Häufig gestellte Fragen (FAQ) zu Cloud Guard

Häufig gestellte Fragen – Themen

Allgemeines

Was ist Oracle Cloud Guard?

Mit Oracle Cloud Guard können Kunden eine gute Sicherheitslage aufrechterhalten, indem schwache Sicherheitskonfigurationen und Aktivitäten erkannt werden, die auf Cloud-Sicherheitsrisiken hinweisen können.

Cloud Guard erkennt Sicherheitsprobleme innerhalb eines Kundenmandanten, indem es Überwachungs- und Konfigurationsdaten zu Ressourcen in jeder Region aufnimmt, sie basierend auf Detektorregeln verarbeitet und die Probleme in der Berichtsregion korreliert. Identifizierte Probleme werden zum Erstellen von Dashboards und Metriken verwenden, und können auch einen oder mehrere bereitgestellte Responder auslösen, um bei der Lösung des Problems zu helfen.

Responder können Sicherheitsprobleme basierend auf einem Problem mindern, korrigieren und verhindern.

Wie aktiviere ich Cloud Guard?

Cloud Guard ist standardmäßig in Ihrem Oracle Cloud Infrastructure (OCI)-Mandanten verfügbar und kann über die OCI-Sicherheitskonsole aufgerufen werden. Nachstehend finden Sie die Schritte zum erstmaligen Aktivieren von Cloud Guard:

Voraussetzungen: Cloud Guard ist für kostenlose Oracle Cloud Infrastructure-Mandanten nicht verfügbar. Stellen Sie vor dem Aktivieren von Cloud Guard sicher, dass Sie über einen kostenpflichtigen Mandanten verfügen.

Alle weiteren Voraussetzungen finden Sie unter https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm

  • Gehen Sie im Menü der obersten Ebene zu Security -> Cloud Guard (Sicherheit -> Cloud Guard)
  • Klicken Sie auf „Enable Cloud Guard“ (Cloud Guard aktivieren)
  • Fügen Sie die erforderlichen Oracle Identity and Access Management (IAM)-Policys hinzu, indem Sie auf „Add Statements“ (Anweisungen hinzufügen) und anschließend auf „Enable“ (Aktivieren) klicken.
  • Sie sollten nun die Übersichtsseite von Cloud Guard sehen.
  • Die Datenerfassung beginnt und aktualisiert den Inhalt der Seite, wenn die Sicherheitskonfiguration des Mandanten global bewertet wird.

Wie viel kostet Cloud Guard?

Cloud Guard für OCI-Konfiguration und OCI-Aktivität wird kostenlos für unterstützte OCI-Services bereitgestellt.

Ist Cloud Guard ein regionaler oder globaler Service?

Cloud Guard wird regional implementiert und aggregiert Probleme in der vom Kunden ausgewählten Berichtsregion, um eine globale Ansicht bereitzustellen.

Welche Regionen werden überwacht?

Alle kommerziellen Regionen für den Mandanten werden überwachte Regionen. Eine Liste der aktuell unterstützten Regionen finden Sie hier: https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm

Kann ich die Berichtsregion ändern?

Ja, die Berichtsregion kann geändert werden, indem Cloud Guard deaktiviert und Cloud Guard in einer anderen Region erneut aktiviert wird. Beim Ändern der Berichtsregion werden die Cloud Guard-Konfiguration und -Daten nicht verschoben.

Die Berichtsregion kann nur während der Cloud Guard-Aktivierung ausgewählt werden. Wenn der Kunde also die vorhandene Berichtsregion ändern muss, kann er Cloud Guard deaktivieren und während des erneuten Aktivierungsprozesses dieselbe oder eine andere Berichtsregion auswählen.

Bitte beachten Sie, dass beim erneuten Aktivieren von Cloud Guard mit einer anderen Berichtsregion eine Wartezeit von ca. 20 Minuten auftritt. Dies liegt an der Ressourcensynchronisierung, die regionsübergreifend erfolgen muss.

Zeigt Cloud Guard Metriken an, die auf meine aktuelle Sicherheitslage hinweisen?

Ja, Cloud Guard bietet als Teil der Übersichtsseite in der Konsole zwei wichtige Metriken, der Risikoscore und der Sicherheitsscore. Der Sicherheitsscore ist ein normalisierter Wert zwischen 0 und 100, der die Anzahl, Art und Schwere der Probleme verwendet, um eine Gesamtbewertung der Stärke der Sicherheitslage zu ermitteln. Der Risikoscore ergänzt die Sicherheitsscore, indem er die Anzahl der überwachten Gesamtressourcen, die Sensibilität jedes Ressourcentyps und den Schweregrad von Problemen im Zusammenhang mit den Ressourcen bewertet, um das Gesamtrisiko eines Mandanten zu bestimmen. Mit diesen Metriken können Sie besser einschätzen, was „kleine, aber unsichere“ und „große, aber insgesamt sichere“ Umgebungen sein könnten.

Welche Art von Compliance-Standards werden derzeit von Cloud Guard unterstützt?

Cloud Guard entspricht dem Benchmark-Standard der CIS Foundations für OCI. Zusätzliche Compliance-Funktionen werden nach der allgemeinen Produktverfügbarkeit erwartet.

Was ist der Unterschied zwischen Cloud Guard und anderen OCI SIEM-ähnlichen Services und Tools?

SIEMs und Cloud Guard sind ergänzende Services. Cloud Guard bietet eine Bewertung der Sicherheitslage und eine Sicherheitsüberwachung von OCI-Mandanten, indem Audit-/Protokolldaten aufgenommen und der Konfigurationsstatus von Ressourcen überwacht werden. OOTB-Detektoren werden standardmäßig in Cloud Guard bereitgestellt und aktiviert, die dabei helfen, die Probleme hinsichtlich Ihrer Ressourcen zu erkennen. SIEM-basierte Services nehmen Protokolldaten von Ressourcen und Anwendungen auf und bieten Unterstützung für Such-/Analyse-Engines, um forensische Untersuchungen durchzuführen und möglicherweise neue Risikoindikatoren oder die Entdeckung benutzerdefinierter Ereignisse zu identifizieren. Die automatisierten Korrekturfunktionen von Cloud Guard (auch bekannt als Responder) können von Cloud Guard konfiguriert und initiiert werden, während Aktionen als Teil des Regelkonstrukts für die SIEM-Tools definiert werden sollten.

Wie kann Cloud Guard in meine SecOps- und Vorgangsrückmeldungsprozesse integriert werden?

Die meisten Kunden möchten, dass die Cloud-Sicherheitsüberwachung in bestehende Prozesse, Verfahren und Personen integriert wird. Viele InfoSec-Teams integrieren Cloud Guard-Probleme in ihre internen SIEM-Tools, um Cloud Guard-Probleme mit ihren internen Prozessen zu verknüpfen. Diese Integrationen können die Cloud Guard-APIs und/oder bestehende OCI-Infrastrukturservices wie OCI Events, OCI Notifications und OCI Functions verwenden. Cloud Guard kann Ereignisse auslösen (z. B.) das Senden von Problemen an E-Mail, Slack und PagerDuty sowie an benutzerdefinierte OCI Functions. Außerdem können Kunden Events in OCI Functions einbinden, um benutzerdefinierte Integrationen oder Antworten basierend auf den Anwendungsfällen der Kunden zu erstellen.