# Oracle
> **Um guia abrangente sobre o Oracle Cloud Infrastructure (OCI)** – desde os fundamentos da nuvem "security-first" e o modelo de responsabilidade compartilhada até serviços de segurança integrados, detecção de ameaças e procedimentos de investigação forense em ambientes Oracle Cloud.
***
## 📌 Índice
1. [Introdução ao Oracle Cloud Infrastructure (OCI)](#-introdução-ao-oracle-cloud-infrastructure-oci)
* 1.1 [O que é OCI?](#11-o-que-é-oci)
* 1.2 [O Modelo de Responsabilidade Compartilhada](#12-o-modelo-de-responsabilidade-compartilhada)
* 1.3 [Infraestrutura Global: Regiões, Domínios de Disponibilidade e Domínios de Falha](#13-infraestrutura-global-regiões-domínios-de-disponibilidade-e-domínios-de-falha)
2. [Arquitetura de Segurança do OCI: Os Sete Pilares](#-arquitetura-de-segurança-do-oci-os-sete-pilares)
* 2.1 [Os Sete Pilares da Segurança OCI](#21-os-sete-pilares-da-segurança-oci)
* 2.2 [Security-First: Segurança Integrada por Design](#22-security-first-segurança-integrada-por-design)
* 2.3 [Zero Trust Packet Routing (ZPR)](#23-zero-trust-packet-routing-zpr)
3. [Gerenciamento de Identidade e Acesso (IAM)](#-gerenciamento-de-identidade-e-acesso-iam)
* 3.1 [OCI IAM: Usuários, Grupos, Compartimentos e Políticas](#31-oci-iam-usuários-grupos-compartimentos-e-políticas)
* 3.2 [Instance Principals: Acesso Seguro para Instâncias](#32-instance-principals-acesso-seguro-para-instâncias)
* 3.3 [Melhores Práticas de IAM e Least Privilege](#33-melhores-práticas-de-iam-e-least-privilege)
4. [Serviços Integrados de Proteção e Defesa em Profundidade](#-serviços-integrados-de-proteção-e-defesa-em-profundidade)
* 4.1 [Segurança de Infraestrutura: Isolamento e Hardware Root of Trust](#41-segurança-de-infraestrutura-isolamento-e-hardware-root-of-trust)
* 4.2 [Segurança de Rede: VCN, Security Lists, Network Firewall e WAF](#42-segurança-de-rede-vcn-security-lists-network-firewall-e-waf)
* 4.3 [Proteção de Dados: Criptografia Padrão e Vault (KMS)](#43-proteção-de-dados-criptografia-padrão-e-vault-kms)
* 4.4 [Segurança de Compute: Instâncias, Boot Volumes e Console Connections](#44-segurança-de-compute-instâncias-boot-volumes-e-console-connections)
* 4.5 [Segurança de Banco de Dados: Data Safe e Database Security](#45-segurança-de-banco-de-dados-data-safe-e-database-security)
5. [Serviços de Detecção, Monitoramento e Resposta](#-serviços-de-detecção-monitoramento-e-resposta)
* 5.1 [Oracle Cloud Guard – Gestão de Postura de Segurança](#51-oracle-cloud-guard--gestão-de-postura-de-segurança)
* 5.2 [Security Zones – Conformidade Automática](#52-security-zones--conformidade-automática)
* 5.3 [Audit Service – Registro de Todas as Ações](#53-audit-service--registro-de-todas-as-ações)
* 5.4 [Vulnerability Scanning Service – Gerenciamento de Vulnerabilidades](#54-vulnerability-scanning-service--gerenciamento-de-vulnerabilidades)
* 5.5 [Threat Intelligence Service – Inteligência de Ameaças Integrada](#55-threat-intelligence-service--inteligência-de-ameaças-integrada)
* 5.6 [OCI Service Connector Hub – Orquestração de Logs](#56-oci-service-connector-hub--orquestração-de-logs)
6. [Artefatos Forenses no OCI](#-artefatos-forenses-no-oci)
* 6.1 [Audit Logs – A Fonte Primária de Evidências](#61-audit-logs--a-fonte-primária-de-evidências)
* 6.2 [VCN Flow Logs – Tráfego de Rede](#62-vcn-flow-logs--tráfego-de-rede)
* 6.3 [Logging Analytics – Centralização e Análise de Logs](#63-logging-analytics--centralização-e-análise-de-logs)
* 6.4 [Snapshots de Disco (Block Volume)](#64-snapshots-de-disco-block-volume)
* 6.5 [Bastion Service – Acesso Auditado](#65-bastion-service--acesso-auditado)
