Mit Oracle Cloud Guard können Kunden eine gute Sicherheitslage aufrechterhalten, indem schwache Sicherheitskonfigurationen und Aktivitäten erkannt werden, die auf Cloud-Sicherheitsrisiken hinweisen können.
Cloud Guard erkennt Sicherheitsprobleme innerhalb eines Kundenmandanten, indem es Überwachungs- und Konfigurationsdaten zu Ressourcen in jeder Region aufnimmt, sie basierend auf Detektorregeln verarbeitet und die Probleme in der Berichtsregion korreliert. Identifizierte Probleme werden zum Erstellen von Dashboards und Metriken verwenden, und können auch einen oder mehrere bereitgestellte Responder auslösen, um bei der Lösung des Problems zu helfen.
Responder können Sicherheitsprobleme basierend auf einem Problem mindern, korrigieren und verhindern.
Cloud Guard ist standardmäßig in Ihrem Oracle Cloud Infrastructure (OCI)-Mandanten verfügbar und kann über die OCI-Sicherheitskonsole aufgerufen werden. Nachstehend finden Sie die Schritte zum erstmaligen Aktivieren von Cloud Guard:
Voraussetzungen: Cloud Guard ist für kostenlose Oracle Cloud Infrastructure-Mandanten nicht verfügbar. Stellen Sie vor dem Aktivieren von Cloud Guard sicher, dass Sie über einen kostenpflichtigen Mandanten verfügen.
Alle weiteren Voraussetzungen finden Sie unter https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm
Cloud Guard für OCI-Konfiguration und OCI-Aktivität wird kostenlos für unterstützte OCI-Services bereitgestellt.
Cloud Guard wird regional implementiert und aggregiert Probleme in der vom Kunden ausgewählten Berichtsregion, um eine globale Ansicht bereitzustellen.
Alle kommerziellen Regionen für den Mandanten werden überwachte Regionen. Eine Liste der aktuell unterstützten Regionen finden Sie hier: https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm
Nein, die Berichtsregion kann nicht geändert werden. Die Berichtsregion kann während der Cloud Guard-Aktivierung ausgewählt werden. Nachdem diese Einstellung zugewiesen wurde, kann sie auch bei der Deaktivierung und Aktivierung von Cloud Guard nicht mehr geändert werden.
Das Reporting kann nur während der Aktivierung von Cloud Guard freigeschaltet werden. Wenn der Kunde also die vorhandene Berichtsregion ändern muss, kann er Cloud Guard deaktivieren und während des erneuten Aktivierungsprozesses dieselbe oder eine andere Berichtsregion auswählen.
Bitte beachten Sie, dass beim erneuten Aktivieren mit einer anderen Berichtsregion eine Wartezeit von ca. 20 Minuten auftritt. Dies liegt an der Ressourcensynchronisierung, die regionsübergreifend erfolgen muss.
Ja, Cloud Guard bietet als Teil der Übersichtsseite in der Konsole zwei wichtige Metriken, der Risikoscore und der Sicherheitsscore. Der Sicherheitsscore ist ein normalisierter Wert zwischen 0 und 100, der die Anzahl, Art und Schwere der Probleme verwendet, um eine Gesamtbewertung der Stärke der Sicherheitslage zu ermitteln. Der Risikoscore ergänzt die Sicherheitsscore, indem er die Anzahl der überwachten Gesamtressourcen, die Sensibilität jedes Ressourcentyps und den Schweregrad von Problemen im Zusammenhang mit den Ressourcen bewertet, um das Gesamtrisiko eines Mandanten zu bestimmen. Mit diesen Metriken können Sie besser einschätzen, was „kleine, aber unsichere“ und „große, aber insgesamt sichere“ Umgebungen sein könnten.
Cloud Guard entspricht dem Benchmark-Standard der CIS Foundations für OCI. Zusätzliche Compliance-Funktionen werden nach der allgemeinen Produktverfügbarkeit erwartet.
SIEMs und Cloud Guard sind ergänzende Services. Cloud Guard bietet eine Bewertung der Sicherheitslage und eine Sicherheitsüberwachung von OCI-Mandanten, indem Audit-/Protokolldaten aufgenommen und der Konfigurationsstatus von Ressourcen überwacht werden. OOTB-Detektoren werden standardmäßig in Cloud Guard bereitgestellt und aktiviert, die dabei helfen, die Probleme hinsichtlich Ihrer Ressourcen zu erkennen. SIEM-basierte Services nehmen Protokolldaten von Ressourcen und Anwendungen auf und bieten Unterstützung für Such-/Analyse-Engines, um forensische Untersuchungen durchzuführen und möglicherweise neue Risikoindikatoren oder die Entdeckung benutzerdefinierter Ereignisse zu identifizieren. Die automatisierten Korrekturfunktionen von Cloud Guard (auch bekannt als Responder) können von Cloud Guard konfiguriert und initiiert werden, während Aktionen als Teil des Regelkonstrukts für die SIEM-Tools definiert werden sollten.
