Oracle Cloud Guard aiuta i clienti a mantenere buoni livelli di sicurezza rilevando configurazioni e attività di sicurezza deboli che possono indicare rischi per la cloud security.
Cloud Guard rileva i problemi di sicurezza all'interno della tenancy del cliente incorporando i dati di audit e configurazione relativi alle risorse in ogni region, elaborandoli in base alle regole del rilevatore e mettendo in correlazione i problemi nella region di report. I problemi identificati verranno utilizzati per produrre dashboard e parametri e potrebbero anche attivare uno o più rispondenti forniti per risolvere il problema.
I rispondenti possono mitigare, correggere e prevenire problemi di sicurezza.
Cloud Guard è disponibile per impostazione predefinita all'interno della tua tenancy Oracle Cloud Infrastructure (OCI) e vi si può accedere dalla console di OCI Security. Ecco i passaggi da seguire per abilitare per la prima volta Cloud Guard:
Prerequisiti: Cloud Guard non è disponibile per le tenancy Oracle Cloud Infrastructure gratuite. Assicurati di avere una tenancy a pagamento prima di cercare di abilitare Cloud Guard.
Per un elenco completo di tutti i prerequisiti, consulta https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm
Cloud Guard per OCI Configuration e OCI Activity viene fornito gratuitamente per i servizi OCI supportati.
Cloud Guard viene implementato a livello regionale e aggrega i problemi alla region di reporting selezionata dal cliente per fornire una visione globale.
Tutte le region commerciali della tenancy verranno monitorate. Consulta qui l'elenco delle region attualmente supportate: https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm
No, la region di reporting non può essere modificata. La region di reporting può essere scelta durante l'abilitazione di Cloud Guard, ma una volta assegnata questa impostazione non può essere modificata anche in caso di disabilitazione e abilitazione di Cloud Guard.
Il reporting può essere abilitato solo durante l'abilitazione di Cloud Guard. Pertanto, se il cliente ha bisogno di modificare la region di reporting esistente, può disabilitare Cloud Guard e durante il processo di riabilitazione, può scegliere la stessa region di reporting o una diversa.
Tieni presente che quando si tenta di riabilitare con una region di reporting diversa, c'è un periodo di attesa di circa 20 minuti. Ciò è dovuto alla sincronizzazione delle risorse che deve avvenire fra tutte le region.
Sì, Cloud Guard fornisce due parametri chiave, Risk Score e Security Score, nella pagina Panoramica della Console. Il Security Score è un valore normalizzato che va da 0 e 100 che utilizza il numero, i tipi e la gravità dei problemi per determinare una valutazione complessiva dell'efficacia della security posture. Il Risk Score completa il Security Score valutando il numero di risorse totali monitorate, la sensibilità di ogni tipo di risorsa e la gravità di eventuali problemi correlati alle risorse per determinare l'esposizione al rischio totale di un tenant. Questi vengono utilizzati per valutare correttamente gli ambienti "piccoli ma non sicuri" e "grandi ma complessivamente sicuri".
Cloud Guard è in linea con lo standard di benchmark CIS Foundations per OCI. Ulteriori funzioni di conformità sono previste dopo GA.
I servizi SIEM e Cloud Guard sono complementari. Cloud Guard fornisce una valutazione della posture e del monitoraggio della sicurezza della tenancy OCI includendo dati di audit/log e monitorando lo stato di configurazione delle risorse. I rilevatori OOTB vengono forniti e abilitati per impostazione predefinita in Cloud Guard e ti aiutano a rilevare i problemi delle tue risorse. I servizi basati su SIEM incorporano i dati di log da risorse e applicazioni e forniscono supporto al motore di ricerca/analytics per eseguire indagini forensi e identificare potenzialmente nuovi indicatori di rischio o scoperte di eventi personalizzati. Le funzioni di correzione automatica di Cloud Guard (dette anche Rispondenti) possono essere configurate e avviate da Cloud Guard, mentre le azioni devono essere definite come parte della creazione di regole per gli strumenti SIEM.
La maggior parte dei clienti vuole che il monitoraggio della sicurezza cloud si integri con processi, procedimenti e persone esistenti. Molti team InfoSec integrano i problemi di Cloud Guard con gli strumenti SIEM interni per associare i problemi di Cloud Guard ai loro processi interni. Queste integrazioni possono utilizzare le API Cloud Guard e/o i servizi di infrastruttura OCI esistenti, ad esempio OCI Events, OCI Notifications e OCI Functions. Cloud Guard può essere Events per l'attivazione (ad esempio) inviando problemi a e-mail, Slack e PagerDuty, così come per la personalizzazione di OCI Functions. I clienti possono anche utilizzare Events e OCI Functions per creare un'integrazione personalizzata o risposte in base ai casi d'uso dei clienti.
