启用 OCI 基础设施扫描，保护您的主机安全

为确保您部署到Oracle云基础设施（OCI）的主机今天和将来免受漏洞的侵扰，您应启用漏洞扫描服务（VSS），并在每个区域为所有的虚拟机和裸机实例创建目标。

利用VSS的报告功能，检查每个区域内主机的当前风险水平，或通过Cloud Guard查看这些发现并采取行动。

一旦完成对主机的扫描，您可以排序和筛选以找到受影响最严重的主机或找到他们负责的主机。该服务将从国家漏洞数据库 - NVD和RedHat的开源信息源收集最新的共同漏洞和暴露（CVE）。然后，它将这些数据与主机上安装的软件包进行匹配，以允许服务报告安全风险，并提供链接到国家漏洞数据库（NVD），详细说明需要进行哪些补丁。

每个匹配CVE的共同漏洞评分系统（CVSS）基础分数映射到Oracle Cloud Guard使用的风险等级（严重、高、中、低和无）。这种匹配反映了NVD将CVSS v3.0评级映射到风险严重性的方式。

所有发现将流向事件和日志流，供其他系统使用，例如SIEM。您也可以在Cloud Guard中查看发现，在那里您可以决定哪个风险等级应该标记为主机的问题，或哪些开放端口也应该对主机构成问题。

架构

此架构描述了VSS如何提供有关您的主机及其目标的关键信息。

VSS通过使用我们的插件扫描您的主机，该插件在每个主机上与Oracle云代理一起安静运行。该服务还会ping所有公共IP以收集端口信息，使VSS能够收集这些发现以供我们的服务报告，并将它们转发到日志、事件和Cloud Guard。

Oracle云基础设施注册表（OCIR）将利用VSS容器扫描引擎找到被扫描图像使用的易受攻击包。目前，这种容器扫描只能在OCIR中打开和查看。

直到您按照“考虑事项”主题下的启用部分列出的配置步骤执行操作之前，VSS不会主动扫描您的主机。您可以按照此处描述的方式针对您的主机进行扫描。

这个架构图说明了如何区域性地配置漏洞扫描，然后在全球区域内在Cloud Guard中查看问题。

OCI客户创建目标，以扫描B和C隔间中的所有计算实例。这些虚拟机（VM）会定期扫描CVEs、CIS基准和开放端口。客户随后可以使用扫描服务的报告或在Cloud Guard区域报告控制台查看发现结果。通常，开发和QA团队希望在将应用程序部署到生产隔间之前，查看其特定隔间的结果。这允许他们在生产前隔间修补所有服务器，测试一切是否正常工作，并验证在应用程序发布到生产服务器之前漏洞是否已解决。操作组通常会监控Cloud Guard中所有区域的问题，然后通知各个团队他们需要对他们的隔间采取纠正行动，因为他们发现了需要注意的严重问题。

区域

• Oracle云基础设施区域是包含一个或多个数据中心的地理区域，称为可用性域。区域与其他区域独立，并且可以相隔很远的距离（跨越国家甚至大陆）。

可用性域

• 可用性域是区域内独立的、独立的数据中心。每个可用性域中的物理资源与其他可用性域的资源隔离，这提供了容错能力。可用性域不共享基础设施，如电力或冷却系统，或内部可用性域网络。因此，一个可用性域的故障不太可能影响该区域内的其他可用性域。

故障域

• 故障域是可用性域内硬件和基础设施的分组。每个可用性域有三个故障域，它们拥有独立的电力和硬件。当您将资源分布在多个故障域中时，您的应用程序可以容忍物理服务器故障、系统维护和故障域内的电力故障。

虚拟云网络（VCN）和子网

• VCN是您在Oracle云基础设施区域中设置的可定制的、软件定义的网络。与传统的数据中心网络一样，VCN让您完全控制您的网络环境。VCN可以有多个不重叠的CIDR块，您可以在创建VCN后更改这些块。您可以将VCN划分为子网，这些子网可以范围到区域或可用性域。每个子网由不与VCN中其他子网重叠的连续地址范围组成。您可以在创建后更改子网的大小。子网可以是公共的或私有的。