Die meisten Kunden möchten, dass die Cloud-Sicherheitsüberwachung in bestehende Prozesse, Verfahren und Personen integriert wird. Viele InfoSec-Teams integrieren Cloud Guard-Probleme in ihre internen SIEM-Tools, um Cloud Guard-Probleme mit ihren internen Prozessen zu verknüpfen. Diese Integrationen können die Cloud Guard-APIs und/oder bestehende OCI-Infrastrukturservices wie OCI Events, OCI Notifications und OCI Functions verwenden. Cloud Guard kann Ereignisse auslösen (z. B.) das Senden von Problemen an E-Mail, Slack und PagerDuty sowie an benutzerdefinierte OCI Functions. Außerdem können Kunden Events in OCI Functions einbinden, um benutzerdefinierte Integrationen oder Antworten basierend auf den Anwendungsfällen der Kunden zu erstellen.
Der Oracle Cloud Guard Fusion Applications Detector erweitert Oracle Cloud Guard über das Cloud-Sicherheitsmanagement für OCI hinaus, um auch Oracle Fusion Cloud-Anwendungen zu überwachen und Kunden eine konsolidierte Ansicht der Sicherheitspolicies zu bieten. Der Service ist zunächst für Oracle Fusion Cloud Human Capital Management (HCM) und Oracle Fusion Cloud Enterprise Resource Planning (ERP) verfügbar. Der Service bietet vorkonfigurierte und angepasste Konfigurationen oder „Rezepte“, um potenzielle Sicherheitsverletzungen in den Anwendungen zu überwachen. Detektoren lösen Alerts als Reaktion auf sensible Konfigurationsänderungen im Zusammenhang mit Benutzerberechtigungen aus, die den Zugriff auf wichtige Daten beeinflussen, einschließlich des Hinzufügens, Löschens oder Änderns von Daten und Funktionsberechtigungen für Rollen und Benutzer sowie Änderungen an sensiblen Objekten.
Das Cloud Guard Fusion Applications Activity Detector-Rezept (von Oracle verwaltet) ist eine Out-of-the-box-(OOTB-)Vorlage und kann nicht verändert werden. Kunden können ihre eigenen Regeln klonen und bearbeiten. Beispielsweise können sie einen Namen ändern, die Risikostufe ändern, einen bestimmten Benutzer herausfiltern, um ihre Aktivitäten zu überwachen, eine Regel deaktivieren usw.
Nein. Solange Cloud Guard die API-Endpunkte des Pods erreichen kann, kann Cloud Guard den Pod auch überwachen.
Ja. Solange Cloud Guard die API-Endpunkte des Pods erreichen kann, kann Cloud Guard den Pod auch überwachen.
Kunden müssen sich im Rahmen ihrer OCI-Nutzung zunächst aktiv für Cloud Guard entscheiden. Sobald Cloud Guard aktiviert ist, gibt es in Cloud Guard einen Zielregistrierungsablauf, bei dem Kunden ihre Pod-URL und die Zugangsdaten des Servicebenutzers angeben müssen, den sie in der Fusion-Anwendung im Vorhinein erstellt haben werden. Nachdem das Ziel erstellt und das Fusion Application-Rezept angehängt wurde, wird die Überwachung automatisch aktiviert und Benutzeraktivitätsprobleme in der Fusion-Anwendung lösen Alerts aus.
Ein Fusion Application-Ziel in Cloud Guard kann mit einer einzigen Fusion Application-Instanz verknüpft werden. Eine Fusion Application-Instanz kann mehrere Fusion Application Pillar-Services wie Oracle Fusion Cloud HCM oder ERP hosten, je nach den Voreinstellungen für das Provisioning und Deployment von Fusion-Anwendungen des Kunden. Das Fusion Application-Ziel wird auf der Ebene der Fusion Application-Instanz und nicht auf der Ebene des Fusion Application-Service konfiguriert. Daher ist es zwar nicht möglich, dass ein Fusion Application-Ziel mehrere Fusion Application-Instanzen überwacht, doch Sie können ein einzelnes Fusion Application-Ziel verwenden, das Ereignisse über Oracle Fusion Cloud HCM und ERP hinweg in einem einzelnen Fusion Application Pod erkennt.
Cloud Guard-Detektoren für HCM stellen OOTB-Rezepte bereit, die Alerts als Reaktion auf sensible Konfigurationsänderungen im Zusammenhang mit Benutzerberechtigungen auslösen, die sich auf den Zugriff auf sensible Daten auswirken, wie das Hinzufügen, Löschen oder Ändern von Daten und Funktionsberechtigungen für Rollen und Benutzer. Cloud Guard kann außerdem Aktivitäten im Zusammenhang mit personenbezogenen Daten (PII), z. B. Name, Adresse, Staatsangehörigkeit, Behinderung usw., überwachen und aufdecken, die auf potenzielle Probleme im Zusammenhang mit der Datenverarbeitung, Berichterstellung oder Exfiltration hinweisen können. Zusammenfassend lässt sich sagen, dass Cloud Guard-Detektoren für HCM im Wesentlichen Rollenverwaltung, Rollen-Provisioning, PII-Objektverwaltung und Zugriffsverwaltung umfassen.
Kunden können die vorhandenen Regeln in Cloud Guard verwenden oder ähnliche Policies mit den Cloud Guard-Vorlagen erstellen.
Cloud Guard bietet keine direkte SIEM-Integration. Kunden können OCI-Ereignisse und -Funktionen wie den Benachrichtigungsservice, den Funktionsservice und andere nutzen, um Cloud Guard mit SIEM von Drittanbietern zu integrieren.
Kunden benötigen ein kostenpflichtiges OCI-Nutzungsmodell für den Zugriff auf Cloud Guard, wobei sie OCI-Services nicht zwingend nutzen müssen.