Esta página ha sido traducida por una máquina.

Documentación de Oracle Cloud Infrastructure
Probar cuenta gratuita

Visión general de Vulnerability Scanning

Oracle Cloud Infrastructure Vulnerability Scanning Service ayuda a mejorar su posición de seguridad mediante la comprobación rutinaria de los hosts y las imágenes de contenedor para detectar posibles vulnerabilidades. El servicio proporciona a los desarrolladores, administradores de seguridad y operaciones una visibilidad completa de los recursos vulnerables o mal configurados, y genera informes con métricas y detalles sobre estas vulnerabilidades, incluida la información sobre soluciones.

Consejo

Vea una introducción en vídeo al servicio.

Todos los recursos e informes de Vulnerability Scanning son regionales, pero los resultados de la exploración también se pueden ver como problemas en la región de informes global de Cloud Guard.

El servicio Vulnerability Scanning identifica vulnerabilidades en los siguientes recursos:

  • Instancias informáticas (también conocidas como hosts)
  • Imágenes de Container Registry

El servicio Vulnerability Scanning permite identificar varios tipos de problemas de seguridad:

  • Los puertos que se dejen abiertos involuntariamente pueden ser un posible vector de ataque a sus recursos en la nube, o bien permiten a los hackers aprovechar otras vulnerabilidades.
  • Paquetes del sistema operativo que requieren actualizaciones y parches para abordar las vulnerabilidades.
  • Configuraciones del sistema operativo que los hackers pueden aprovechar.
  • Referencias estándar del sector publicadas por el Centro para la seguridad informática (CIS).

    El servicio Vulnerability Scanning comprueba si los hosts cumplen las referencias de la sección 5 (Acceso, autenticación y autorización) definidas para Distribución independiente de Linux.

  • Vulnerabilidades en aplicaciones de terceros, como log4j y spring4shell.
Nota

Oracle Cloud Infrastructure Vulnerability Scanning Service puede ayudarle a corregir rápidamente vulnerabilidades y exposiciones, pero el servicio no es un explorador compatible con la industria de tarjetas de pago (PCI). No utilice el servicio Vulnerability Scanning para cumplir con los requisitos de conformidad de PCI.

El servicio Vulnerability Scanning solo soporta instancias informáticas o imágenes de contenedor, creadas a partir de imágenes de plataforma soportadas. Scanning no está disponible para ninguna imagen con la etiqueta fin de soporte.

Para explorar instancias de Compute en busca de vulnerabilidades, la instancia debe utilizar una imagen que soporte Oracle Cloud Agent. La exploración de puertos en la dirección IP pública de una instancia no necesita un agente.

Nota

Las exploraciones de imágenes de contenedor y host de Vulnerability Scanning pueden recoger los resultados de CVE de otros sistemas operativos no admitidos. Los resultados solo están cubiertos por los datos de NVD, y pueden faltar CVE o tener otros falsos positivos. No admitimos estos otros sistemas operativos, así que use estos resultados con precaución.

El servicio Vulnerability Scanning permite detectar vulnerabilidades en las siguientes plataformas y utilizar los siguientes orígenes de vulnerabilidad.

Plataforma Base de datos nacional de vulnerabilidades (NVD) Lenguaje abierto de vulnerabilidades y evaluación (OVAL) Centro de la seguridad informática (CIS)
Oracle Linux
CentOS
Ubuntu
Windows No No
Nota

Dado que la exploración de Windows no incluye datos OVAL, no recomendamos que confíe únicamente en Oracle Cloud Infrastructure Vulnerability Scanning Service para garantizar que las instancias de Windows están actualizadas y protegidas.
Nota

No recomendamos utilizar el servicio Vulnerability Scanning para identificar problemas en los sistemas de base de datos de máquina virtual y, a continuación, modificar el sistema operativo para abordar cada problema. En su lugar, siga las instrucciones de Actualización de un sistema de base de datos para aplicar las últimas actualizaciones de seguridad al sistema operativo.
Nota

No puede utilizar el servicio Vulnerability Scanning en hosts que no se hayan creado directamente con el servicio Compute, como Exadata Database Service en una infraestructura dedicada o el servicio Database. Utilice las funciones proporcionadas con esos servicios para garantizar que los hosts tengan las últimas actualizaciones de seguridad.

El servicio Vulnerability Scanning soporta las siguientes opciones de destino:

  • Instancias informáticas individuales
  • Todas las instancias informáticas de un compartimento y sus subcompartimentos.

    Si configura el servicio Vulnerability Scanning en el compartimento raíz, se exploran todas las instancias informáticas de todo el arrendamiento.

  • Imágenes de un repositorio de Container Registry

Conceptos

Conozca los conceptos y los componentes clave relacionados con el servicio Vulnerability Scanning.

En el siguiente diagrama se proporciona una visión general del servicio.


Una receta de exploración está asociada a uno o más destinos, como instancias de Compute y repositorios de Container Registry. Se necesita un gateway de servicio para acceder a las instancias de subredes privadas. El servicio Vulnerability Scanning analiza estos destinos y genera informes, eventos y logs. Cloud Guard también se puede utilizar para ver problemas de exploración.
Receta de exploración
Exploración de parámetros para un tipo de recurso en la nube, incluida la información que se debe examinar y con qué frecuencia.
Destino
Uno o más recursos en la nube que desea explorar con una receta específica. Los recursos de un destino son del mismo tipo, como las instancias informáticas.
Exploración de host
Métricas sobre una instancia de Compute específica que se ha explorado, incluidas las vulnerabilidades que se han encontrado, sus niveles de riesgo y el cumplimiento de referencias del CIS.

