Článek přečtěte do 4 min.

Když poprvé začnete používat nový nájem Oracle Cloud Infrastructure (OCI), většina organizací stráví nějaký čas architekturou, návrhem a zabezpečením, než je použije. Mnoho organizací se řídí doporučeními společnosti Oracle a jako výchozí bod používá přistávací zónu. Po nasazení pracovních zátěží na OCI je však důležité často ověřovat stav zabezpečení daného pronájmu OCI.

Pro ověření stavu zabezpečení v ideálním případě potřebujete dobrý referenční rámec, který vám řekne, jakými pokyny pro konfiguraci se řídit, aby byl váš pronájem bezpečný. Centrum pro internetovou bezpečnost (CIS) je nezávislá organizace, která vytváří srovnávací testy CIS, které pomáhají chránit před kybernetickými hrozbami. V rámci těchto benchmarků publikují Oracle Cloud Infrastructure Foundations BenchmarkOracle Linux BenchmarksOracle Database Benchmarks a mnoho dalších, které jsou všechny dostupné zdarma.

CIS OCI Foundations Benchmark  Srovnávací test CIS Oracle Database 19c  CIS Oracle Linux 9 Benchmark

Velmi užitečné cvičení, které je třeba pravidelně provádět, je porovnat stav vaší bezpečnostní pozice s jejich konfiguračními pokyny. Tyto benchmarky obsahují mnoho podrobných doporučení, včetně toho, jak to zkontrolovat, a co je důležitější, jak upravit své konfigurace, aby byly v souladu.

Jak to lze snadno provést?

K dispozici jsou různé nástroje, které vám pomohou provést kontrolu podle pokynů pro konfiguraci CIS, viz tento omezený výběr:

  • Oracle poskytuje nástroj DBSAT pro databáze Oracle, který poskytuje prioritní doporučení, jak zmírnit identifikovaná bezpečnostní rizika.
  • Oracle Cloud Infrastructure nabízí Cloud Guard, který lze použít k detekci hrozeb, nesprávných konfigurací a sledování nezabezpečených aktivit. Také porovná váš nájem s výběrem doporučení CIS Benchmark pro OCI (a pro Oracle Linux při použití Vulnerability Scanning Service a/nebo Instance Security). Cloud Guard má také výhodu automatické nápravy problémů s receptem respondéru v závislosti na tom, jaké problémy byly zjištěny.
  • OCI Security Health Check, na kterém Oracle spolupracoval s CIS, vytváří automatizovaný způsob rychlého ověření OCI pronájmu v souladu s CIS OCI Foundations Benchmark.

Protože již existuje několik blogů Oracle o DBSAT (např. Announcing DBSAT 3.1DBSAT s Oracle Enterprise Manager) a Cloud Guard (např. Ostraha infrastruktury pomocí Oracle Cloud GuardObjevování a náprava slabého stavu zabezpečení cloudu pomocí Oracle Cloud Guard), zaměříme se ve zbývající části tohoto článku na kontrolu stavu zabezpečení OCI.

Kontrola stavu zabezpečení OCI

Kontrola stavu zabezpečení OCI je volně dostupný skript pythonu, který lze stáhnout a spustit buď lokálně, nebo z prostředí OCI Cloud Shell. Funguje ve všech oblastech veřejného cloudu a vyhrazených oblastech, jen se ujistěte, že vaše oprávnění Cloud Shell umožňují přístup k internetu. Během několika minut vytvoří zprávu, která obsahuje souhrnné i podrobné výsledky.

Nejdůležitější rozdíl oproti Cloud Guard je v tom, že tento skript provádí úplné a přesné srovnání se všemi doporučeními z CIS OCI Foundations Benchmark, takže jej lze snadno použít jako důkaz pro vaše procesy dodržování předpisů. Cloud Guard provádí částečnou kontrolu podle doporučení CIS OCI Foundations Benchmark a v současné době pokrývá pouze výchozí doménu identity pro kontroly související s IAM. Důrazně se však doporučuje mít ve svém pronájmu povolenou službu Cloud Guard (toto také doporučuje CIS), protože kontroluje mnoho dalších bezpečnostních hrozeb, které nejsou součástí CIS OCI Foundations Benchmark.

Skript OCI Security Health Check pouze čte rozhraní API řídicí roviny OCI, aby našel výsledky. Nemá to žádný dopad na žádné zdroje ve vašem pronájmu, protože se nepřipojuje k výpočetním instancím, databázím atd.

Chcete-li spustit kontrolu stavu zabezpečení OCI, můžete postupovat podle pokynů zdokumentovaných na stránce GitHub a shrnutých níže:

  1. Přihlaste se do konzole OCI a spusťte Cloud Shell.
  2. Stáhněte si zip z GitHubu do Cloud Shell a volitelně ověřte jeho kontrolní součet.
  3. Rozbalte skript a spusťte jej.
  4. Po několika minutách se vytvoří nový soubor zip, který obsahuje zprávu.
  5. Stáhněte si soubor zip sestavy z Cloud Shell na plochu a rozbalte jej.

Přijměte opatření podle výsledků

Soubor zip sestavy obsahuje složku s názvem vašeho pronájmu a časovým razítkem a v této složce je několik souborů. Doporučeným výchozím bodem je otevření zprávy o shodě, která se jmenuje:
<název pronájmu>_<časové razítko>_standard_cis_html_summary_report.html

Příklad zprávy o kontrole stavu zabezpečení CIS OCI
Příklad zprávy o kontrole stavu zabezpečení CIS OCI

Tato zpráva o shodě je velmi užitečná pro získání přehledu o stavu vašeho nájmu, procházení vyhovujících a nevyhovujících zjištění a pro čtení podrobností o doporučeních.

Dalším souborem, který je ve složce zip sestavy, je dokument Excel s konsolidovanými zjištěními s názvem:
<název pronájmu>_<časové razítko>_standard_Consolidated_Report.xlsx

Tento excelový soubor obsahuje strukturovaný seznam všech nálezů a pro všechny nevyhovující konfigurace má listy s podrobnostmi o příslušných zdrojích OCI, např. OCID a jménech uživatelů, zásadách, instancích, databázích atd. Tyto podrobné informace o všech relevantních zdrojích OCI jsou velmi užitečné při zlepšování vašeho bezpečnostního postavení a lze je použít společně s nápravnými kroky, jak je popsáno v dokumentu OCI Foundation Benchmark.

Viz následující příklad:

Příklad sanace CIS
Příklad sanace CIS

Nakonec, po nápravě některých nebo všech nevyhovujících nálezů lze skript vždy znovu spustit, aby se ověřilo, že nápravné akce byly správně aplikovány.

Tuto kontrolu stavu zabezpečení OCI doporučujeme spouštět pravidelně, např. jednou za měsíc nebo vždy po použití nových konfigurací OCI v cyklu vydání. A nezapomeňte často kontrolovat aktualizace na stránce GitHub, protože skript je aktivně udržován a sleduje nová vydání OCI CIS Foundation Benchmark.

Pro další informace o produktech Oracle, nás neváhejte kontaktovat.

Zdroj: Oracle