Oracle Cloud Guard 透過偵測可能指出雲端安全風險的弱式安全組態和活動,協助客戶維持良好的安全狀態。
Cloud Guard 會偵測客戶租用戶內的安全問題,其做法是擷取每個區域中資源的稽核和組態資料,根據偵測器規則處理資料,然後為報告區域中的問題建立關聯。發現的問題將用來產生儀表板和指標,也可能會觸發一或多個提供的回應程式來協助解決問題。
回應程式可以根據問題來緩解、更正和防止發生安全問題。
Cloud Guard 預設會在您的 Oracle Cloud Infrastructure (OCI) 租用戶內提供使用,並可從 OCI 安全主控台存取。以下是第一次啟用 Cloud Guard 的步驟:
先決條件:免費 Oracle Cloud Infrastructure 租用戶無法使用 Cloud Guard。請確定您具有付費租用戶,再嘗試啟用 Cloud Guard。
如需完整的其他先決條件集,請參閱 https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm
針對支援的 OCI 服務,會免費提供適用於 OCI 組態和 OCI 活動的 Cloud Guard。
Cloud Guard 會在區域實施,並將問題彙總至客戶選取的報告區域,以提供全球觀點。
租用戶的所有商業區域都是受監控的區域。如需目前支援的區域清單,請參閱這裡:https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm
否,無法變更報告區域。啟用 Cloud Guard 時,可以選擇報告區域,一旦指定,即使停用再啟用 Cloud Guard,也無法變更此設定。
只能在啟用 Cloud Guard 時啟用報告功能。因此,如果客戶必須變更現有的報告區域,可以停用 Cloud Guard,然後在重新啟用過程中選擇相同或不同的報告區域。
請注意,當您嘗試以不同的報告區域重新啟用時,等候期間大約為 20 分鐘,這是因為需要跨區域同步所致。
是的,Cloud Guard 會在主控台的「總覽」頁面中,提供「風險分數」和「安全分數」這兩個關鍵指標。「安全分數」是範圍從 0 到 100 的標準化值,使用問題的數目、類型和嚴重性來判斷安全狀態的整體評估。「風險分數」會評估要監控的資源總數、每個資源類型的敏感度以及與資源相關之任何問題的嚴重性,以判斷租用戶的總風險承受,藉此補強「安全分數」。這些指標可用來協助正確評估哪些環境「小型但不安全」,哪些環境「大型但整體安全」。
Cloud Guard 符合 OCI 的CIS Foundations Benchmarks 標準。正式推出後預期會有其他合規功能。
SIEM 與 Cloud Guard 是互補的服務。Cloud Guard 透過擷取稽核/日誌資料及監控資源的組態狀態,提供 OCI 租用戶的安全狀態評估與安全監控。Cloud Guard 中預設會提供並啟用 OOTB 偵測器,以協助偵測資源問題。SIEM 型服務會從資源和應用程式擷取日誌資料,然後提供搜尋/分析引擎的支援以執行鑑識調查,並可能識別新的風險指標或進行自訂事件探索。Cloud Guard 的自動補救功能 (亦稱為回應程式) 可透過 Cloud Guard 進行設定和起始,而動作則應定義為 SIEM 工具之規則建構的一部分。
大多數客戶都希望雲端安全監控能與現有的流程、程序和人員整合。許多 InfoSec 團隊會將 Cloud Guard 問題與其內部 SIEM 工具整合,以將 Cloud Guard 問題與內部流程繫結在一起。這些整合可能會使用 Cloud Guard API 和 (或) 現有的 OCI 基礎架構服務 (例如 OCI Events、OCI Notifications 和 OCI Functions)。Cloud Guard 可以是要觸發的事件,例如傳送問題至電子郵件、Slack 和 PagerDuty,以及自訂 OCI 函數。客戶也可以使用傳送至 OCI 函數的事件,根據客戶的使用案例建立自訂整合或回應。
Oracle Cloud Guard Fusion 應用程式偵測器將 Oracle Cloud Guard 擴展到 OCI 的雲端安全狀態管理之外,以便同時監控 Oracle Fusion Cloud 應用程式,並為客戶提供安全原則的合併檢視。該服務最先出現在 Oracle Fusion Cloud 人力資本管理 (HCM) 和 Oracle Fusion Cloud 企業資源規劃 (ERP) 中。該服務提供預先設定的自訂組態 (或「處方」),以監控應用程式中的潛在安全違規。偵測器會觸發警示,以回應與影響機密資料存取之使用者權限相關的機密組態變更,包括新增、刪除或修改角色和使用者的資料和功能權限,以及機密物件的變更。
Cloud Guard Fusion 應用程式活動偵測器處方 (由 Oracle 管理) 是立即可用 (OOTB) 的範本,無法修改。客戶可以複製並編輯自己的規則;例如,他們可以修改名稱、變更風險層級、篩選特定使用者以監控其活動、停用規則等。
否。只要 Cloud Guard 可以連線至 Pod 的 API 端點,Cloud Guard 就能監控 Pod。
有。只要 Cloud Guard 可以連線至 Pod 的 API 端點,Cloud Guard 就能監控 Pod。
客戶必須先選擇加入,才能在 OCI 租用戶內啟用 Cloud Guard。啟用 Cloud Guard 之後,Cloud Guard 內會有一個目標註冊流程,需要客戶提供 Pod URL,以及客戶將在 Fusion 應用程式中事先建立之服務使用者的認證。建立目標並附加 Fusion 應用程式處方之後,便會自動開啟監控功能,而且 Fusion 應用程式使用者活動問題將會觸發警示。
Cloud Guard 中的一個 Fusion 應用程式目標可以與單一 Fusion 應用程式執行個體建立關聯。Fusion 應用程式執行個體可以根據客戶的 Fusion 應用程式佈建和部署偏好設定,代管多個 Fusion 應用程式重要服務 (例如 Oracle Fusion Cloud HCM 或 ERP)。Fusion 應用程式目標是在 Fusion 應用程式執行個體層級設定,而不是 Fusion 應用程式服務層級。因此,雖然您無法透過一個 Fusion 應用程式目標來監控多個 Fusion 應用程式執行個體,但可以透過單一 Fusion 應用程式目標來偵測單一 Fusion 應用程式 Pod 中已啟用 Oracle Fusion Cloud HCM 和 ERP 的事件。
HCM 的 Cloud Guard 偵測器會提供 OOTB 處方,這些處方偵測器會觸發警示,以回應與影響機密資料存取之使用者權限相關的機密組態變更,例如新增、刪除或修改角色和使用者的資料和功能權限。Cloud Guard 也能夠監控及偵測與個人識別資訊 (PII) 相關的活動 (例如名稱、地址、國籍、身心障礙等),這可能表示與資料處理、報告或外流相關的任何潛在問題。概括而言,HCM 的 Cloud Guard 偵測器基本上涵蓋角色管理、角色佈建、PII 物件管理及存取管理。
客戶可以使用 Cloud Guard 中的現有規則,也可以透過 Cloud Guard 範本建立類似的原則。
Cloud Guard 未提供直接 SIEM 整合。客戶可以使用 OCI Events 和 Functions (例如通知服務、函數服務及其他服務),將 Cloud Guard 與第三方 SIEM 整合。
客戶需要付費 OCI 租用戶才能存取 Cloud Guard,但不需要使用任何 OCI 服務。