Cloud Guard FAQ
개요
Oracle Cloud Guard란?
Oracle Cloud Guard는 고객이 클라우드 보안 위험을 나타내는 취약한 보안 구성과 활동을 감지하여 우수한 보안 상태를 유지할 수 있도록 지원합니다.
Cloud Guard는 각 영역의 리소스에 대한 감사 및 구성 데이터를 수집하고, 감지기 규칙을 기반으로 처리하며, 보고 영역의 문제와 상관관계를 통해 고객 테넌시 내에서 보안 문제를 감지합니다. 식별된 문제는 대시보드 및 척도를 생성하는 데 사용되며 제공된 응답기를 하나 이상 트리거하여 문제를 해결할 수도 있습니다.
응답자는 문제를 기반으로 보안 문제를 완화, 수정 및 방지할 수 있습니다.
Cloud Guard를 사용으로 설정하려면 어떻게 해야 합니까?
Cloud Guard는 Oracle Cloud Infrastructure(OCI) 테넌시 내에서 기본 제공되며, OCI Security 콘솔을 통해 이용할 수 있습니다. 처음으로 Cloud Guard를 사용으로 설정하는 단계는 다음과 같습니다.
사전 요구사항: Cloud Guard는 무료 Oracle Cloud Infrastructure 테넌시에 사용할 수 없습니다. Cloud Guard를 사용으로 설정하려고 시도하기 전에 유료 테넌시가 있는지 확인하십시오.
전체 전제 조건을 확인하려면 https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm을 참고하세요.
- 최상위 메뉴에서 Security -> Cloud Guard로 이동합니다.
- Enable Cloud Guard를 누릅니다.
- Add Statements를 눌러 필요한 Oracle Identity and Access Management(IAM) 정책을 추가하고 Enable을 누릅니다.
- 이제 Cloud Guard 개요 페이지가 표시됩니다.
- 테넌시의 보안 구성이 전역적으로 평가될 때 데이터 수집이 시작되고 페이지의 콘텐츠가 업데이트됩니다.
Cloud Guard의 비용은 얼마입니까?
OCI 구성 및 OCI 작업을 위한 Cloud Guard는 지원되는 OCI 서비스에 무료로 제공됩니다.
Cloud Guard는 지역 또는 글로벌 서비스입니까?
Cloud Guard는 지역적으로 구현되며 고객이 선택한 보고 영역에 문제를 집계하여 전역 뷰를 제공합니다.
모니터되는 지역은 어디입니까?
테넌시의 모든 상업 영역이 모니터됩니다. https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm에서 현재 지원되는 리전 목록을 참고하세요.
보고 리전을 변경할 수 있습니까?
기존 리전의 Cloud Guard를 비활성화한 후 다른 리전의 Cloud Guard를 재활성화하는 방식으로 보고 리전을 변경할 수 있습니다. 보고 리전이 변경되더라도 Cloud Guard 구성 및 데이터는 이전되지 않습니다.
보고 리전은 Cloud Guard가 가동 중인 상태에서만 선택 가능합니다. 따라서 고객이 기존의 보고 리전 변경을 원하는 경우, 먼저 Cloud Guard를 비활성화한 뒤, 재가동 프로세스를 진행하는 동안 동일한 또는 다른 보고 리전을 선택할 수 있습니다.
다른 보고 리전을 통해 Cloud Guard를 재가동하는 경우 약 20분 간의 대기 시간이 발생합니다. 이 시간은 리전 간 리소스 동기화 프로세스가 진행되는 데 필요한 시간입니다.
Cloud Guard가 현재 보안 상태를 나타내는 측정지표를 표시합니까?
네. Cloud Guard는 콘솔의 개요 페이지에서 리스크 점수와 보안 점수에 대한 두 가지 주요 측정지표를 제공합니다. 보안 점수는 문제의 수, 유형 및 심각도를 사용하여 보안 상황 강도의 전반적인 평가를 결정하는 0-100 범위의 정규화된 값입니다. 위험 점수는 모니터링되는 총 리소스 수, 각 리소스 유형의 민감도 및 리소스와 관련된 모든 문제의 심각도를 평가하여 테넌트의 총 위험 노출을 결정함으로써 보안 점수를 보완합니다. 이는 '소규모이지만 안전하지 않은' 환경과 '대규모이지만 전반적으로 안전한' 환경을 정확하게 평가하는 데 사용됩니다.
