1. 保護及監控 Oracle Identity Cloud Service
  2. 瞭解如何保護及監控 Oracle IDCS

瞭解如何保護及監控 Oracle IDCS

您可以使用新的日誌記錄分析服務搭配其他 Oracle Cloud Infrastructure (OCI) 服務,從 Oracle Identity Cloud Service (IDCS) 執行處理取得安全性和治理洞察分析。本電子書示範如何使用無伺服器功能,自動化從 IDCS 收集稽核日誌並載入至 Log Analytics 以進行分析的程序。

Oracle Functions 是一套在 Oracle Cloud Infrastructure 上建置的高擴展性、完全受管理 Functions-as-a-Service 平台,由開源 Fn Project 引擎提供技術支援。開發者可以使用 Oracle Functions 撰寫及部署提供商業價值的程式碼,無需擔心佈建或管理基礎基礎架構。Oracle Functions 是容器原生函數,囊括為 Docker 容器映像檔。

架構

在此架構中,此函數會呼叫 IDCS API 來收集日誌,然後呼叫 Log Analytics API 將其載入 Log Analytics。它使用 API 閘道和狀況檢查,排定每隔 5 分鐘執行一次函數。它會將目前狀態儲存在物件儲存的儲存桶中。此圖表說明 Oracle IDCS 執行處理的拓樸和資料流程,讓您取得 Oracle IDCS 執行處理的安全性和治理洞察力。
secure-monitor-idcs-arch.png 的描述如下
secure-monitor-idcs-arch.png 圖解的描述

secure-monitor-idcs-arch-oracle.zip

  • 區域

    Oracle Cloud Infrastructure 區域是一個包含一或多個資料中心的本地化地理區域,稱為可用性網域。區域與其他區域無關,而且遠距離也能分隔它們 (跨國家或甚至大陸)。

  • 區間

    區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間組織您的 Oracle Cloud 資源、控制資源的存取,以及設定使用狀況配額。若要控制對指定區間中資源的存取,您需要定義可指定誰存取資源的原則,以及可執行哪些動作。

  • 虛擬雲端網路 (VCN) 和子網路

    VCN 是您在 Oracle Cloud Infrastructure 區域中設定可客製化的軟體定義網路。與傳統資料中心網路一樣,VCN 可讓您完整控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 區段成子網路,可以將範圍擴展到區域或可用性網域。每個子網路都包含一個連續的位址範圍,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。

  • API 閘道

    API 閘道服務可讓您發布 API 與可從網路內部存取的專用端點,並且在需要時可以向公用網際網路公開 API。端點支援 API 驗證、要求與回應轉換、CORS、認證與授權,以及要求限制。

  • 函數

    Oracle Functions 是一個完全受管理、多租用戶、高度可依需求擴充的 Functions-as-a-Service (FaaS) 平台。由 Fn Project 開放原始碼引擎提供技術支援。函數可讓您部署程式碼,以及直接呼叫程式碼或透過觸發程式碼以回應事件。Oracle Functions 使用由 Oracle Cloud Infrastructure Registry 代管的 Docker 容器。

  • 物件儲存

    物件儲存可讓您快速存取任意內容類型的大量結構化和非結構化資料,包括資料庫備份、分析資料,以及影像和影片等豐富內容。您可以安全地儲存資料,然後直接從網際網路或雲端平台內擷取資料。順暢調整儲存體,不會發生任何效能或服務可靠性的降低情形。使用標準的「熱門」儲存空間,快速、立即、經常存取。將封存儲存體用於您長期保留的「冷」儲存體,極少或罕見地存取。

  • 日誌記錄分析

    日誌記錄分析是一個完全受管理的 SaaS 區域服務,有 27 個以上的區域提供收集、編製索引、強化、查詢、視覺化以及警示,可供在內部部署、OCI 或第三方雲端執行的任何 IT 元件存取日誌。

  • 保存庫

    Vault 是用於加密密碼和用戶端密碼的金鑰管理服務

在您開始之前

若要順利完成本電子書中的步驟,您必須準備 IDCS 應用程式 OAuth 以進行 API 呼叫,並準備 OCI 環境。

複查部署和使用建議

您的需求可能與此處所述的架構不同。請使用這些建議作為開始點。
  • 日誌群組

    定義多個日誌群組,以提供不同團隊的正確存取權限,並避免共用機密資料。

  • 成本管理

    日誌記錄分析服務會在作用中和存檔儲存的資料量上收費。為了能夠疑難排解日常問題,並獲得異常偵測、模式偵測及其他機器學習功能的優點,Oracle 建議您使用 90 天內的作用中儲存期間,並將超過 90 天的日誌移至存檔儲存。儲存的存檔日誌可以視需要快速地恢復。

複查部署和使用考量

在雲端設計高可用性應用程式堆疊時,請考量下列因素:

