Cloud Guard 常見問題

常見問題主題

一般問題

什麼是 Oracle Cloud Guard?

Oracle Cloud Guard 透過偵測可能指出雲端安全風險的弱式安全組態和活動,協助客戶維持良好的安全狀態。

Cloud Guard 會偵測客戶租用戶內的安全問題,其做法是擷取每個區域中資源的稽核和組態資料,根據偵測器規則處理資料,然後為報告區域中的問題建立關聯。發現的問題將用來產生儀表板和指標,也可能會觸發一或多個提供的回應程式來協助解決問題。

回應程式可以根據問題來緩解、更正和防止發生安全問題。

如何啟用 Cloud Guard?

Cloud Guard 預設會在您的 Oracle Cloud Infrastructure (OCI) 租用戶內提供使用,並可從 OCI 安全主控台存取。以下是第一次啟用 Cloud Guard 的步驟:

先決條件:免費 Oracle Cloud Infrastructure 租用戶無法使用 Cloud Guard。請確定您具有付費租用戶,再嘗試啟用 Cloud Guard。

如需完整的其他先決條件集,請參閱 https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm

  • 從最上層功能表,前往「安全」->「Cloud Guard」
  • 按一下「啟用 Cloud Guard」
  • 按一下「新增陳述式」,然後按「啟用」,以新增必要的 Oracle Identity and Access Management (IAM) 原則。
  • 您現在應該會看到 Cloud Guard 總覽頁面。
  • 系統會開始收集資料,並在全域評估租用戶的安全組態之後更新頁面內容。

Cloud Guard 的價格為何?

針對支援的 OCI 服務,會免費提供適用於 OCI 組態和 OCI 活動的 Cloud Guard。

Cloud Guard 是區域服務還是全球服務?

Cloud Guard 會在區域實施,並將問題彙總至客戶選取的報告區域,以提供全球觀點。

哪些區域會受到監控?

租用戶的所有商業區域都是受監控的區域。如需目前支援的區域清單,請參閱這裡:https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm

是否可以變更報告區域?

可以。只要先停用 Cloud Guard,再於另一個區域重新啟用 Cloud Guard,即可變更報告區域。變更報告區域後,Cloud Guard 組態和資料不會隨之移動。

只能在啟用 Cloud Guard 時選取報告區域。因此,如果客戶需要變更現有的報告區域,可以先停用 Cloud Guard,然後在重新啟用過程中選擇相同或不同的報告區域。

請注意,當您嘗試重新啟用 Cloud Guard 並選擇不同的報告區域時,由於要在不同區域間同步資源,因此約須等候 20 分鐘。

Cloud Guard 是否會顯示表示我目前安全狀態的任何指標?

是的,Cloud Guard 會在主控台的「總覽」頁面中,提供「風險分數」和「安全分數」這兩個關鍵指標。「安全分數」是範圍從 0 到 100 的標準化值,使用問題的數目、類型和嚴重性來判斷安全狀態的整體評估。「風險分數」會評估要監控的資源總數、每個資源類型的敏感度以及與資源相關之任何問題的嚴重性,以判斷租用戶的總風險承受,藉此補強「安全分數」。這些指標可用來協助正確評估哪些環境「小型但不安全」,哪些環境「大型但整體安全」。

Cloud Guard 目前支援哪種合規標準?

Cloud Guard 符合 OCI 的CIS Foundations Benchmarks 標準。正式推出後預期會有其他合規功能。

Cloud Guard 與其他類似 OCI SIEM 的服務和工具有何差異?

SIEM 與 Cloud Guard 是互補的服務。Cloud Guard 透過擷取稽核/日誌資料及監控資源的組態狀態,提供 OCI 租用戶的安全狀態評估與安全監控。Cloud Guard 中預設會提供並啟用 OOTB 偵測器,以協助偵測資源問題。SIEM 型服務會從資源和應用程式擷取日誌資料,然後提供搜尋/分析引擎的支援以執行鑑識調查,並可能識別新的風險指標或進行自訂事件探索。Cloud Guard 的自動補救功能 (亦稱為回應程式) 可透過 Cloud Guard 進行設定和起始,而動作則應定義為 SIEM 工具之規則建構的一部分。

Cloud Guard 如何與我的 SecOps 和事件回應流程整合?

大多數客戶都希望雲端安全監控能與現有的流程、程序和人員整合。許多 InfoSec 團隊會將 Cloud Guard 問題與其內部 SIEM 工具整合,以將 Cloud Guard 問題與內部流程繫結在一起。這些整合可能會使用 Cloud Guard API 和 (或) 現有的 OCI 基礎架構服務 (例如 OCI Events、OCI Notifications 和 OCI Functions)。Cloud Guard 可以是要觸發的事件,例如傳送問題至電子郵件、Slack 和 PagerDuty,以及自訂 OCI 函數。客戶也可以使用傳送至 OCI 函數的事件,根據客戶的使用案例建立自訂整合或回應。