El servicio Vulnerability Scanning utiliza un agente de host para detectar estas vulnerabilidades.

Exploración de puerto
Abra los puertos que se han detectado en una instancia de Compute específica que se haya explorado.

El servicio Vulnerability Scanning puede detectar puertos abiertos mediante un agente de host o mediante un asignador de red que busca las direcciones IP públicas .

Exploración de imágenes de contenedor
Métricas sobre una imagen de Container Registry específica que se ha explorado, incluidas las vulnerabilidades que se han encontrado y sus niveles de riesgo.
Informe de vulnerabilidades
Información sobre un tipo específico de vulnerabilidad que se haya detectado en uno o más destinos, como una actualización que falta para un paquete del sistema operativo.

Integración con Cloud Guard

Puede ver las vulnerabilidades de seguridad identificadas por el servicio Vulnerability Scanning en Oracle Cloud Guard.

Cloud Guard es un servicio de Oracle Cloud Infrastructure que proporciona un panel de control central para supervisar todos los recursos en la nube y detectar deficiencias de seguridad en la configuración, las métricas y los logs. Cuando detecta un problema, puede sugerir, ayudar o realizar acciones correctivas, según la configuración de Cloud Guard.

Como el servicio Vulnerability Scanning, Cloud Guard usa recetas y destinos.

  • Una receta define los tipos de problemas que desea que Cloud Guard notifique
  • Un destino define los compartimentos que desea que supervise Cloud Guard y está asociado a una receta.

Una receta de detector de configuración consta de reglas de detector. La receta de detector de configuración de Cloud Guard por defecto incluye reglas que permiten comprobar las vulnerabilidades y los puertos abiertos que ha encontrado el servicio Vulnerability Scanning.

Para obtener más información, consulte Exploración con Cloud Guard.

Identificadores de recursos

Los recursos de Vulnerability Scanning, como la mayoría de los tipos de recursos de Oracle Cloud Infrastructure, tienen un identificador único asignado por Oracle denominado ID de Oracle Cloud (OCID).

Para obtener información sobre el formato del OCID y otras formas de identificar los recursos, consulte Identificadores de recursos.

Formas de acceder a Vulnerability Scanning

Puede acceder a Vulnerability Scanning mediante la consola (una interfaz basada en un explorador), la interfaz de línea de comandos (CLI) o la API de REST. En esta guía se incluyen instrucciones para la consola, la CLI y la API.

Para acceder a la consola, debe utilizar un explorador soportado. Para ir a la página de conexión de , abra el menú de navegación situado en la parte superior de esta página y haga clic en Infraestructura. Se le solicitará que introduzca el cliente en la nube, el nombre de usuario y la contraseña.

Para obtener una lista de los SDK disponibles, consulte Los SDK y la CLI. Para obtener información general sobre el uso de la API, consulte la documentación de la API de REST.

Autenticación y autorización

Cada servicio de Oracle Cloud Infrastructure se integra con IAM con fines de autenticación y autorización para todas las interfaces (la consola, el SDK o la CLI, y la API de REST).

Un administrador de la organización debe definir grupos, compartimentos y políticas que controlen qué usuarios pueden acceder a qué servicios, qué recursos y el tipo de acceso. Por ejemplo, las políticas controlan quién puede crear usuarios, crear y gestionar una VCN (red virtual en la nube) , iniciar instancias y crear cubos.

Seguridad

Además de crear políticas de IAM, hay otras tareas relacionadas con la seguridad de Vulnerability Scanning.

Por ejemplo:

  • Configurar un gateway de servicio para que pueda explorar hosts sin direcciones IP públicas
  • Realizar una auditoría de seguridad de las operaciones de exploración

Consulte Protección de Vulnerability Scanning.

Supervisión

Para supervisar la actividad de exploración, Vulnerability Scanning se integra con estos otros servicios en Oracle Cloud Infrastructure.

  • El servicio Audit registra automáticamente las llamadas a todos los puntos finales de la API de Vulnerability Scanning pública como entradas de log. Consulte Visión general de auditoría.
  • El servicio Monitoring permite supervisar los recursos de Vulnerability Scanning mediante métricas y alarmas. Consulte Métricas de Scanning.
  • El servicio Events permite que los equipos de desarrollo respondan automáticamente cuando un recurso de Vulnerability Scanning cambie su estado. Consulte Eventos de Scanning.

Introducción

Utilice el servicio Vulnerability Scanning para comprobar las vulnerabilidades de seguridad en las instancias informáticas de un único compartimento.

  1. Cree políticas de IAM de análisis de vulnerabilidades.

    Si no es administrador, debe tener acceso al servicio Vulnerability Scanning en una política (IAM) escrita por un administrador.

  2. Cree la política de IAM necesaria para las recetas de exploración de Compute.

    Un administrador debe otorgar permiso al servicio Vulnerability Scanning para activar el agente de Vulnerability Scanning en las instancias informáticas de destino.

  3. Abra el menú de navegación y haga clic en Identidad y seguridad. Haga clic en Explorar.
  4. Haga clic en Crear receta de exploración.

    Consulte Creación de una receta de exploración de recursos informáticos.

  5. Haga clic en Crear destino.

    En compartimento de destino, seleccione el compartimento que contiene las instancias de Compute que desea explorar.

    Consulte Creación de un destino de recurso informático.

  6. Haga clic en Ver resultado de exploración.

    Los resultados suelen estar disponibles 15 minutos después de crear un destino, pero pueden tardar hasta 24 horas.

    Consulte Listing Host Scans.

  7. (Opcional) Exploración con Cloud Guard

Si tiene problemas, consulte Solución de problemas del servicio de análisis de vulnerabilidades.

¿Le ha resultado útil este artículo?