Oracle Cloud Guard 常见问题解答

一般问题

什么是 Oracle Cloud Guard？

Oracle Cloud Guard 旨在检测表明云安全风险的薄弱安全配置和活动，从而帮助客户保持良好的安全状况。

Cloud Guard 通过摄取每个区域的资源审计和配置数据，基于检测器规则对其进行处理，并将报告区域中的问题关联起来，从而检测客户租户中的安全问题。已识别的问题将用于生成仪表盘和度量，并且还可能触发一个或多个提供的响应器来帮助解决问题。

响应器可以根据问题来缓解、更正和预防安全问题。

如何启用 Cloud Guard？

Cloud Guard 在 Oracle Cloud Infrastructure (OCI) 租户环境下默认可用，您可以通过 OCI Security 控制台访问。以下是首次启用 Cloud Guard 的步骤：

先决条件：Cloud Guard 在免费 Oracle Cloud Infrastructure 租户中不可用。在尝试启用 Cloud Guard 之前，请确保您拥有付费租户。

关于先决条件的完整列表，请参阅 https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm

• 从顶层菜单，转至“安全”->“Cloud Guard”
• 点击“启用 Cloud Guard”
• 通过点击“添加语句”，然后按“启用”，添加所需的 Oracle Identity and Access Management (IAM) 策略。
• 您现在应该会看到 Cloud Guard 的概览页面。
• 对租户安全配置进行全局评估后，便开始收集数据和更新页面内容。

Cloud Guard 如何计费？

OCI Configuration 和 OCI Activity 的 Cloud Guard 为支持的 OCI 服务免费提供。

Cloud Guard 是区域服务还是全球服务？

Cloud Guard 在区域内实施，并将问题汇总到客户选择的报告区域以提供全局视图。

Cloud Guard 会监视哪些区域？

租户的所有商业区域都在监视范围内。请点击查看当前支持区域的列表：https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm

我可以更改报告区域吗？

可以。您可以通过禁用 Cloud Guard，然后在其他区域启用 Cloud Guard 来更改报告区域。请注意，更改报告区域不会移动您的 Cloud Guard 配置和数据。

报告区域仅能在 CLoud Guard 启用时更改。因此，如果需要更改既有报告区域，请首先禁用 Cloud Guard，然后在重新启用过程中选择同一个或其他报告区域。

请注意，当选择其他报告区域后重新启用 Cloud Guard 时，您可能需要等待大约 20 分钟 — 因为跨区域同步资源会耗费一定的时间。

Cloud Guard 会否向我显示任何表明我当前安全状况的指标？

是的，Cloud Guard 在控制台的“概览”页面中提供两个关键度量，即风险评分和安全评分。安全评分是一个介于 0-100 之间的标准化值，它会根据问题的数量、类型和严重性对安全状况进行整体评估。风险评分是对安全评分的补充，它会通过评估所监视资源的总数量、每种资源类型的敏感性以及资源相关问题的严重性来确定租户的总风险敞口。这些指标可帮助用户正确评估哪些环境“小但不安全”以及哪些环境“大但总体安全”。

Cloud Guard 目前支持哪些类型的合规标准？

Cloud Guard 符合 OCI 的 CIS 基础基准标准。其他合规特性有望在 GA 之后的版本中提供。

Cloud Guard 与其他类似 OCI SIEM 的服务和工具之间有何区别？

SIEM 和 Cloud Guard 是补充服务。Cloud Guard 通过摄取审计/日志数据和监视资源的配置状态，为 OCI 租户提供安全状况评估和安全监控。默认情况下，Cloud Guard 提供并启用 OOTB 检测器，以帮助检测资源的问题。基于 SIEM 的服务从资源和应用中摄取日志数据，并为搜索/分析引擎提供支持，以执行取证调查并可能识别新的风险指标或自定义事件发现。Cloud Guard 的自动修复功能（即响应器）可由 Cloud Guard 配置和启动，而操作应定义为 SIEM 工具的规则构造的一部分。

Cloud Guard 如何与我的 SecOps 和事件响应流程集成？

大多数客户都希望将云安全监视与现有流程、程序和人员集成在一起。许多信息安全团队会将 Cloud Guard 问题与其内部 SIEM 工具集成，从而将 Cloud Guard 问题与其内部流程联系起来。这些集成可以使用 Cloud Guard API 和/或现有 OCI Infrastructure 服务，例如 OCI Events、OCI Notifications 和 OCI Functions。Cloud Guard 可以是触发事件，例如向电子邮件、Slack 和 PagerDuty 以及自定义 OCI 函数发送问题。客户也可以使用 Events 到 OCI Functions，根据自己的使用场景构建自定义集成或响应。