O Oracle Cloud Guard ajuda os clientes a manter uma boa postura de segurança ao detectar configurações de segurança fracas e atividades que podem indicar riscos de segurança na nuvem.
O Cloud Guard detecta problemas de segurança em uma locação de cliente ingerindo dados de auditoria e configuração sobre recursos em cada região, processando-os com base nas regras do detector e correlacionando os problemas na região do relatório. Os problemas identificados serão usados para produzir painéis e métricas e também podem acionar um ou mais respondentes fornecidos para ajudar a resolver o problema.
Os responders podem mitigar, corrigit e prevenir questões de segurança com base em um problema.
Por padrão, o Cloud Guard está disponível na sua tenancy da Oracle Cloud Infrastructure (OCI) e pode ser acessado na console de segurança da OCI. Veja a seguir os passos para habilitar o Cloud Guard pela primeira vez:
Pré-requisitos: o Cloud Guard não está disponível para tenancies gratuitas da Oracle Cloud Infrastructure. Certifique-se de que sua tenancy está paga antes de prosseguir com a habilitação do Cloud Guard.
Para obter o conjunto completo de outros pré-requisitos, visite https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm
O Cloud Guard para OCI Configuration e OCI Activity são fornecidos gratuitamente para os serviços OCI suportados.
O Cloud Guard é implementado regionalmente e agrega problemas à região de relatório selecionada pelo cliente para fornecer uma visão global.
Todas as regiões comerciais da tenancy serão consideradas como regiões monitoradas. Consulte aqui uma lista das regiões atualmente suportadas: https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm
Não, a região de relatórios não pode ser alterada. A região de relatório pode ser escolhida durante a habilitação do Cloud Guard, uma vez atribuída esta configuração não pode ser alterada mesmo após desabilitar e habilitar o Cloud Guard.
O relatório só pode ser configurado durante a habilitação do Cloud Guard. Portanto, se o cliente precisar alterar a região de relatório existente, ele poderá desativar o Cloud Guard e, durante o processo de reativação, poderá escolher a mesma região de relatório ou uma região de relatório diferente.
Observe que, quando você tenta reativar com uma região de relatório diferente, há um período de espera de aproximadamente 20 minutos, devido à sincronização de recursos que precisa ocorrer entre as regiões.
Sim, o Cloud Guard fornece duas métricas principais: a Pontuação de Risco e a Pontuação de Segurança como parte da página de Visão Geral no Console. A pontuação de segurança é um valor normalizado que varia de 0 a 100 que usa o número, os tipos e a gravidade dos problemas para determinar uma avaliação geral da força da postura de segurança. A Pontuação de Risco complementa a Pontuação de Segurança, avaliando o número total de recursos que estão sendo monitorados, a sensibilidade de cada tipo de recurso e a gravidade de quaisquer problemas relacionados aos recursos para determinar a exposição total ao risco de um tenant. Elas ajudam na avaliação correta de ambientes entre “pequeno, porém inseguro" e “grande, mas geralmente seguro".
O Cloud Guard se alinha ao padrão de benchmark CIS Foundations para a OCI. Espera-se reecursos adicionais de conformidade para pós-GA.
SIEMs e o Cloud Guard são serviços complementares. O Cloud Guard fornece avaliação da postura de segurança e monitoramento da segurança da tenancy da OCI ingerindo dados de auditoria/log e monitorando o estado de configuração dos recursos. Os detectores OOTB são oferecidos e habilitados por padrão no Cloud Guard que ajudam a detectar problemas em seus recursos. Os serviços baseados em SIEM ingerem dados de log de recursos e aplicações e fornecem suporte para mecanismo de pesquisa/análise para realizar investigações forenses e potencialmente identificar novos indicadores de risco ou descoberta de eventos personalizados. Os recursos de correção automatizada do Cloud Guard (também conhecidos como Responders) podem ser configurados e iniciados pelo Cloud Guard, enquanto as ações devem ser definidas como parte da construção de regras para as ferramentas SIEM.
