Stellar Cyber:在 Oracle Cloud 上執行 AI 型開放式威脅偵測和回應平台
Stellar Cyber 的 AI 開放式威脅偵測和回應平台 (Open XDR) 可緊密整合所有安全工具,為全球安全分析師提供立即威脅偵測、未預期事件關聯及自動化威脅搜尋和回應功能,以協助公司以全面防範其數位作業並防止資料安全漏洞。
- 網路流量的感測器
- 作業系統遙測
- 記錄收集
- 在邊緣收集 API 資料
- 可協調本機安全工具 (例如防火牆、端點偵測及回應 (EDR) 和識別平台之回應的安全通道
Stellar Cyber 成立於 2015 年,在 Oracle Cloud Infrastructure (OCI) 上執行雲端原生安全平台。Stellar Cyber 將日誌處理和轉送自動化,並為超過 3500 個網路應用系統提供深度封包檢查 (DPI) 和網路流量分析 (NTA)。此部署包括零天惡意軟體偵測、資料緩衝處理等的封閉測試環境。
Stellar Cyber 的部署最初是以企業內部部署應用程式的方式開發,而此部署則重製為軟體即服務 (SaaS) 平台,並搬移至 OCI。
Stellar Cyber 的部署重點包括:
-
ElasticSearch (OpenSearch) 引擎負責管理資料湖中的索引和分區
-
Oracle Cloud Infrastructure Block Volumes 可快速擷取要分析的資料,時間為 30-90 天
-
Oracle Cloud Infrastructure Object Storage 提供一或多個年度長期冷儲存的資料儲存區域
-
Oracle Cloud Infrastructure DevOps 提供建置持續整合 / 持續開發 (CI/CD) 管線的工具
-
Oracle Cloud Infrastructure Registry 可儲存、共用及管理 Docker 映像檔
-
Oracle Cloud Infrastructure Email Delivery 會將警示和通知傳送給 Stellar Cyber 的客戶
架構
Stellar Cyber 結合了自己的安全感測器、日誌收集引擎和 API 連接器,以收集客戶整個企業的安全相關資料。
感測器資料和日誌會透過 Oracle Cloud Infrastructure Web Application Firewall (WAF) 傳送,以保護 Stellar Cyber Oracle Cloud Infrastructure (OCI) 租用戶免於非必要和惡意網路流量的危害。Stellar Cyber 的架構採用開源元件,而容器是在 Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE) 叢集的 4 個節點集區上執行。系統會為串流服務部署包含 Apache Kafka 和 Apache Flink 的節點集區,其中的擷取資料會由 Kafka 處理,並傳遞至 Flink 以供標準化與強化。資料串流則是使用 Oracle Cloud Infrastructure Load Balancing 進行負載平衡。
下圖說明簡化的資料流經拓樸。
stellar-cyber-oci-data-flow-oracle.zip
Elasticsearch (主要) 和 Elasticsearch 資料湖 (資料) 的 Elastic Stack 是部署在兩個個別的 OKE 節點集區中。Flink 的標準化與強化資料會傳遞至 Elasticsearch 進行擷取與分析。原始資料儲存在 Elasticsearch 資料湖中。
微服務的節點集區提供容器,供使用者檢查、分析及視覺化資料,以建立關聯、機器學習和服務 (API 和 UI)。
機器學習容器會與 Elasticsearch 互動,並提供資料給要提供給使用者的服務容器。機器學習演算法透過分析時間序列和對等群組,並與非監督式學習和行為分析進行分類,並透過監督式學習將已知的攻擊模式普遍化,將威脅分類。圖形 ML 型關聯引擎可用來識別警示的高階未預期事件。針對需要電子郵件警示的客戶,Oracle Cloud Infrastructure 電子郵件傳遞會產生通知。Oracle Cloud Infrastructure 網域名稱服務 (DNS) 負責管理 Stellar Cyber DNS 區域。