Oracle Cloud Guard Fusion Applications Detector estende Oracle Cloud Guard oltre la gestione della security posture del cloud per OCI al fine di monitorare anche le Oracle Fusion Cloud Applications e fornire ai clienti una visione consolidata delle policy di sicurezza. Il servizio è disponibile prima per Oracle Fusion Cloud Human Capital Management (HCM) e Oracle Fusion Cloud Enterprise Resource Planning (ERP). Il servizio offre impostazioni preconfigurate e personalizzate oppure "ricette" per monitorare potenziali violazioni della sicurezza nelle applicazioni. I rilevatori attivano gli avvisi in risposta alle modifiche alle configurazioni sensibili correlate ai privilegi dell'utente che influiscono sull'accesso a dati importanti, incluse l'aggiunta, l'eliminazione o la modifica dei privilegi di dati e funzioni per ruoli e utenti, nonché le modifiche apportate agli oggetti sensibili.
La ricetta di Cloud Guard Fusion Applications Cloud Guard (gestita da Oracle) è un modello pronto all'uso (OOTB, out-of-the-box) e non può essere modificata. I clienti possono duplicare e modificare le proprie regole; ad esempio, possono modificare un nome, cambiare il livello di rischio, filtrare un utente specifico per monitorare le proprie attività, disabilitare una regola e così via.
No. Finché Cloud Guard sarà in grado di raggiungere gli endpoint API del pod, questo potrà essere monitorato.
Sì. Finché Cloud Guard sarà in grado di raggiungere gli endpoint API del pod, questo potrà essere monitorato.
I clienti devono prima eseguire l'opt-in per abilitare Cloud Guard all'interno della loro tenancy OCI. Una volta abilitato Cloud Guard, ci sarà un flusso di registrazione di destinazione in Cloud Guard che chiederà ai clienti di fornire l'URL del loro pod e le credenziali dell'utente del servizio che creeranno all'interno della Fusion Application. Una volta creata la destinazione e allegata la ricetta della Fusion Application, il monitoraggio viene attivato automaticamente e i problemi di attività dell'utente della Fusion Application attiveranno gli avvisi.
Una destinazione Fusion Application in Cloud Guard può essere associata a una sola istanza di Fusion Application. Un'istanza di Fusion Application può ospitare più servizi pillar su Fusion Application, come Oracle Fusion Cloud HCM o ERP, a seconda del provisioning e delle preferenze di implementazione della Fusion Application del cliente. La destinazione della Fusion Application viene configurata a livello di istanza Fusion Application anziché a livello di servizio Fusion Application. Pertanto, sebbene non sia possibile avere una destinazione Fusion Application che monitora più istanze di Fusion Application, puoi avere una destinazione Fusion Application in grado di rilevare gli eventi Oracle Fusion Cloud HCM ed ERP abilitati in un unico pod della Fusion Application.
I rilevatori di Cloud Guard per HCM forniranno ricette OOTB che attiveranno gli avvisi in risposta alle modifiche di configurazioni sensibili correlate ai privilegi dell'utente che influiscono sull'accesso ai dati sensibili, come l'aggiunta, l'eliminazione o la modifica dei privilegi di dati e funzioni per ruoli e utenti. Cloud Guard sarà inoltre in grado di monitorare e rilevare le attività correlate alle informazioni di identificazione personale (PII, Personal Idenfitying Information), quali nome, indirizzo, cittadinanza, disabilità e così via, che potrebbero indicare eventuali problemi relativi alla gestione dei dati, alla generazione di report o all'esfiltrazione. In sintesi, i rilevatori di Cloud Guard per l'HCM copriranno essenzialmente la gestione dei ruoli, il provisioning dei ruoli, la gestione degli oggetti PII e la gestione degli accessi.
I clienti possono utilizzare le regole esistenti in Cloud Guard o creare policy simili utilizzando i modelli di Cloud Guard.
Cloud Guard non fornisce l'integrazione diretta con i SIEM. I clienti possono utilizzare OCI Event e Functions, come il servizio di notifica, il servizio di funzione e altri ancora, per integrare Cloud Guard con un SIEM di terze parti.
I clienti hanno bisogno di una tenancy OCI a pagamento per accedere a Cloud Guard, anche se non sono tenuti a utilizzare alcun servizio OCI.