Cloud Guard는 현재 어떤 종류의 규제 표준을 지원합니까?
Cloud Guard는 OCI에 대한 CIS Foundations 벤치마크 표준에 따라 조정됩니다. 추가 규제준수 기능은 상용화(GA) 이후 제공 예정입니다.
Cloud Guard와 다른 OCI SIEM과 유사한 서비스 및 툴의 차이점은 무엇입니까?
SIEM과 Cloud Guard는 보완 서비스입니다. Cloud Guard는 감사/로그 데이터를 수집하고 리소스의 구성 상태를 모니터링하여 OCI 테넌시의 보안 상태 평가 및 보안 모니터링을 제공합니다. OOTB 감지기는 리소스에 대한 문제를 감지하는 데 도움이 되는 Cloud Guard에서 기본적으로 제공 및 사용으로 설정됩니다. SIEM 기반 서비스는 리소스 및 애플리케이션에서 로그 데이터를 수집하고 검색/분석 엔진을 지원하여 포렌식 조사를 수행하고 잠재적으로 위험 또는 사용자정의 이벤트 검색의 새 지표를 식별할 수 있습니다. Cloud Guard의 자동 치료 기능(일명 응답기)은 Cloud Guard로 구성 및 시작할 수 있지만, 작업은 SIEM 도구에 대한 규칙 구성의 일부로 정의되어야 합니다.
Cloud Guard는 SecOps 및 인시던트 응답 프로세스와 어떻게 통합될 수 있습니까?
대부분의 고객은 클라우드 보안 모니터링을 기존 프로세스, 절차 및 사용자와 통합하기를 원합니다. 많은 InfoSec 팀이 Cloud Guard 문제를 내부 SIEM 툴과 통합하여 Cloud Guard 문제를 내부 프로세스와 연결할 것입니다. 이러한 통합에서는 Cloud Guard API 및/또는 OCI 이벤트, OCI 통지 및 OCI 기능과 같은 기존 OCI 기반 구조 서비스를 사용할 수 있습니다. Cloud Guard는 이메일, Slack, PagerDuty 및 커스텀 OCI 함수로 문제를 전송하는 이벤트 트리거로 기능할 수 있습니다. 또한 고객은 Events to OCI Functions를 사용하여 고객의 사용 사례에 기반한 맞춤형 통합 또는 응답을 구축할 수 있습니다.
Oracle Cloud Guard Fusion Applications 감지기
Oracle Cloud Guard Fusion Applications 감지기란 무엇입니까?
Oracle Cloud Guard Fusion Applications 감지기는 Oracle Cloud Guard를 OCI의 클라우드 보안 상태 관리 이상으로 확장하여 Oracle Fusion Cloud 애플리케이션을 모니터링하고 고객에게 보안 정책의 통합된 뷰를 제공합니다. 이 서비스는 먼저 Oracle Fusion Cloud Human Capital Management (HCM) 및 Oracle Fusion Cloud Enterprise Resource Planning (ERP)에 사용할 수 있습니다. 이 서비스는 애플리케이션에서 잠재적인 보안 위반을 모니터링하기 위해 사전 구성되고 커스터마이징된 구성 또는 "레시피"를 제공합니다. 감지기는 사용자 권한과 관련된 민감한 구성 변경에 대한 응답으로 경보를 트리거하여 중요한 데이터 액세스(예: 역할 및 사용자에 대한 데이터 추가, 삭제 또는 수정, 민감한 객체에 대한 변경 등)에 영향을 줍니다.
Cloud Guard Fusion Applications 작업 감지기 레시피(Oracle 관리)는 OOTB(미리 정의된) 템플릿이므로 수정할 수 없습니다. 고객은 자체 규칙을 복제 및 편집할 수 있습니다. 예를 들어 이름을 수정하고, 위험 수준을 변경하고, 특정 사용자를 필터링하여 해당 작업을 모니터링하고, 규칙을 사용 안함으로 설정하는 등의 작업을 수행할 수 있습니다.
