O Oracle Cloud Guard ajuda os clientes a manter uma boa postura de segurança ao detectar configurações de segurança fracas e atividades que podem indicar riscos de segurança na nuvem.
O Cloud Guard detecta problemas de segurança em uma locação de cliente ingerindo dados de auditoria e configuração sobre recursos em cada região, processando-os com base nas regras do detector e correlacionando os problemas na região do relatório. Os problemas identificados serão usados para produzir painéis e métricas e também podem acionar um ou mais respondentes fornecidos para ajudar a resolver o problema.
Os responders podem mitigar, corrigit e prevenir questões de segurança com base em um problema.
Por padrão, o Cloud Guard está disponível na sua tenancy da Oracle Cloud Infrastructure (OCI) e pode ser acessado na console de segurança da OCI. Veja a seguir os passos para habilitar o Cloud Guard pela primeira vez:
Pré-requisitos: o Cloud Guard não está disponível para tenancies gratuitas da Oracle Cloud Infrastructure. Certifique-se de que sua tenancy está paga antes de prosseguir com a habilitação do Cloud Guard.
Para obter o conjunto completo de outros pré-requisitos, visite https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm
O Cloud Guard para OCI Configuration e OCI Activity são fornecidos gratuitamente para os serviços OCI suportados.
O Cloud Guard é implementado regionalmente e agrega problemas à região de relatório selecionada pelo cliente para fornecer uma visão global.
Todas as regiões comerciais da tenancy serão consideradas como regiões monitoradas. Consulte aqui uma lista das regiões atualmente suportadas: https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm
Sim, a região de relatório pode ser alterada desativando o Cloud Guard e ativando novamente o Cloud Guard em outra região. A configuração e os dados do Cloud Guard não serão movidos se a região de relatório for alterada.
A região de relatório só pode ser selecionada durante a habilitação do Cloud Guard. Portanto, se um cliente precisar alterar a região de relatório existente, ele poderá desativar o Cloud Guard e, durante o processo de reativação, poderá escolher a mesma região de relatório ou uma região diferente.
Quando você tenta reativar o Cloud Guard com uma região de relatório diferente, há um período de espera de aproximadamente 20 minutos, devido à sincronização de recursos que precisa ocorrer entre as regiões.
Sim, o Cloud Guard fornece duas métricas principais: a Pontuação de Risco e a Pontuação de Segurança como parte da página de Visão Geral no Console. A pontuação de segurança é um valor normalizado que varia de 0 a 100 que usa o número, os tipos e a gravidade dos problemas para determinar uma avaliação geral da força da postura de segurança. A Pontuação de Risco complementa a Pontuação de Segurança, avaliando o número total de recursos que estão sendo monitorados, a sensibilidade de cada tipo de recurso e a gravidade de quaisquer problemas relacionados aos recursos para determinar a exposição total ao risco de um tenant. Elas ajudam na avaliação correta de ambientes entre “pequeno, porém inseguro" e “grande, mas geralmente seguro".
O Cloud Guard se alinha ao padrão de benchmark CIS Foundations para a OCI. Espera-se reecursos adicionais de conformidade para pós-GA.
SIEMs e o Cloud Guard são serviços complementares. O Cloud Guard fornece avaliação da postura de segurança e monitoramento da segurança da tenancy da OCI ingerindo dados de auditoria/log e monitorando o estado de configuração dos recursos. Os detectores OOTB são oferecidos e habilitados por padrão no Cloud Guard que ajudam a detectar problemas em seus recursos. Os serviços baseados em SIEM ingerem dados de log de recursos e aplicações e fornecem suporte para mecanismo de pesquisa/análise para realizar investigações forenses e potencialmente identificar novos indicadores de risco ou descoberta de eventos personalizados. Os recursos de correção automatizada do Cloud Guard (também conhecidos como Responders) podem ser configurados e iniciados pelo Cloud Guard, enquanto as ações devem ser definidas como parte da construção de regras para as ferramentas SIEM.
Muitos clientes querem que monitoramento de segurança na nuvem seja integrado aos processos, procedimentos e pessoas existentes. Muitas equipes da InfoSec integrarão os problemas do Cloud Guard com suas ferramentas SIEM internas para vincular os problemas do Cloud Guard aos seus processos internos. Essas integrações podem usar as APIs do Cloud Guard e/ou os serviços OCI Infrastructure existentes, como OCI Events, OCI Notifications e OCI Functions. O Cloud Guard pode ser Events para acionar (por exemplo) o envio de problemas para email, Slack e PagerDuty, bem como para OCI Functions personalizadas. Os clientes também podem usar os Events para OCI Functions para criar respostas ou integração personalizada com base nos casos de uso dos clientes.