Muitos clientes querem que monitoramento de segurança na nuvem seja integrado aos processos, procedimentos e pessoas existentes. Muitas equipes da InfoSec integrarão os problemas do Cloud Guard com suas ferramentas SIEM internas para vincular os problemas do Cloud Guard aos seus processos internos. Essas integrações podem usar as APIs do Cloud Guard e/ou os serviços OCI Infrastructure existentes, como OCI Events, OCI Notifications e OCI Functions. O Cloud Guard pode ser Events para acionar (por exemplo) o envio de problemas para email, Slack e PagerDuty, bem como para OCI Functions personalizadas. Os clientes também podem usar os Events para OCI Functions para criar respostas ou integração personalizada com base nos casos de uso dos clientes.
O Oracle Cloud Guard Fusion Applications Detector estende o Oracle Cloud Guard além do gerenciamento de postura de segurança na nuvem para OCI para também monitorar as Oracle Fusion Cloud Applications e fornecer aos clientes uma visão consolidada das políticas de segurança. O serviço está disponível primeiro para Oracle Fusion Cloud Human Capital Management (HCM) e Oracle Fusion Cloud Enterprise Resource Planning (ERP). O serviço oferece configurações predefinidas e personalizadas, ou “receitas”, para monitorar possíveis violações de segurança nas aplicações. Os detectores acionam alertas em resposta a alterações de configuração confidenciais relacionadas a privilégios de usuário que afetam o acesso a dados importantes, incluindo adição, exclusão ou modificação de dados e privilégios de função para funções e usuários, bem como alterações em objetos confidenciais.
A receita do Cloud Guard Fusion Applications Activity Detector (gerenciado pela Oracle) é um modelo pronto para uso (OOTB, out-of-the-box) e não pode ser modificado. Os clientes podem clonar e editar suas próprias regras; por exemplo, eles podem modificar um nome, alterar o nível de risco, filtrar um usuário específico para monitorar suas atividades, desabilitar uma regra e assim por diante.
Não. Pelo tempo que o Cloud Guard conseguir alcançar os endpoints de API do pod, está será monitorado pelo Cloud Guard.
Sim. Pelo tempo que o Cloud Guard conseguir alcançar os endpoints de API do pod, este será monitrado pelo Cloud Guard.
Primeiro, os clientes devem optar por habilitar o Cloud Guard dentro de sua tenancy da OCI. Depois que o Cloud Guard é ativado, há um fluxo de registro de destino no Cloud Guard que exige que os clientes forneçam a URL do pod e as credenciais do usuário do serviço que eles criarão antecipadamente na Fusion Application. Depois que o destino é criado e a receita da Fusion Application é anexada, o monitoramento é ativado automaticamente e os problemas de atividade do usuário da Fusion Application acionam os alertas.
Um alvo do Fusion Application no Cloud Guard pode ser associado a uma única instância do Fusion Application. Uma instância da Fusion Application pode hospedar vários serviços de pilar da Fusion Application, como Oracle Fusion Cloud HCM ou ERP, dependendo das preferências de provisionamento e implementação da Fusion Application do cliente. O destino da Fusion Application é configurado no nível de instância da Fusion Application, em oposição ao nível de serviço da Fusion Application. Portanto, embora você não possa ter um destino da Fusion Application monitorando várias instâncias da Fusion Application, é possível ter um único destino da Fusion Application que pode detectar eventos no Oracle Fusion Cloud HCM e ERP habilitado em um único pod da Fusion Application.
Os detectores Cloud Guard para HCM fornecerão receitas OOTB que acionarão alertas em resposta a alterações de configuração confidenciais relacionadas a privilégios de usuário que afetam o acesso a dados confidenciais, como adicionar, excluir ou modificar dados e privilégios de função para funções e usuários. O Cloud Guard também poderá monitorar e detectar atividades relacionadas a informações de identificação pessoal (PII), como nome, endereço, cidadania, deficiência e assim por diante, que podem indicar possíveis problemas relacionados ao manuseio de dados, relatórios ou exfiltração. Em resumo, os detectores do Cloud Guard para HCM cobrirão essencialmente o gerenciamento de funções, provisionamento de funções, gerenciamento de objetos PII e gerenciamento de acesso.
Os clientes podem usar as regras existentes no Cloud Guard ou criar políticas similares usando os modelos do Cloud Guard.
O Cloud Guard não oferece integração direta ao SIEM. Os clientes podem usar eventos e funções da OCI, como serviço de notificação, serviço de função e outros, para integrar o Cloud Guard ao SIEM de terceiros.
É necessário que os clientes tenham uma tenancy paga da OCI para terem acesso ao Cloud Guard, embora não seja necessário consumir nenhum serviço da OCI.