* 6.6 [Análise Forense em Escala com OCI Data Flow](#66-análise-forense-em-escala-com-oci-data-flow)
7. [Investigação Forense e Resposta a Incidentes](#-investigação-forense-e-resposta-a-incidentes)
* 7.1 [O Processo de Resposta a Incidentes da Oracle](#71-o-processo-de-resposta-a-incidentes-da-oracle)
* 7.2 [Preparação: Configuração de Logging e Monitoramento](#72-preparação-configuração-de-logging-e-monitoramento)
* 7.3 [Coleta de Evidências: Live vs Dead Forensics](#73-coleta-de-evidências-live-vs-dead-forensics)
* 7.4 [Análise Forense: Ferramentas e Metodologia](#74-análise-forense-ferramentas-e-metodologia)
* 7.5 [Cadeia de Custódia: Preservação de Evidências](#75-cadeia-de-custódia-preservação-de-evidências)
* 7.6 [Exemplo Prático: Investigação de Instância Comprometida](#76-exemplo-prático-investigação-de-instância-comprometida)
8. [Melhores Práticas de Segurança Operacional](#-melhores-práticas-de-segurança-operacional)
* 8.1 [Organização com Compartimentos e Políticas IAM](#81-organização-com-compartimentos-e-políticas-iam)
* 8.2 [Logging e Monitoramento Essenciais](#82-logging-e-monitoramento-essenciais)
* 8.3 [Proteção de Dados e Criptografia](#83-proteção-de-dados-e-criptografia)
* 8.4 [Checklist de Segurança Recomendado](#84-checklist-de-segurança-recomendado)
9. [Referências e Ferramentas](#-referências-e-ferramentas)
***
## 🔍 Introdução ao Oracle Cloud Infrastructure (OCI)
### 1.1 O que é OCI?
O **Oracle Cloud Infrastructure (OCI)** é a plataforma de computação em nuvem da Oracle, construída como uma nuvem **"security-first" de segunda geração** . Diferentemente de provedores que adicionaram segurança posteriormente, a OCI foi projetada desde a base com segurança como princípio fundamental, oferecendo isolamento nativo entre tenants e proteções integradas em todas as camadas .
**Benefícios Fundamentais:**
* **Security-First**: Segurança integrada na arquitetura, não como complemento
* **Isolamento Nativo**: Separação física e lógica entre tenants, incluindo hardware dedicado
* **Custo-Benefício**: Serviços de segurança incluídos sem custo adicional (Cloud Guard, Security Zones, Vulnerability Scanning)
* **Desempenho Previsível**: Infraestrutura de alto desempenho para workloads críticas
* **Hybrid Cloud**: Integração nativa com ambientes on-premises via FastConnect e VPN
### 1.2 O Modelo de Responsabilidade Compartilhada
O modelo de responsabilidade no OCI segue a estrutura padrão da indústria, mas com ênfase na **segurança integrada** :
| **Responsabilidade** | **Oracle (Segurança *****da***** Nuvem)** | **Cliente (Segurança *****na***** Nuvem)** |
| ------------------------------ | ------------------------------------------------------ | ------------------------------------------------------- |
| **Infraestrutura Física** | Data centers, hardware, rede global, isolamento físico | - |
| **Hipervisor e Virtualização** | Isolamento entre tenants, hardware root of trust | - |
| **Sistema Operacional** | Para serviços gerenciados (Autonomous Database, etc.) | Para instâncias de computação (patching, hardening) |
| **Aplicações** | Serviços gerenciados (OCI-native services) | Aplicações próprias e configurações |
| **Dados** | Criptografia em repouso por padrão (AES-256) | Gerenciamento de chaves (Vault), backups, classificação |
| **Identidades** | IAM, políticas de acesso | Usuários, grupos, políticas de permissão |
> 💡 **Diferencial OCI**: A Oracle oferece **vários serviços de segurança sem custo adicional**, incluindo Cloud Guard, Security Zones e Vulnerability Scanning Service, reduzindo a barreira para implementação de segurança robusta .