Oracle Cloud Infrastructure Block Volumes 可管理熱儲存,資料平均儲存於 30 到 90 天之間。對於長期的冷儲存,Oracle Cloud Infrastructure Object Storage 是用來保留一或多個年度的資料。熱儲存範圍從 1 TB 到 300 TB。階層式多租用戶可讓平台同時支援多位客戶,甚至讓客戶成為擁有專屬租用戶的託管服務提供者 (MSP)。您可以建立額外的儲存體儲存桶,以分隔收集的資料串流。
Stellar Cyber 利用 OCI 的 CI/CD 工具 (程式碼儲存區域和容器登錄) 以及 OCI DevOps ,擴展並監控 OKE 叢集。堡壘主機是用來作為管理系統的跳躍伺服器。
- Oracle Functions 提供無伺服器架構
- Oracle Cloud Infrastructure Streaming 和 Oracle Stream Analytics 將 Kafka 取代為串流資料處理程式
- Oracle API Gateway 取代自己的 API 服務,以供客戶存取
- Oracle Autonomous Data Warehouse 用於資料湖
- Oracle Cloud Infrastructure 服務網狀組織加密且相互認證的微服務對微服務通訊
透過使用 PaaS 產品,Stellar Cyber 將減少操作和維護這些服務所需的努力。
下圖說明此參照架構。
stellar-cyber-oci-architecture-oracle.zip
架構具有下列元件:
- 租用戶
租用戶是指註冊 Oracle Cloud Infrastructure 時,Oracle 在 Oracle Cloud 內設定的安全獨立分割區。您可以在租用戶的 Oracle Cloud 中建立、組織及管理您的資源。租用戶與公司或組織同義。通常,公司會有單一租用戶,並反映其在該租用戶內的組織結構。單一租用戶通常與單一訂閱關聯,而單一訂閱通常只有一個租用戶。
- 區域
Oracle Cloud Infrastructure 區域是一個本地化的地理區域,包含一或多個資料中心 (稱為可用性網域)。區域與其他區域無關,因此廣大的距離可加以區隔 (跨國家或甚至洲)。
- 區間
區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間組織您在 Oracle Cloud 中的資源、控制對資源的存取,以及設定使用配額。若要控制對指定區間中資源的存取,您可以定義原則來指定可存取資源的人員及可執行的動作。
- 可用性網域
可用性網域是區域內的獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域並不共用基礎設施,例如電力或冷卻系統或內部可用性網域網路。因此,一個可用性網域發生失敗並不會影響區域中的其他可用性網域。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。就像傳統的資料中心網路,VCN 可讓您完全控制網路環境。VCN 可以有多個非重疊 CIDR 區塊,而您可以在建立 VCN 之後進行變更。您可以將 VCN 區隔成子網路,然後對區域或可用性網域進行調整。每個子網路都是由不與 VCN 中其他子網路重疊的連續位址範圍所組成。您可以在建立子網路後變更其大小。子網路可以是公用網路或專用子網路。
- 安全清單
您可以為每個子網路建立安全規則,以指定必須允許進出子網路的來源、目的地和流量類型。
- 路由表
虛擬路由表包含規則,可將流量從子網路遞送至 VCN 外部的目的地,通常透過閘道。
- 網際網路閘道
網際網路閘道可允許 VCN 中的公用子網路與公用網際網路之間的流量。
- 網路位址轉譯 (NAT) 閘道
NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不需將這些資源暴露給內送網際網路連線。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage 。VCN 到 Oracle 服務的流量會透過 Oracle 網路光纖通道,而一律不會周遊網際網路。
- Web 應用系統防火牆 (WAF)
