Met Oracle Cloud Guard kunnen klanten een goede beveiligingsstatus behouden door zwakke beveiligingsconfiguraties en -activiteiten te detecteren die kunnen duiden op risico's voor de cloudbeveiliging.
Cloud Guard detecteert beveiligingsproblemen binnen een klanttenancy door audit- en configuratiedata over resources in elke regio op te nemen, deze te verwerken op basis van detectorregels en de problemen in de rapportageregio te correleren. De geïdentificeerde problemen worden gebruikt om dashboards en metrics te produceren en kunnen ook een of meer opgegeven responders triggeren voor het oplossen van het probleem.
Responders kunnen beveiligingsproblemen beperken, corrigeren en voorkomen op basis van een probleem.
Cloud Guard is standaard beschikbaar in uw Oracle Cloud Infrastructure (OCI) tenancy en is toegankelijk via de OCI Security console. Dit zijn de stappen voor het activeren van Cloud Guard:
Vereisten: Cloud Guard is niet beschikbaar voor gratis Oracle Cloud Infrastructure tenancy's. Zorg ervoor dat u een betaalde tenancy hebt voordat u Cloud Guard probeert te activeren.
Zie https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm voor de volledige set vereisten.
Cloud Guard voor OCI Configuration en OCI Activity is gratis voor ondersteunde OCI-services.
Cloud Guard wordt regionaal geïmplementeerd en aggregeert problemen naar de door de klant geselecteerde rapportageregio om een algemeen overzicht te bieden.
De bewaakte regio's zijn alle commerciële regio's voor de tenancy. Klik hier voor een lijst met regio's die momenteel worden ondersteund: https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm.
Nee, de rapportageregio kan niet worden gewijzigd. U kunt de rapportageregio kiezen tijdens het activeren van Cloud Guard. Zodra deze instelling is toegewezen, kan deze niet meer worden gewijzigd, zelfs niet wanneer u Cloud Guard deactiveert en opnieuw activeert.
De rapportage kan alleen worden geactiveerd tijdens het activeren van Cloud Guard. Als de klant de bestaande rapportageregio wil wijzigen, moet hij Cloud Guard deactiveren. Tijdens het heractiveringsproces kan hij dezelfde of een andere rapportageregio kiezen.
Wanneer u opnieuw probeert te activeren met een andere rapportageregio, is er een wachttijd van ongeveer 20 minuten. De reden hiervoor is dat de resources moeten worden gesynchroniseerd tussen regio's.
Ja, Cloud Guard biedt twee belangrijke metrics op de overzichtspagina van de console: de risicoscore en de beveiligingsscore. De beveiligingsscore is een genormaliseerde waarde variërend van 0-100 waarbij het aantal problemen, het type en de ernst ervan worden gebruikt om een algehele beoordeling te geven van de sterkte van de beveiliging. De risicoscore is een aanvulling op de beveiligingsscore en evalueert het aantal resources dat wordt bewaakt, de gevoeligheid van elk type resource en de ernst van eventuele problemen met betrekking tot de resources om zo de totale risicopositie van een tenant te bepalen. Deze scores worden gebruikt om te beoordelen welke omgevingen veilig of onveilig zijn.
Cloud Guard volgt de benchmarkstandaard van CIS Foundations voor OCI. Na de release worden aanvullende nalevingsvoorzieningen verwacht.
SIEM's en Cloud Guard zijn aanvullende services. Cloud Guard beoordeelt en bewaakt de beveiligingsstatus van een OCI-tenancy door audit- en logdata op te nemen en door de configuratiestatus van resources te bewaken. In Cloud Guard zijn standaard kant-en-klare detectoren geactiveerd die u helpen bij het detecteren van de problemen voor uw resources. SIEM-services verzamelen logdata van resources en applicaties en bieden ondersteuning voor zoek- en analyse-engines om forensisch onderzoek uit te voeren en eventueel nieuwe risico-indicatoren of aangepaste events te identifceren. De automatische correctiefuncties van Cloud Guard (ook wel responders genoemd) kunnen worden geconfigureerd en gestart door Cloud Guard. Acties moeten echter worden gedefinieerd als onderdeel van de regels voor het maken van de SIEM-tools.
De meeste klanten willen de bewaking van de cloudbeveiliging integreren met bestaande processen, procedures en mensen. Veel InfoSec-teams integreren Cloud Guard problemen met hun interne SIEM-tools om ze aan hun interne processen te koppelen. Voor deze integraties kunnen de Cloud Guard API's en/of bestaande OCI-infrastructuurservices zoals OCI Events, OCI Notifications en OCI Functions worden gebruikt. Cloud Guard kan events activeren voor bijvoorbeeld het versturen van problemen naar e-mail, Slack en PagerDuty en naar aangepaste OCI-functies. Klanten kunnen de events ook gebruiken om in OCI Functions aangepaste integratie of reacties te bouwen op basis van hun gebruiksscenario's.