负载均衡器

• Oracle云基础设施负载均衡服务提供从单一入口点到后端多个服务器的自动流量分配。

扫描配方

• 使用扫描配方定义您希望对主机执行的扫描的数量和类型。默认情况下，扫描每天执行一次，并利用主机的代理寻找详细问题。

扫描目标

• 使用扫描目标定义您希望扫描发生的位置；要么是隔间内的所有主机及其所有子隔间，要么是一组特定的主机。扫描服务将支持这些OCI计算基础镜像：

￮ Oracle Linux

￮ CentOS

￮ Ubuntu

￮ Windows Server

• 这进一步意味着基于这些操作系统之一自定义创建的镜像也将被扫描。其好处在于，大多数提供给OCI客户的Oracle镜像也是从这些基础镜像创建的，这允许大量镜像被扫描。这是通过在每个主机上放置一个与Oracle云代理关联的扫描插件来实现的。云代理确保每个插件运行小巧轻便，以确保客户永远不会受到插件的影响。扫描插件将能够从主机内部收集已安装软件包、CIS基准状态和开放端口的信息，并将发现结果转发到区域服务以供报告。

Cloud Guard

• 使用Oracle Cloud Guard来监控和维护OCI中资源的安全。您定义Cloud Guard使用的检测器配方，以检查您的资源是否存在安全弱点，并监控操作员和用户是否有风险活动。当检测到任何配置错误或不安全活动时，Cloud Guard会推荐纠正措施，并根据您可以定义的响应者配方协助采取这些措施。

推荐

使用以下建议作为启用VSS的起点。您的需求可能与这里描述的架构不同。

VCN

• 创建VCN时，根据您计划连接到VCN子网中的资源数量，确定所需CIDR块的数量及每个块的大小。使用标准私有IP地址空间内的CIDR块。

• 选择不与您打算建立私有连接的任何其他网络（在Oracle云基础设施、您的本地数据中心或另一个云提供商）重叠的CIDR块。

• 创建VCN后，您可以更改、添加和移除其CIDR块。

• 设计子网时，考虑您的流量流动和安全需求。将特定层或角色内的所有资源连接到同一子网，这可以作为一个安全边界。

扫描配方

• 创建扫描配方时，启用基于代理的扫描（默认），以便VSS可以访问尽可能多的主机信息；否则，VSS只能检查有关您公共IP上开放端口的信息。

扫描目标

• 通过指定您的根隔间为整个租户创建一个目标。这自动包括根隔间和所有子隔间内的所有资源。

注意：如果您为特定隔间和/或特定计算实例创建目标，除非您明确将它们添加到目标中，否则VSS不会扫描任何新的隔间和实例。

考虑事项

启用VSS时，请考虑以下内容：

性能

• 主机和端口至少每天扫描一次。

安全性

• 尽快了解您主机上的漏洞、开放端口和配置不良情况。使用VSS控制台跟踪趋势的同时，还可以从Cloud Guard获取警报。
可用性

• VSS在所有区域都可用。

成本

• 使用每个主机上的OCI插件和扫描您面向公众的IP的端口是免费的。

限制

• 默认情况下，您可以创建最多100个扫描配方和200个扫描目标。如果您的需求超出这些规模，则需要与客户服务联系，可能增加您的扫描限制。

启用

• VSS在所有区域都可供使用，但客户需要启用一些事项以扫描其主机。完成以下步骤后，客户将在VSS或GC中监控漏洞和配置不良。客户需要：

a. 创建IAM策略，允许扫描服务运行我们的插件并收集有关计算实例的信息。

b. 创建IAM策略，允许他们的管理员创建和管理扫描配方和目标。

c. 创建一个或多个扫描配方。

d. 创建一个或多个扫描目标。

e. 在Cloud Guard中配置扫描检测器，以便用户被通知关于主机漏洞。

f. 配置CVE风险等级，将其转换为Cloud Guard中的问题，以及该特定问题的风险等级应该是多少。

g. 指定哪些开放端口应在Cloud Guard中被视为问题，以及该特定问题的风险等级应该是多少。
IAM策略

• VSS需要以下IAM策略：

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门