  • 效能

    查詢效能是以時間範圍和作業數目為基礎,例如篩選、群組依據等等。為了獲得更佳的查詢效能,Oracle 建議您在擷取時,使用特定標籤和欄位強化日誌。

  • 安全性與 RBAC。

    自訂日誌來源定義以篩選任何個人識別資訊 (PII) 資料,並啟用地理位置強化。可用性:日誌記錄分析是一個完全受管理的高可用性 SaaS 服務。您可以在 Oracle Cloud Marketplace 中以堆疊方式使用部署 Oracle Cloud Infrastructure Logging Analytics App

準備 IDCS 應用程式 OAuth 以進行 API 呼叫

若要使用從屬端 ID/ 加密密碼呼叫 IDCS API,您必須在 IDCS 中建立自訂應用程式,並產生從屬端 ID/ 密碼。請務必記錄 IDCS URL、從屬端 ID 以及加密密碼。

在此程序中,您將建立透過記號使用 IDCS REST API 的從屬端應用程式。這樣就不需要輸入您的使用者名稱和密碼,即可驗證您稍後在此練習中建立的函數。
  1. 在「IDCS 主控台」上,選取應用程式,按一下新增,然後選取機密應用程式
  2. 為應用程式指定名稱,然後按下一步
    「組態 (Configuration)」視窗會出現。
  3. 勾選允許的授權類型資源擁有者,然後將「識別網域管理員」角色新增至應用程式,將從屬端存取授予 Identity Cloud Service 管理員。按一下下一步
  4. 勾選強制授權 (Enforce Grant as Authorization) ,然後按一下下一步 (Next) ,然後按一下完成 (Finish)
    即會顯示一個即現式視窗,其中顯示從屬端 ID 和從屬端加密密碼。
  5. 複製用戶端 ID 和用戶端密碼,因為您稍後會需要這些密碼。

準備 OCI 環境

接下來,您必須確定您擁有適當的權限,並具備完成作業的必要資源,準備 OCI 環境。

請確定您具有下列項目:
  • 管理 Oracle Cloud Infrastructure 租用戶中下列資源類型的權限:
    • VCN
    • 網際網路閘道
    • 路由表
    • 安全清單
    • 子網路
    • 函數
    • API 閘道
    • 狀況檢查
  • 具有下列資源的配額:
    • 1 VCN
    • 1 個子網路
    • 1 個網際網路閘道
    • 1 個路由規則
    • 1 功能
    • 1 個動態群組
    • 1 原則
    • 1 個 API 閘道
    • 1 狀況檢查

瞭解 Oracle 定義的儀表板

部署 Terraform 堆疊時,會自動在日誌記錄分析服務中建立 Oracle 定義的 IDCS 稽核日誌和 IDCS 管理治理儀表板。 這些儀表板可讓您在單一窗格中檢視分析資料,這有助於密切監控雲端應用程式活動、偵測異常事件及管理動作。

瞭解 IDCS 稽核日誌儀表板

「IDCS 稽核日誌」儀表板會根據您選取的時間範圍,在含有圖表和視覺化項目的單一窗格中,使用小工具來彙總稽核資訊。這可讓您廣泛檢視所選期間內各種應用程式和使用者活動。

「IDCS 稽核日誌」儀表板總結了下列資料:
  • 總計 (針對應用程式)

    應用程式事件和使用者事件的數目。

  • 應用程式事件

    描述應用程式事件定期記錄的圖表

  • 總計 (針對使用者)

    應用程式事件和使用者事件的數目。

  • 使用者事件

    描述使用者事件定期記錄的圖表

  • 依應用程式類型區分的事件

    依每個應用程式事件類型分組之事件的樹狀結構圖視覺化。

  • 依使用者、類型區分的事件

    依每個使用者之事件類型分組之事件的樹狀結構圖視覺化

  • 依應用程式重新分割

    顯示依應用程式分組之事件數分配的圓餅圖。

  • 依事件類型重新分割 (適用於應用程式)

    僅針對應用程式事件依事件類型分組事件數目的圓餅圖。

  • 依使用者重新分割

    顯示依使用者分組之事件數分配的圓餅圖。

  • 依事件類型重新分割 (針對使用者)

    圓餅圖顯示僅針對使用者事件依事件類型分組的事件數目。

瞭解 IDCS 管理治理儀表板

「IDCS 管理治理」儀表板會在指定的時間範圍內,依使用者顯示成功與失敗的管理動作平行觀點。 此儀表板提供所有管理活動和成功和失敗動作的洞察分析。若要向下展開,您可以在「日誌總管」中開啟視覺化項目,然後按一下確切事件以找出根本原因。
「IDCS 管理治理」儀表板提供下列功能:
  • 連結視覺化包含成功或失敗的使用者管理動作 (依事件類型和使用者分組) 的事件。圖表中的每個泡泡代表特定使用者特定類型的事件群組。此視覺化有助於識別異常活動。
  • 樹狀圖視覺化包含成功或失敗的使用者管理動作 (依事件類型和使用者分組) 的事件。對於每位使用者,會顯示一組代表成功管理動作事件的矩形。此視覺化有助於檢視每位使用者的管理活動。
  • 在所選期間內分配的相符事件計數堆疊長條圖檢視。每個長條中的不同顏色代表不同使用者的事件。
  • 將角色授予特定應用程式之特定使用者的事件列表化分析