Oracle Cloud Guard aiuta i clienti a mantenere buoni livelli di sicurezza rilevando configurazioni e attività di sicurezza deboli che possono indicare rischi per la cloud security.
Cloud Guard rileva i problemi di sicurezza all'interno della tenancy del cliente incorporando i dati di audit e configurazione relativi alle risorse in ogni region, elaborandoli in base alle regole del rilevatore e mettendo in correlazione i problemi nella region di report. I problemi identificati verranno utilizzati per produrre dashboard e parametri e potrebbero anche attivare uno o più rispondenti forniti per risolvere il problema.
I rispondenti possono mitigare, correggere e prevenire problemi di sicurezza.
Cloud Guard è disponibile per impostazione predefinita all'interno della tua tenancy Oracle Cloud Infrastructure (OCI) e vi si può accedere dalla console di OCI Security. Ecco i passaggi da seguire per abilitare per la prima volta Cloud Guard:
Prerequisiti: Cloud Guard non è disponibile per le tenancy Oracle Cloud Infrastructure gratuite. Assicurati di avere una tenancy a pagamento prima di cercare di abilitare Cloud Guard.
Per un elenco completo di tutti i prerequisiti, consulta https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm
Cloud Guard per OCI Configuration e OCI Activity viene fornito gratuitamente per i servizi OCI supportati.
Cloud Guard viene implementato a livello regionale e aggrega i problemi alla region di reporting selezionata dal cliente per fornire una visione globale.
Tutte le region commerciali della tenancy verranno monitorate. Consulta qui l'elenco delle region attualmente supportate: https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm
Sì, è possibile modificare l'area di reporting disabilitando Cloud Guard e riabilitando Cloud Guard in un'altra area. La configurazione e i dati di Cloud Guard non verranno spostati se l'area di reporting viene modificata.
L'area di reporting può essere selezionata solo durante l'abilitazione di Cloud Guard. Pertanto, se un cliente ha bisogno di modificare la regione di reporting esistente, può disabilitare Cloud Guard e, durante il processo di riabilitazione, può scegliere la stessa regione di reporting o una regione diversa.
Tieni presente che quando si tenta di riabilitare Cloud Guard con un'area di reporting diversa, c'è un periodo di attesa di circa 20 minuti. Ciò è dovuto alla sincronizzazione delle risorse che deve avvenire fra tutte le regioni.
Sì, Cloud Guard fornisce due parametri chiave, Risk Score e Security Score, nella pagina Panoramica della Console. Il Security Score è un valore normalizzato che va da 0 e 100 che utilizza il numero, i tipi e la gravità dei problemi per determinare una valutazione complessiva dell'efficacia della security posture. Il Risk Score completa il Security Score valutando il numero di risorse totali monitorate, la sensibilità di ogni tipo di risorsa e la gravità di eventuali problemi correlati alle risorse per determinare l'esposizione al rischio totale di un tenant. Questi vengono utilizzati per valutare correttamente gli ambienti "piccoli ma non sicuri" e "grandi ma complessivamente sicuri".
Cloud Guard è in linea con lo standard di benchmark CIS Foundations per OCI. Ulteriori funzioni di conformità sono previste dopo GA.
I servizi SIEM e Cloud Guard sono complementari. Cloud Guard fornisce una valutazione della posture e del monitoraggio della sicurezza della tenancy OCI includendo dati di audit/log e monitorando lo stato di configurazione delle risorse. I rilevatori OOTB vengono forniti e abilitati per impostazione predefinita in Cloud Guard e ti aiutano a rilevare i problemi delle tue risorse. I servizi basati su SIEM incorporano i dati di log da risorse e applicazioni e forniscono supporto al motore di ricerca/analytics per eseguire indagini forensi e identificare potenzialmente nuovi indicatori di rischio o scoperte di eventi personalizzati. Le funzioni di correzione automatica di Cloud Guard (dette anche Rispondenti) possono essere configurate e avviate da Cloud Guard, mentre le azioni devono essere definite come parte della creazione di regole per gli strumenti SIEM.
La maggior parte dei clienti vuole che il monitoraggio della sicurezza cloud si integri con processi, procedimenti e persone esistenti. Molti team InfoSec integrano i problemi di Cloud Guard con gli strumenti SIEM interni per associare i problemi di Cloud Guard ai loro processi interni. Queste integrazioni possono utilizzare le API Cloud Guard e/o i servizi di infrastruttura OCI esistenti, ad esempio OCI Events, OCI Notifications e OCI Functions. Cloud Guard può essere Events per l'attivazione (ad esempio) inviando problemi a e-mail, Slack e PagerDuty, così come per la personalizzazione di OCI Functions. I clienti possono anche utilizzare Events e OCI Functions per creare un'integrazione personalizzata o risposte in base ai casi d'uso dei clienti.