Oracle Cloud Infrastructure Web Application Firewall (WAF) 是與強制點 (例如負載平衡器或 Web 應用程式網域名稱) 連附的付款卡產業 (PCI) 相容、以區域為基礎和邊緣強制實行服務。WAF 可保護應用系統免於惡意和非必要網際網路流量的危害。WAF 可以保護所有連結網際網路的端點,對客戶的應用程式實施一致的規則。
- DNS
Oracle Cloud Infrastructure 網域名稱系統 (DNS) 服務是高度擴展性的全域任一傳播網域名稱系統 (DNS) 網路,提供增強的 DNS 效能、抗逆力及擴展性,讓一般使用者無論身在何處,都能快速連線至客戶的應用系統。
- 負載平衡程式
Oracle Cloud Infrastructure Load Balancing 服務提供從單一進入點到後端多部伺服器的自動化流量分配。
- 計算
Oracle Cloud Infrastructure Compute 服務可讓您在雲端中佈建與管理運算主機。您可以使用資源配置來啟動運算執行處理,以滿足 CPU、記憶體、網路頻寬及儲存的資源需求。建立運算執行處理之後,您可以安全地存取、重新啟動、連附和卸離磁碟區,以及在不再需要時將它終止。
- Kubernetes 容器引擎
Oracle Cloud Infrastructure Container Engine for Kubernetes 是一項完全託管、可擴展且高可用性的服務,可用來將容器化應用系統部署到雲端。您可以指定應用系統所需的運算資源,而 Kubernetes 的容器引擎則會在現有租用戶的 Oracle Cloud Infrastructure 上佈建這些資源。Kubernetes 的容器引擎使用 Kubernetes 將跨主機叢集的容器化應用程式部署、擴展及管理自動化。
- 區塊磁碟區
有了區塊儲存磁碟區,您就可以建立、連附、連線與移動儲存磁碟區,以及變更磁碟區效能,以符合儲存、效能及應用程式需求。將磁碟區連附和連線到執行處理之後,您便可以像使用一般硬碟一樣使用該磁碟區。您也可以中斷磁碟區連線,然後將其連附到另一個執行處理,而不會遺失資料。
- 檔案儲存
Oracle Cloud Infrastructure File Storage 服務提供持久、可擴展、安全的企業級網路檔案系統。您可以從 VCN 中的任何裸機、虛擬機器或容器執行處理連線至檔案儲存體服務檔案系統。您也可以使用 Oracle Cloud Infrastructure FastConnect 和 IPSec VPN 從 VCN 外部存取檔案系統。
- 保存庫
Oracle Cloud Infrastructure Vault 可讓您集中管理加密金鑰,保護您的資料和用於保護雲端資源安全存取的機密證明資料。您可以使用保存庫服務建立及管理保存庫、金鑰及加密密碼。
- 通知
Oracle Cloud Infrastructure Notifications 服務會透過發布 / 訂閱模式,將訊息廣播至分散式元件,為 Oracle Cloud Infrastructure 代管的應用系統提供安全、高度可靠、低延遲及持久性訊息。
- 稽核
Oracle Cloud Infrastructure Audit 服務會自動將所有支援 Oracle Cloud Infrastructure 公用應用系統程式設計介面 (API) 端點的呼叫記錄為日誌事件。目前,所有服務都支援由 Oracle Cloud Infrastructure Audit 記錄。
- 原則
Oracle Cloud Infrastructure Identity and Access Management 原則可指定誰可以存取哪些資源,以及存取方式。您會在群組和區間層次授予存取權,這表示您可以撰寫一個原則,讓群組在特定區間或租用戶內具有特定類型的存取權。
內建與部署功能
想要展示您在 Oracle Cloud Infrastructure 上建置的內容嗎?謹慎與我們的雲端架構師全球社群分享您的經驗、最佳實務和參考架構嗎?讓我們幫助您開始。
- 下載樣板 (PPTX)
將圖示拖放至範例線框,以圖解自己的參考架構。
- 觀看架構教學課程
取得如何建立參照架構的逐步指示。
- 送出圖表
請寄電子郵件到您的圖表。我們的雲端架構師將複習圖表,並協助您討論架構。