監督及稽核您的環境
確定您使用正確的控制項來監督和稽核您的環境
啟用雲端保全進行監督
企業規劃總監、安全規劃總監
Oracle Cloud Guard 會偵測租用戶間設定錯誤的資源和不安全的活動,並提供安全管理員檢視以分類及解決雲端安全問題。安全不一致可以使用立即可用的安全處方自動修正,以有效地擴展安全作業中心。
確定已在您租用戶的根層次啟用雲端保全,以監督您所有的區間。
設定稽核
企業規劃總監、安全規劃總監
Oracle Cloud Infrastructure Audit 服務會自動將對所有支援 Oracle Cloud Infrastructure 公用應用程式設計介面 (API) 端點發出的呼叫記錄為日誌事件。Oracle Cloud Infrastructure Object Storage 支援儲存設定 (Bucket) 相關事件的記錄日誌,但不支援物件相關事件的記錄日誌。Oracle Cloud Infrastructure Audit 記錄的日誌事件包括 Oracle Cloud Infrastructure 主控台、命令行介面 (CLI)、軟體開發套件 (SDK)、您自己的自訂從屬端或其他 Oracle Cloud Infrastructure 服務所做的 API 呼叫。日誌中的資訊包含下列各項:
- API 活動的發生時間。
- 作業的來源。
- 活動的目標。
- 動作的類型。
- 回應類型。
每個日誌事件都包括標頭 ID、目標資源、記錄之事件的時戳、要求參數以及回應參數。您可以使用主控台、API 或 Java 的 SDK 來檢視 Oracle Cloud Infrastructure Audit 所記錄的事件。事件的資料可用來執行診斷、追蹤資源使用狀況、監督相容性,以及收集安全相關事件。
- 確定稽核保留設為 365 天。
- 如果您有需要存取 Oracle Cloud Infrastructure Audit 資料的第三方工具,請設定「服務連線器中心」,將 Oracle Cloud Infrastructure Audit 資料複製到已設定適當保留期間的「物件存放區」。
稽核您的原則
企業規劃總監、安全規劃總監
原則稽核員可以使用 Oracle Cloud Infrastructure 主控台以特別方式複查 IAM 原則。另外還有數個選項可用來產生離線分析的原則報表。
雲端保全有兩個組態偵測器方法,以及一個專門用於 IAM 原則的活動偵測器方法:
- 原則提供太多權限。
- 已將租用戶管理員權限授予群組。
- 已修改安全原則。
雖然可以修改 Oracle 管理的處方,但 Oracle 建議您複製處方,以允許您更改以這些規則為目標的物件 (透過使用標記或區間)。這可讓租用戶內的生產環境擁有較嚴格的控制項,同時將非生產環境中的限制放寬在租用戶的不同區間中。如果您需要在更精細的層次複查 IAM 原則,Oracle 建議您使用「安全原則修改」偵測器來觸發下列事件:
- 透過原則觸發手動複查。
- 呼叫函數以執行調查或修正。
當您稽核原則時,請考慮下列潛在問題:
- 您的原則定義在哪裡,它們是否符合您組織的區間使用標準?
- 稽核動態群組的使用狀況。這些群組是否會授與超額權限?
- 已設定哪些服務及其所在位置?部分服務可能受限於某些區間或群組。
- 尋找任何移除任何重複的敘述句。
- 識別將權限授予整個租用戶的原則。
- 識別權限超過所需數目的群組。
持續掃描漏洞
企業規劃總監、安全規劃總監
Oracle 漏洞掃描服務的核心功能如下:
- 預設情況下,與 Oracle Cloud Infrastructure 平台緊密整合的簡單規範性和免費掃描套裝軟體。
- 以 Oracle Cloud Infrastructure 建立且開放原始碼掃描引擎為基礎的預設 Plugin 和引擎,用於掃描主機和容器。
- Oracle Cloud Infrastructure 可管理這些引擎和代理程式在整個客戶機隊中的建置、組態及升級。
- 掃描套裝軟體偵測到的問題將會透過 Oracle Cloud Guard 表面,並提供規則和 ML 來排列嚴重漏洞的優先順序。
- Oracle Cloud Infrastructure 將透過回應者採取動作 (警示、自動修正或隔離),以縮短從偵測到修正的時間,包括透過最大安全區域。