Oracle Cloud Guard ayuda a los clientes a mantener una buena estrategia de seguridad detectando configuraciones de seguridad débiles y actividades que pueden indicar riesgos de seguridad en la nube.
Cloud Guard detecta problemas de seguridad en un arrendamiento de cliente mediante la ingestión de datos de auditoría y la configuración sobre recursos en cada región, el procesamiento basado en reglas de detector y la correlación de los problemas en la región de informe. Los problemas identificados se utilizarán para producir paneles de control y métricas y pueden activar uno o más de los respondedores suministrados para que ayuden a resolver el problema.
Los respondedores pueden mitigar, corregir y evitar problemas de seguridad.
Cloud Guard está disponible por defecto en tu arrendamiento de Oracle Cloud Infrastructure (OCI) y puedes acceder a él desde la consola de seguridad de OCI. Estos son los pasos para activar Cloud Guard por primera vez:
Requisitos previos: Cloud Guard no está disponible para arrendamientos gratuitos de Oracle Cloud Infrastructure. Asegúrate de tener un arrendamiento de pago antes de intentar activar Cloud Guard.
Para conocer el conjunto completo de requisitos, consulta https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm
Cloud Guard se proporcionan de forma gratuita para la configuración y la actividad de OCI en los servicios de OCI soportados.
Cloud Guard se implanta de forma regional y agrega problemas a la región de informes seleccionada por el cliente para proporcionar una vista global.
Todas las regiones comerciales del arrendamiento serán supervisadas. Consulta aquí para obtener una lista de las regiones soportadas actualmente: https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm
No, la región de informe no se puede cambiar. La región de informes se puede seleccionar durante la activación de Cloud Guard. Una vez que se haya asignado esta configuración, no se podrá cambiar ni siquiera al desactivar y activar Cloud Guard.
La elaboración de informes solo se puede activar durante la activación de Cloud Guard. Por lo tanto, si el cliente necesita cambiar la región existente, puede desactivar Cloud Guard y, durante el proceso de reactivación, puede elegir la misma región de informes o una diferente.
Ten en cuenta que cuando intentas volver a activar con una región de informe diferente, hay un periodo de espera de aproximadamente 20 minutos. Esto se debe a la sincronización de recursos que debe producirse entre regiones.
Sí, Cloud Guard proporciona dos métricas clave: la puntuación de riesgo y la puntuación de seguridad como parte de la página Visión general de la consola. La puntuación de seguridad es un valor normalizado que va de 0 a 100 que utiliza el número, los tipos y la gravedad de los problemas para determinar una evaluación general de la intensidad de la estrategia de seguridad. La puntuación de riesgo complementa la puntuación de seguridad mediante la evaluación del número total de recursos que se están supervisando, la sensibilidad de cada tipo de recurso y la gravedad de los problemas en cualquier recurso para determinar la exposición total al riesgo de un inquilino. Se utilizan para ayudar a evaluar los entornos "pequeños pero inseguros" y "grandes pero seguros" correctamente.
Cloud Guard se alinea con el estándar de referencia de Fundamentos de CIS para OCI. Se agregarán funciones de conformidad adicionales una vez que se inicie la fase de disponibilidad general.
Los servicios de gestión de la información y los eventos de seguridad y Cloud Guard son complementarios. Cloud Guard proporciona una evaluación de la estrategia de seguridad y control de seguridad del arrendamiento de OCI mediante la ingestión de datos de log/auditoría y el control del estado de configuración de los recursos. Cloud Guard proporciona detectores de forma predeterminada. Estos detectores están activados por defecto y permiten identificar problemas en tus recursos. Los servicios de gestión de la información y los eventos de seguridad ingieren los datos de log de los recursos y aplicaciones y proporcionan soporte al motor de búsqueda/análisis para realizar investigaciones forenses e identificar potencialmente nuevos indicadores de riesgo o detectar eventos de forma personalizada. Cloud Guard puede configurar y activar las funciones de solución automática de Cloud Guard (también conocidas como "respondedores"), mientras que las acciones se deben definir dentro de la creación de reglas de las herramientas de gestión de la información y los eventos de seguridad.