Met Oracle Cloud Guard Fusion Applications Detector wordt Oracle Cloud Guard uitgebreid tot buiten Cloud Security Posture Management voor OCI om ook bewaking te leveren voor Oracle Fusion Cloud Applications en om klanten een geconsolideerd overzicht van beveiligingspolicy's te bieden. De service is in eerste instantie beschikbaar voor Oracle Fusion Cloud Human Capital Management (HCM) en Oracle Fusion Cloud Enterprise Resource Planning (ERP). De service biedt vooraf geconfigureerde en aangepaste configuraties, of 'recepten', voor het bewaken van potentiële beveiligingsovertredingen in de applicaties. Detectoren activeren meldingen als reactie op gevoelige configuratiewijzigingen met betrekking tot gebruikersrechten die gevolgen hebben voor belangrijke datatoegang, zoals het toevoegen, verwijderen of wijzigen van data en functierechten voor rollen en gebruikers, evenals wijzigingen in gevoelige objecten.
Het recept van Cloud Guard Fusion Applications Activity Detector (beheerd door Oracle) is een kant-en-klare sjabloon die niet kan worden gewijzigd. Klanten kunnen hun eigen regels klonen en bewerken. Ze kunnen bijvoorbeeld een naam wijzigen, het risiconiveau aanpassen, een specifieke gebruiker uitfilteren om zijn activiteiten te bewaken, een regel deactiveren, enzovoort.
Nee. Zolang de API-eindpunten van de pod kunnen worden bereikt door Cloud Guard, kan Cloud Guard de pod bewaken.
Ja. Zolang de API-eindpunten van de pod kunnen worden bereikt door Cloud Guard, kan Cloud Guard de pod bewaken.
Klanten moeten zich eerst aanmelden om Cloud Guard te kunnen activeren in hun OCI-tenancy. Zodra Cloud Guard is geactiveerd, is er een doelregistratiestroom binnen Cloud Guard waarvoor klanten hun pod-URL en de referenties van de servicegebruiker moeten opgeven die ze vooraf in Fusion Application moeten maken. Zodra het doel is gemaakt en het recept voor Fusion Application is gekoppeld, wordt de bewaking automatisch ingeschakeld en worden er meldingen geactiveerd bij problemen met gebruikersactiviteiten in Fusion Application.
Aan één Fusion Application instance kan één Fusion Application doel worden gekoppeld in Cloud Guard. Een Fusion Application instance kan meerdere Fusion Application pijlerservices hosten, zoals Oracle Fusion Cloud HCM of ERP, afhankelijk van de initialisatie- en implementatievoorkeuren voor de Fusion Application van de klant. Het Fusion Application doel wordt geconfigureerd op het niveau van de Fusion Application instance en niet op het niveau van de Fusion Application service. Hoewel u geen Fusion Application doel kunt hebben waarmee meerdere Fusion Application instances worden bewaakt, is het wel mogelijk om één Fusion Application doel te hebben waarmee events in Oracle Fusion Cloud HCM en ERP kunnen worden gedetecteerd in één Fusion Application pod.
Cloud Guard detectoren voor HCM bieden kant-en-klare recepten waarmee meldingen worden geactiveerd als reactie op gevoelige configuratiewijzigingen met betrekking tot gebruikersrechten die gevolgen hebben voor belangrijke datatoegang, zoals het toevoegen, verwijderen of wijzigen van data en functierechten voor rollen en gebruikers. U kunt met Cloud Guard ook activiteiten bewaken en detecteren met betrekking tot persoonlijke identificatiegegevens, zoals naam, adres, nationaliteit, handicap, enzovoort, die kunnen duiden op mogelijke problemen met het verwerken, rapporteren of uitfilteren van data. Cloud Guard detectoren voor HCM hebben dus voornamelijk betrekking op het beheren en initialiseren van rollen, het beheren van persoonlijke identificatiegegevens en het beheren van toegang.
Klanten kunnen de bestaande regels in Cloud Guard gebruiken of vergelijkbare policy's maken met behulp van de Cloud Guard sjablonen.
Cloud Guard biedt geen directe SIEM-integratie. Klanten kunnen OCI Events en OCI Functions en de meldingsservice, functieservice en andere services gebruiken om Cloud Guard te integreren met een SIEM van derden.
Klanten hebben een betaalde OCI-tenancy nodig voor toegang tot Cloud Guard, hoewel ze geen OCI-services hoeven te gebruiken.