IaC 工具不僅可實現敏捷開發、DevOps 最佳實務,還可實現持續整合和持續交付 (CI/CD),還能移除障礙,例如手動佈建雲端基礎架構元件。由於 IaC 為模組化性質,因此每個程式碼都可加以分割或結合,以符合多個部署使用案例,同時使軟體開發週期更有效率。
架構
此架構在不同的區域部署類似的拓樸,以擷取區域特定的日誌結果、聚總結果,然後將它們串流至安全資訊和事件管理 (SIEM) 平台。
下圖說明整體架構。報表與訂閱者區域的個別檢視都會在「規劃部署」區段中提供。
oci-log-multistream-oracle.zip
架構具有下列元件:
- 租用戶
租用戶是指註冊 Oracle Cloud Infrastructure 時,Oracle 在 Oracle Cloud 內設定的安全獨立分割區。您可以在租用戶的 Oracle Cloud 中建立、組織及管理您的資源。租用戶與公司或組織同義。通常,公司會有單一租用戶,並反映其在該租用戶內的組織結構。單一租用戶通常與單一訂閱關聯,而單一訂閱通常只有一個租用戶。
- 區域
Oracle Cloud Infrastructure 區域是一個本地化的地理區域,包含一或多個資料中心 (稱為可用性網域)。區域與其他區域無關,因此廣大的距離可加以區隔 (跨國家或甚至洲)。
- 身分識別與存取管理 (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) 是 Oracle Cloud Infrastructure (OCI) 和 Oracle Cloud Applications 的存取控制層。IAM API 和使用者介面可讓您管理識別網域和識別網域內的資源。每個 OCI IAM 識別網域代表獨立身分識別與存取管理解決方案或其他使用者群體。
- 原則
Oracle Cloud Infrastructure Identity and Access Management 原則可指定誰可以存取哪些資源,以及存取方式。您會在群組和區間層次授予存取權,這表示您可以撰寫一個原則,讓群組在特定區間或租用戶內具有特定類型的存取權。
- 記錄日誌日誌記錄是一種可高度擴展且完全受管理的服務,可讓您從雲端資源存取下列類型的日誌:
- 稽核日誌:與稽核服務發出之事件相關的日誌。
- 服務日誌:由個別服務 (例如 API 閘道、事件、函數、負載平衡、物件儲存以及 VCN 流量日誌) 發出的日誌。
- 自訂日誌:包含自訂應用程式、其他雲端提供者或內部部署環境之診斷資訊的日誌。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。就像傳統的資料中心網路,VCN 可讓您完全控制網路環境。VCN 可以有多個非重疊 CIDR 區塊,而您可以在建立 VCN 之後進行變更。您可以將 VCN 區隔成子網路,然後對區域或可用性網域進行調整。每個子網路都是由不與 VCN 中其他子網路重疊的連續位址範圍所組成。您可以在建立子網路後變更其大小。子網路可以是公用網路或專用子網路。
- 安全清單
您可以為每個子網路建立安全規則,以指定必須允許進出子網路的來源、目的地和流量類型。
- 路由表
虛擬路由表包含規則,可將流量從子網路遞送至 VCN 外部的目的地,通常透過閘道。
- 計算
Oracle Cloud Infrastructure Compute 服務可讓您在雲端佈建及管理運算主機。您可以使用資源配置來啟動運算執行處理,以滿足 CPU、記憶體、網路頻寬及儲存的資源需求。建立運算執行處理之後,您可以安全地存取、重新啟動、連附及解除連附磁碟區,並在不再需要時將它終止。
- 物件儲存
物件儲存可快速存取任何內容類型的大量結構化與非結構化資料,包括資料庫備份、分析資料,以及豐富內容 (例如影像和影片)。您可以安全地儲存,然後直接從網際網路或雲端平台內擷取資料。您可以無縫擴充儲存,而不會發生任何效能或服務可靠性的降低。針對快速、立即和經常存取的「熱」儲存,使用標準儲存。將封存儲存用於長時間且鮮少存取的「冷」儲存。
- 服務連線器
Oracle Cloud Infrastructure Service Connector Hub 是一個雲端訊息匯流排平台,可協調 OCI 中服務之間的資料移動。您可以使用它在 Oracle Cloud Infrastructure 中的服務之間移動資料。資料會使用服務連線器移動。服務連接器指定來源服務,其中包含要移動的資料、要對資料執行的任務,以及指定任務完成時必須提供資料的目標服務。
您可以使用 Oracle Cloud Infrastructure Service Connector Hub 快速為 SIEM 系統建立記錄日誌聚總架構。選擇性作業可能是處理來源資料或日誌篩選作業,以篩選來源日誌資料的函數作業。
- 雲端保全
您可以使用 Oracle Cloud Guard 來監控及維護 Oracle Cloud Infrastructure 中資源的安全性。雲端保全使用偵測器處方,您可以定義檢查資源是否有安全漏洞,以及監控操作員和使用者是否有風險活動。偵測到任何組態錯誤或不安全活動時,雲端保全會根據您可以定義的回應器處方,建議更正動作並協助採取這些動作。
- 事件
Oracle Cloud Infrastructure 服務會發出事件,也就是描述資源變更的結構化訊息。系統會發出事件來進行建立、讀取、更新或刪除 (CRUD) 作業、資源生命週期狀態變更,以及影響雲端資源的系統事件。
- 稽核
Oracle Cloud Infrastructure Audit 服務會自動將所有支援 Oracle Cloud Infrastructure 公用應用系統程式設計介面 (API) 端點的呼叫記錄為日誌事件。目前,所有服務都支援由 Oracle Cloud Infrastructure Audit 記錄。
- 串流處理
Oracle Cloud Infrastructure Streaming 提供完全託管、可擴展且持久的儲存解決方案,可讓您擷取連續的大量資料串流,以即時使用及處理。您可以使用「串流處理」來擷取大量資料 (例如應用程式日誌、作業遙測、Web 點擊串流資料),或是其他在發布 / 訂閱訊息傳遞模型中以持續且順序方式產生及處理資料的使用案例。
- 資料安全
Oracle Data Safe 是一項完全整合的區域雲端服務,專注於保護 Oracle 資料庫中機密和受規範資料的完整功能。Data Safe 也支援內部部署資料庫、Oracle Exadata Database Service on Cloud@Customer 和多雲端部署。所有 Oracle Database 客戶都可以使用 Oracle Data Safe 來評估組態和使用者風險、監控和稽核使用者活動,以及探索、分類和遮罩機密資料,以降低資料外洩的風險並簡化合規性。