La mayoría de los clientes desean que el control de seguridad en la nube se integre con procesos, procedimientos y personas existentes. Muchos equipos de seguridad de la información integrarán los problemas de Cloud Guard a sus herramientas internas de gestión de la información y los eventos de seguridad para vincular los problemas de Cloud Guard a sus propios procesos. Estas integraciones pueden utilizar las API de Cloud Guard o los servicios de infraestructura de OCI existentes, como OCI Events, OCI Notifications y OCI Functions. Cloud Guard puede puede vincularse a Events (por ejemplo) para que los problemas se envíen por correo electrónico, Slack y PagerDuty, así como a funciones de OCI personalizadas. Los clientes también pueden utilizar los eventos de OCI Functions para crear integración personalizada o respuestas basadas en los casos de uso de los clientes.
Oracle Cloud Guard Fusion Applications Detector lleva a Oracle Cloud Guard más allá de la gestión de posiciones de seguridad en la nube para OCI para supervisar también Oracle Fusion Cloud Applications y proporcionar a los clientes una vista consolidada de las políticas de seguridad. El servicio está disponible primero para Oracle Fusion Cloud Human Capital Management (HCM) y Oracle Fusion Cloud Enterprise Resource Planning (ERP). El servicio proporciona configuraciones preconfiguradas y personalizadas, o "recetas", para supervisar posibles violaciones de seguridad en las aplicaciones. Los detectores disparan alertas en respuesta a cambios de configuración confidenciales relacionados con privilegios de usuario que afectan al acceso a datos importantes, como agregar, suprimir o modificar privilegios de datos y funciones para roles y usuarios, así como cambios en objetos confidenciales.
La receta de Oracle Cloud Guard Fusion Applications Detector es una plantilla lista para usar (OOTB, out of the box) que no se puede modificar. Los clientes pueden clonar y editar sus propias reglas; por ejemplo, pueden modificar un nombre, cambiar el nivel de riesgo, filtrar un usuario específico para supervisar sus actividades, desactivar una regla, etc.
No. Mientras Cloud Guard pueda acceder a los puntos finales de la API del pod, Cloud Guard puede controlar el pod.
Sí. Mientras Cloud Guard pueda acceder a los puntos finales de la API del pod, Cloud Guard puede controlar el pod.
Los clientes primero deben optar por activar Cloud Guard en su arrendamiento de OCI. Una vez que Cloud Guard está activado, hay un flujo de registro de destino en Cloud Guard que requiere que los clientes proporcionen su URL de pod y las credenciales del usuario de servicio que crearán por adelantado en Fusion Application. Una vez que se ha creado el destino y se ha asociado la receta de Fusion Application, la supervisión se activa automáticamente y los problemas de actividad de usuario de Fusion Application dispararán alertas.
Un destino de Fusion Application en Cloud Guard se puede asociar a una única instancia de Fusion Application. Una instancia de Fusion Application puede alojar varios servicios de pilares de Fusion Application, como Oracle Fusion Cloud HCM o ERP, según las preferencias de implementación y aprovisionamiento de Fusion Application del cliente. El destino de Fusion Application se configura en el nivel de instancia de Fusion Application en lugar del nivel de servicio de Fusion Application. Por lo tanto, aunque no puedes tener un destino de Fusion Application que controle varias instancias de Fusion Application, es posible tener un único destino de Fusion Application que pueda detectar eventos en Oracle Fusion Cloud HCM y ERP activados en un solo pod de Fusion Application.
Los detectores de Cloud Guard para HCM proporcionarán recetas listas para usar que dispararán alertas en respuesta a cambios de configuración confidenciales relacionados con privilegios de usuario que afectan el acceso a datos confidenciales, como agregar, suprimir o modificar privilegios de datos y funciones para roles y usuarios. Cloud Guard también podrá supervisar y detectar actividades relacionadas con la información de identificación personal (PII), como el nombre, la dirección, la ciudadanía, la discapacidad, etc., que podrían indicar cualquier posible problema relacionado con la manipulación, la generación de informes o la extracción de datos. En resumen, los detectores de Cloud Guard para HCM abarcarán esencialmente la gestión de roles, el aprovisionamiento de roles, la gestión de objetos de PII y la gestión de acceso.
Los clientes pueden utilizar las reglas existentes de Cloud Guard o crear políticas similares con las plantillas de Cloud Guard.
Cloud Guard no proporciona una integración SIEM directa. Los clientes pueden utilizar funciones y eventos de OCI, como el servicio de notificaciones, el servicio de funciones y otros, para integrar Cloud Guard con SIEM de terceros.
Los clientes necesitan un arrendamiento de OCI de pago para acceder a Cloud Guard, aunque no necesitan consumir ningún servicio de OCI.