Oracle 云卫士旨在检测表明云安全风险的薄弱安全配置和活动,从而帮助客户保持良好的安全状况。
Oracle 云卫士通过摄取每个区域的资源审计和配置数据,基于检测器规则对其进行处理,并将报告区域中的问题关联起来,从而检测客户租户中的安全问题。已识别的问题将用于生成仪表盘和度量,并且还可能触发一个或多个提供的响应器来帮助解决问题。
响应器可以根据问题来缓解、更正和预防安全问题。
默认情况下,Oracle 云卫士在您的 Oracle Cloud Infrastructure (OCI) 租户环境下可用,您可以通过 OCI 安全控制台访问。以下是首次启用 Oracle 云卫士的步骤:
先决条件:Oracle 云卫士不适用于免费 Oracle Cloud Infrastructure 租户。在尝试启用 Oracle 云卫士之前,请确保您拥有付费租户。
关于先决条件的完整列表,请参阅 https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm
OCI 配置和 OCI 活动 的 Oracle 云卫士为支持的 OCI 服务免费提供。
Oracle 云卫士在区域内实施,并将问题汇总到客户选择的报告区域以提供全局视图。
租户的所有商业区域都在监视范围内。请点击查看当前支持区域的列表:https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm
不可以,报告区域无法更改。您可以在启用 Oracle 云卫士期间选择报告区域,一旦分配此设置,即使在禁用和启用 Oracle 云卫士时也无法更改。
您只能在启用 Oracle 云卫士期间启用报告区域。因此,如果客户需要更改现有报告区域,他们可以禁用 Oracle 云卫士,并且在重新启用过程中选择相同或不同的报告区域。
请注意,由于需要跨区域进行资源同步,当您尝试使用不同的报告区域重新启用时会有大约 20 分钟的等待时间。
是的,Oracle 云卫士在控制台的“概览”页面中提供两个关键度量,即风险评分和安全评分。安全评分是一个介于 0-100 之间的标准化值,它会根据问题的数量、类型和严重性对安全状况进行整体评估。风险评分是对安全评分的补充,它会通过评估所监视资源的总数量、每种资源类型的敏感性以及资源相关问题的严重性来确定租户的总风险敞口。这些指标可帮助用户正确评估哪些环境“小但不安全”以及哪些环境“大但总体安全”。
Oracle 云卫士符合 OCI 的 CIS 基础基准标准。其他合规特性有望在 GA 之后的版本中提供。
SIEM 和 Oracle 云卫士是补充服务。Oracle 云卫士通过摄取审计/日志数据和监视资源的配置状态,为 OCI 租户提供安全状况评估和安全监控。默认情况下,Oracle 云卫士提供并启用 OOTB 检测器,以帮助检测资源的问题。基于 SIEM 的服务从资源和应用中摄取日志数据,并为搜索/分析引擎提供支持,以执行取证调查并可能识别新的风险指标或自定义事件发现。Oracle 云卫士的自动修复功能(即响应器)可由 Oracle 云卫士配置和启动,而操作应定义为 SIEM 工具的规则构造的一部分。
大多数客户都希望将云安全监视与现有流程、程序和人员集成在一起。许多信息安全团队会将 Oracle 云卫士问题与其内部 SIEM 工具集成,从而将 Oracle 云卫士问题与其内部流程联系起来。这些集成可以使用 Oracle 云卫士 API 和/或现有 OCI 基础结构服务,例如 OCI 事件、OCI 通知和 OCI 函数。Oracle 云卫士可以是触发事件,例如向电子邮件、Slack 和 PagerDuty 以及自定义 OCI 函数发送问题。客户也可以使用事件到 OCI 功能,根据自己的使用场景构建自定义集成或响应。
Oracle 云卫士 Fusion 应用探测器可将 Oracle 云卫士的监视范围扩展到 OCI 云安全状态管理之外,通过监视 Oracle Fusion 云应用提供全面的安全策略视图。该服务首先面向 Oracle Fusion 人力资本管理 (HCM) 云和 Oracle Fusion 企业资源计划 (ERP) 云推出。它提供预定义和自定义配置或“配方”,可监视应用中的潜在安全违规行为。当发生可能影响重要数据访问的,关于用户权限的敏感配置变更(如添加、删除或修改角色和用户的数据和功能权限以及变更敏感对象)时,探测器会触发警报。
Oracle 云卫士 Fusion 应用活动探测器配方 (Oracle 托管) 是一个开箱即用 (OOTB) 的模板,不支持修改。客户可以克隆和编辑自有规则,例如修改名称、更改风险级别、筛选特定用户并监控其活动以及禁用某一规则等等。
不是。只要 Oracle云卫士可以触达某一 Pod 的 API 端点,就可以监视该 Pod。
可以。只要 Oracle 云卫士可以触达某一 Pod 的 API 端点,就可以监视该 Pod。
客户必须先行设置,才能在 OCI 租户中启用 Oracle 云卫士。启用 Oracle 云卫士后,Oracle 云卫士中的目标注册流会要求客户提供 Pod URL 以及服务用户的身份证明(需要客户在 Fusion 应用中预先创建)。创建目标并绑定 Fusion 应用配方后,Oracle 云卫士将自动启用监视并在 Fusion 应用用户活动问题发生后触发警报。
Oracle 云卫士中的一个 Fusion 应用目标可以关联一个 Fusion 应用实例。一个 Fusion 应用实例可以托管多个 Fusion 应用主服务,如 Oracle Fusion HCM 云或 ERP 云 — 具体取决于客户的 Fusion 应用供应和部署首选项。Fusion 应用目标需在 Fusion 应用实例级别进行配置,而不是 Fusion Application 服务级别。因此,虽然无法使用一个 Fusion 应用目标监视多个 Fusion 应用实例,但可以使用一个 Fusion 应用目标检测单个 Fusion 应用 Pod 中的 Oracle Fusion HCM 云和 ERP 云中的事件。
面向 HCM 的 Oracle 云卫士探测器提供 OOTB 配方,当发生会影响敏感数据访问的,关于用户权限的敏感配置变更(如添加、删除或修改角色和用户的数据和功能权限)时,便会触发警报。Oracle 云卫士还能监视和检测姓名、地址、国籍、残疾等与个人身份识别信息 (PII) 相关的活动,发现有关数据处理、报告或泄漏的任何潜在问题。总之,面向 HCM 的 Oracle 云卫士探测器基本覆盖了角色管理、角色设置、PII 对象管理和访问管理。
客户可以使用 Oracle 云卫士中的现有规则或使用 Oracle 云卫士模板创建类似策略。
Oracle 云卫士不支持直接集成 SIEM。客户可以使用通知服务、函数服务等 OCI 事件和函数将 Oracle 云卫士与第三方 SIEM 集成在一起。
客户即使未购买和使用任何 OCI 服务也能访问 Oracle 云卫士,但必须购买 OCI 租户。
注:为免疑义,本网页所用以下术语专指以下含义: