库平格科尔报告高管观点：Oracle Cloud Guard

KuppingerCole报告由迈克小执行视图2021年3月30日le Clo ud警卫P oorly managed s e curity Control in a cloud s ervices tenant's ures ources越来越成为安全事件和合规性失败的原因。CSPM （Cloud S e curity P os ture Manage me nt） 工具提供的功能是补充了这一挑战。本报告回顾了Oracle Cloud G uard这与KuppingerCole的recomme nde d功能非常匹配在甲骨文云下文年代tructure CSPM通过迈克小sm@kuppingercole.com 孔蒂nt1 介绍 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 产品 描述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.1 关键 功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 的优势 和 挑战 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 相关的 研究 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9内容 的 数据 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10版权 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11KuppingerCole执行官视图甲骨文云警卫报告没有。:ev80436第二页11 1介绍duc tio n大多数组织现在都依赖云服务来交付业务关键型应用程序，这已经为应对冠状病毒大流行而增加。这种混合 IT 交付环境为许多人提供了 ris e管理、安全性和合规性方面的挑战。这些挑战是因为云服务没有很好地集成到正常的IT安全流程和技术中组织。CSPM（云安全 P OS 管理）解决方案提供了一种识别和控制的方法其中一些ris ks。随着组织进行数字化转型，他们正在使用IaaS / PaaS云采用DevOps用于创建新应用程序并对其现有应用程序进行现代化改造的服务。这避免了对资本的需求支出以及需要新硬件时涉及的长时间采购延迟。另外一些组织现在正在使用云服务来备份其业务关键型数据。这增加了需要确保云服务的 DevOps 使用负责安全性和合规性。虽然主要的云服务提供商不遗余力地保护其基础设施环境中，由租户来确保他们使用这些服务。这通常超出了DevOps团队或被忽视，这可能导致存在关键漏洞，这些漏洞可能是被网络对手利用。这些漏洞通常包括安全性较差的帐户租户来管理云服务，并为网络对手提供对基于云的资产。通常，正常的治理控制不包括这些云帐户，从而导致过多的权限和休眠凭据。基于云的资产的访问控制通常是配置不正确，允许公共访问业务资源和数据。敏感或受控数据可能会出于测试目的复制甚至与第三方共享。租户可能无法充分利用云服务提供的工具。租户可能不会主动管理并保护正在使用的云资源和资产的完整清单。租户的云中包括网络、操作系统、中间件和应用程序在内的技术堆栈可能因不良而容易受到攻击配置和缺乏最新的补丁。CSPM 解决方案以一致的方式提供应对这些挑战所需的功能。他们帮助识别 IaaS / PaaS 中使用的云内元素及其潜在漏洞。光热发电通过实施安全策略和实施最佳策略来帮助保护这些云中组件练习控制。它们识别与提供警报的策略的偏差，并自动修正问题。本报告介绍 Oracle Cloud Guard，这是一项 OCI（Oracle 云基础设施）服务，可帮助租户在 Oracle 云上监控、识别、实现和维护强大的安全态势。KuppingerCole执行官视图甲骨文云警卫报告没有。:ev80436第3页11 2产品描述Oracle 云卫士是一项 OCI 服务，可帮助租户监控、识别、实现和维护强大的Oracle 云上的安全状况。租户可以使用该服务检查其 OCI 资源与配置及其管理员相关的安全漏洞，用于风险活动。当云卫士检测弱点，它可以识别纠正措施并协助或自动实施这些措施。云卫士通过引入活动和配置来检测客户租户中的安全问题有关每个区域中资源的数据，根据检测器规则对其进行处理，并将问题关联在报告区域。识别的问题将用于生成仪表板和指标，也可能触发一个或多个提供的响应程序以帮助解决问题。Oracle 云卫士与 Oracle 安全区域协同工作，提供始终在线的安全态势。使用安全区域和云防护，租户可以为以下组定义策略合规性要求资源。然后，安全区域和云卫士可以强制执行这些策略以自动更正和记录任何违规行为。图 1：Cloud Guard 流程（经 Oracle 许可转载的图形）目标定义了要检查的云卫士的范围。对于 Oracle 云，客户可以定义多个多个区域的目标，Cloud Guard 聚合所有这些目标以获得整体视图。探测器执行根据其类型和配置检查并识别潜在的安全问题。甲骨文云卫士包括 Oracle 定义的检查，租户可以创建自己的检查或修改提供的检查。如果有的话检查被触发，检测器报告问题。响应程序定义 Cloud Guard 可以执行的操作当检测器发现问题时。可用的操作取决于资源类型和与检测器类似，Oracle 提供的响应可由租户使用或修改。除了缓解问题外，Cloud Guard 还提供了有关整体安全状况的两个关键指标：KuppingerCole执行官视图甲骨文云警卫报告没有。:ev80436第4页11 风险评分和安全评分。安全分数提供对安全状况。风险评分通过提供对总风险的评估来补充安全评分租户的暴露。这些有助于评估什么是“小但不安全”和“大但整体”正确安全”环境。2.1关键功能在KuppingerCole，我们寻找CSPM解决方案中的某些关键功能。该解决方案应支持基于零信任治理的云访问安全方法。以下段落描述了如何Oracle 云基础设施和云卫士提供了这些功能。主要功能包括：强认证-- 云服务由租户通过租户的管理帐户。非法访问这些帐户会带来重大风险，因此至关重要对这些内容的访问受到控制。对具有 OCI 控制台访问权限的所有用户使用多重身份验证是推荐的顺式控制。OCI IAM 支持使用 pas s 字和可生成基于时间的设备进行双因素身份验证一次性密码。可以启用云卫士以检测具有控制台访问权限的帐户，这是未启用并创建要发出警报或修正的问题。此外，还可以启用它以确保 OCI我对密码强度执行政策。高级trator特权-- 在一个大型组织中，可能会有许多 OCI 管理员具有委派职责以允许他们管理资产组的租赁。这些委派的管理员应仅具有执行其任务所需的访问权限。这限制了错误或恶意的行为。OCI IAM可以实施最小特权安全原则来创建服务级别管理员组并将特定的美国 ER 分配给相应的组。这限制了每个管理员的范围和最大限度地减少具有整个租户管理控制的用户数量。云卫士可以启用检测具有过多权限的帐户，并创建问题以发出警报或修正。对象存储安全-- 云对象存储的好处之一是需要广泛处理的数据可以通过互联网轻松访问可用。但是，租户的许多资产都以对象的形式持有存储将包含需要保护以防止未经授权的访问的机密数据。创建存储具有公共访问权限的存储桶是一个常见的安全问题，并且无法加密保存在如果数据泄露，服务可能会导致违反监管义务。OCI 对象存储提供限制对单个存储桶和 Oracle 对象存储的访问的功能存储桶支持使用客户托管密钥进行加密。默认情况下，对象存储桶是使用 Oracle 托管密钥加密。这为租户的数据提供了额外的安全级别。可以使用检测器启用云卫士，这些检测器验证对象存储桶是否使用Oracle 管理的密钥检测器规则，如果配置了对象存储桶，将生成问题KuppingerCole执行官视图甲骨文云警卫报告没有。:ev80436第5页11 没有一个客户管理的关键。虚拟网络配置-- 云服务的本质意味着它是通过外部网络并暴露在互联网上。组织通常在其内部实施严格的控制网络，但云中虚拟网络可能不包含在其进程中。有很多潜力由此产生的风险取决于云服务中托管的应用程序的性质。专业常见风险是未经授权的根/管理员使用 SSH 或 Windows Remote 访问服务器桌面访问。应有严格的控制，以防止未经授权的外部管理和网络对手的云横向移动。应关闭未使用的端口，并且仅关闭 IP 流量的类型相关驻留的应用程序允许的在 OCI VCN（虚拟云网络）中，安全组提供有状态的网络流量过滤和来自 OCI 资源。Oracle 建议限制对端口 22 和 3389 的访问。云卫士可以是配置为在检测到策略冲突时创建警报（问题）。如果其他承租人指定的端口配置为开放。虚拟服务器配置-- 未打补丁或配置不当的云内虚拟服务器可能会造成 RIS K因为它们可能包含可能被网络对手利用的漏洞。组织服务器配置和修补策略也应应用于云中虚拟服务器。目前，Cloud Guard 提供扫描 IaaS 网络配置的功能，以确保规则设置为控制入口和未经授权的横向移动。合规政策-- 组织可能必须遵守各种法规和法律。虽然实施的控制措施可能映射到多项义务，但通常很难制定此交叉合规性映射。显示现成的策略和报告很有帮助租户的云安全状况如何符合 ISO/IEC 27001、NIS T、PCI-DSS、 等标准GDPR, CCPA等等。目前，Cloud Guard Cloud Guard 符合 CIS Foundations 的 OCI 基准标准。预计在 GA 之后将提供其他合规性功能。安全的姿势管理- 解决方案应提供识别和修正的功能云服务配置中的漏洞。CSPM的一个主要关注点以前是SaaS云 然而，IaaS的使用和管理现在变得越来越重要。区域应涵盖包括管理员权限、对资产的过度访问权限和其他有风险的服务配置。Oracle Cloud Guard 有助于确保客户目前对 Oracle 基础设施平台的使用。云卫士正在扩展以解决其他 SaaS 服务，同时增加 IaaS 保护的深度和广度。它可以近乎实时地自动执行云资源的保护和策略实施。Cloud Guard 还可以监控检测到的可疑行为并发出警报，并修复错误配置帮助保持合规地位。KuppingerCole执行官视图甲骨文云警卫报告没有。:ev80436第6页11 3 S混乱关系ngths和挑战云安全操作系统管理是组织确保他们使用云的重要工具以安全合规的方式提供服务。通常情况下，来自未充分利用其租户用于保护服务使用的云服务提供商。OCI为租户提供非常全面的功能，以确保他们对服务的使用。甲骨文云Guard 是一个以 Oracle 技术团队的专业知识和经验为后盾的解决方案。这是一个出色的第一个版本，它补充了 Oracle 安全区域并与其他 OCI 集成提供租户使用 OCI 的安全状况评估的功能。第一个版本涵盖一些开箱即用的重要领域。但是，在许多领域的覆盖范围仍然不足由独立的CSPM解决方案提供。其中包括访问治理的开箱即用覆盖范围元素，例