Cloud Guard로 모니터하려면 OCI에서 Fusion Application Pod를 실행해야 합니까?
아니요. Cloud Guard가 Pod의 API 엔드포인트에 도달할 수 있는 경우 Cloud Guard는 Pod를 모니터할 수 있습니다.
OCI Classic에서 실행되는 경우 Cloud Guard가 Fusion Application Pod를 모니터할 수 있습니까?
네. Cloud Guard가 Pod의 API 엔드포인트에 도달할 수 있는 경우 Cloud Guard는 Pod를 모니터할 수 있습니다.
Cloud Guard는 기본적으로 Fusion 고객에 대해 사용으로 설정됩니까, 아니면 옵트인해야 합니까?
고객은 OCI 테넌시 내에서 Cloud Guard를 사용으로 설정하려면 먼저 옵트인해야 합니다. Cloud Guard가 사용으로 설정되면 Cloud Guard 내에 대상 등록 플로우가 있습니다. 이 플로우는 고객이 자신의 Pod URL과 Fusion Application 내에서 생성할 서비스 사용자의 인증서를 제공해야 합니다. 대상이 생성되고 Fusion Application 레시피가 연결되면 모니터링이 자동으로 설정되고 Fusion Application 사용자 작업 문제가 경보를 트리거합니다.
단일 Cloud Guard 대상을 통해 여러 Fusion Application 인스턴스를 모니터할 수 있습니까?
Cloud Guard의 하나의 Fusion Application 대상을 단일 Fusion Application 인스턴스와 연관시킬 수 있습니다. Fusion Application 인스턴스는 고객의 Fusion Application 프로비전 및 배치 환경설정에 따라 Oracle Fusion Cloud HCM 또는 ERP와 같은 여러 Fusion Application 핵심 서비스를 호스트할 수 있습니다. Fusion Application 대상은 Fusion Application 서비스 레벨과 반대로 Fusion Application 인스턴스 레벨에서 구성됩니다. 따라서 Fusion Application 대상이 여러 Fusion Application 인스턴스를 모니터링할 수는 없지만 단일 Fusion Application Pod에서 Oracle Fusion Cloud HCM 및 ERP 전체의 이벤트를 감지할 수 있는 단일 Fusion Application 대상이 있을 수 있습니다.
OOTB Fusion Application Detector 레시피에서는 어떤 종류의 모니터링이 사용으로 설정됩니까?
HCM용 Cloud Guard 감지기는 OOTB 레시피를 제공합니다. 이 레시피는 역할 및 사용자에 대한 데이터 추가, 삭제 또는 기능 권한 수정과 같이 민감한 데이터 접근에 영향을 미치는 사용자 권한과 관련된 민감한 구성 변경에 대한 응답으로 경보를 트리거합니다. 또한 Cloud Guard는 이름, 주소, 시민권, 장애 등과 같은 PII(개인 식별 정보)와 관련된 활동을 모니터링하고 감지하여 데이터 처리, 보고 또는 유출과 관련된 잠재적 문제를 나타낼 수 있습니다. 요약하자면 HCM용 Cloud Guard 감지기는 역할 관리, 역할 프로비저닝, PII 객체 관리, 접근 관리를 주로 포함합니다.
고객이 Oracle Cloud Access Security Broker(CASB) 정책을 Cloud Guard로 마이그레이션할 수 있습니까?
고객은 Cloud Guard의 기존 규칙을 사용하거나 Cloud Guard 템플릿을 사용하여 유사한 정책을 생성할 수 있습니다.
고객이 보고된 Fusion 문제를 SIEM(보안 정보 및 이벤트 관리)에서 어떻게 모니터링할 수 있습니까?
Cloud Guard는 직접 SIEM 통합을 제공하지 않습니다. 고객은 통지 서비스, 기능 서비스 등의 OCI 이벤트 및 기능을 사용하여 Cloud Guard를 타사 SIEM과 통합할 수 있습니다.
OCI 서비스가 없는 고객은 Cloud Guard를 구현할 수 있습니까?
고객은 OCI 서비스를 사용할 필요는 없지만 Cloud Guard에 액세스하려면 유료 OCI 테넌시가 필요합니다.