Oracle 云基础设施 (OCI) 漏洞扫描服务可通过评估和监视云主机来消除未修补的新漏洞和开放端口带来的风险。利用该服务,开发团队能够信心十足地在安装了最新安全补丁的主机上开发代码,确保顺利构建生产代码。而将其与 Oracle 云卫士结合,运营团队可以获得关于所有主机的统一视图,进而快速修补漏洞扫描服务发现的任何开放端口或不安全的包。
OCI 漏洞扫描服务可以扫描基于 OCI 基本计算映像创建的虚拟机 (VM) 和裸金属 (BM)。此外,Oracle 还在 Oracle 云卫士中提供了检测器,支持客户对查找结果进行微调,确定使用 Oracle 云卫士来处理哪些问题。
OCI 漏洞扫描服务在 OCI 租户环境下可用,您可以通过 OCI 安全控制台访问。首次启用 OCI 漏洞扫描服务的步骤如下:
OCI 漏洞扫描服务可监视计算实例的开放端口和其他潜在漏洞,例如易受攻击的 OS 包、缺失的 CIS 基准以及已就位和运行中的端点保护。
每天或每周对目标中定义的资源进行扫描 — 详见目标配置。
Oracle 免费向所有付费客户提供 OCI 漏洞扫描服务。客户可以在 OCI 中查看扫描结果,也可以与可选的第三方扫描服务提供商集成,在第三方平台中查看扫描结果。
OCI 漏洞扫描服务是一项区域服务,但扫描结果会转发至全球 Oracle 云卫士报告区域。这意味着客户可以查看本地区域中的扫描报告,其他人可以在集中式全球 Oracle 云卫士报告视图中,查看所有区域的扫描结果。
OCI 漏洞扫描服务会监视租户的所有商用区域。有关受支持区域的最新列表,请参阅区域和可用性域。
请确保在配置 OCI 漏洞扫描服务时正确选择区域和区间。然后,请确保目标区间指向主机所在区间。最后,请检查 OCI 漏洞扫描服务当前是否支持主机上的 OS,包括 Oracle Linux、CentOS、Ubuntu 和 Windows Server。
如果未启用主机代理,OCI 漏洞扫描服务仍然会扫描所有公共 IP 并报告前 1000 个或 100 个最常见的端口以及这些端口的典型使用方式。
请确保在配置 OCI 漏洞扫描服务时正确选择区域和区间。然后,请确保目标区间指向主机所在区间。最后,请检查 OCI 漏洞扫描服务当前是否支持主机上的 OS,包括 Oracle Linux、CentOS、Ubuntu 和 Windows Server。
当文件系统中存在较早的内核文件时,可能会发生这种情况。Oracle 漏洞扫描服务会查找这些实例上的所有内容,检测这些较早的内核;会将这些信息与较早的 CVE 进行匹配。如果您希望忽略这些 CVE,请删除旧内核文件。Oracle 自治 Linux 会及时获取系统补丁,同时 OSMS 将提供最新补丁供您安装,确保您的实例始终处于最新状态。
有关 OCI 漏洞扫描服务的更多信息,请查看公告。