### 1.3 Infraestrutura Global: Regiões, Domínios de Disponibilidade e Domínios de Falha
```mermaid
graph TB
subgraph "Região (ex: São Paulo)"
AD1[Domínio de Disponibilidade 1]
AD2[Domínio de Disponibilidade 2]
AD3[Domínio de Disponibilidade 3]
end
subgraph "Domínio de Disponibilidade 1"
FD1[Domínio de Falha 1]
FD2[Domínio de Falha 2]
FD3[Domínio de Falha 3]
end
AD1 --- AD2
AD2 --- AD3
FD1 --- FD2
FD2 --- FD3
```
| **Componente** | **Descrição** | **Exemplo** |
| ----------------------------------- | ---------------------------------------------------------------------------------------- | --------------------------------------- |
| **Região** | Conjunto de domínios de disponibilidade geograficamente próximos | `sa-saopaulo-1` (São Paulo) |
| **Domínio de Disponibilidade (AD)** | Data centers isolados fisicamente dentro de uma região, com energia e rede independentes | Três ADs por região (quando disponível) |
| **Domínio de Falha (FD)** | Agrupamento lógico de hardware dentro de um AD para tolerância a falhas | Três FDs por AD |
***
## 🏗️ Arquitetura de Segurança do OCI: Os Sete Pilares
### 2.1 Os Sete Pilares da Segurança OCI
A arquitetura de segurança da OCI é estruturada em **sete pilares fundamentais** que garantem proteção em todas as camadas :
| **Pilar** | **Descrição** | **Serviços/Soluções** |
| --------------------------------- | --------------------------------------------------------------------------------------- | ------------------------------------------------------------------- |
| **1. Isolamento do Cliente** | Aplicações e dados em ambiente totalmente isolado de outros tenants e do próprio Oracle | Bare Metal, VCN, Compartimentos, IAM |
| **2. Criptografia de Dados** | Proteção de dados em repouso, em trânsito e em uso | Default Encryption, Vault (KMS), Database Encryption |
| **3. Controles de Segurança** | Gerenciamento de acesso e separação de responsabilidades | IAM Policies, Instance Principals, Network Security, WAF |
| **4. Visibilidade** | Auditoria e monitoramento abrangentes via logs e analytics | Audit Service, Logging Analytics, Cloud Guard |
| **5. Hybrid Cloud Seguro** | Uso de identidades e políticas existentes no ambiente híbrido | Identity Federation, Site-to-Site VPN, FastConnect |
| **6. Alta Disponibilidade** | Resiliência contra ataques de rede e falhas de infraestrutura | Availability Domains, Fault Domains, SLAs |
| **7. Infraestrutura Verificável** | Processos rigorosos em todas as fases de desenvolvimento e operação | Security Operations, Compliance Certifications, Penetration Testing |
### 2.2 Security-First: Segurança Integrada por Design
A abordagem "security-first" da OCI significa que a segurança não é um complemento, mas sim um componente fundamental da arquitetura :
* **Isolamento de Rede Virtualizado**: A rede é virtualizada em hardware, garantindo que instâncias infectadas não possam se propagar para outros tenants
* **Hardware Root of Trust**: Placas de hardware customizadas pela Oracle garantem integridade de firmware e proteção contra ataques persistentes
* **Zero Trust Packet Routing (ZPR)**: Nova tecnologia baseada em roteamento de pacotes com verificação de políticas para prevenir uso não autorizado de dados
### 2.3 Zero Trust Packet Routing (ZPR)
O **Zero Trust Packet Routing Platform** é uma inovação recente da Oracle que implementa princípios Zero Trust no nível de rede :
* **Políticas de roteamento de pacotes**: Acesso a dados baseado em políticas, não apenas na rede
* **Prevenção de exfiltração**: Bloqueia movimentação não autorizada de dados
* **Sem impacto na produtividade**: Políticas aplicadas sem criar barreiras para atividades legítimas
***
## 🔐 Gerenciamento de Identidade e Acesso (IAM)
### 3.1 OCI IAM: Usuários, Grupos, Compartimentos e Políticas
O **OCI Identity and Access Management (IAM)** é o serviço fundamental para controle de acesso, permitindo definir quem pode acessar quais recursos .
**Componentes do IAM:**
* **Compartimentos (Compartments)**: Contêineres lógicos para organizar e isolar recursos
* **Usuários**: Identidades que representam pessoas ou aplicações
* **Grupos**: Coleções de usuários com permissões comuns
* **Políticas (Policies)**: Documentos que definem quais ações são permitidas
**Exemplo de Política IAM :**
```
# Permite que o grupo InstanceUsers gerencie instâncias, mas não as delete
Allow group InstanceUsers to manage instance-family in tenancy
where request.permission!='INSTANCE_DELETE'
# Permite que o grupo InstanceUsers use volumes e rede
Allow group InstanceUsers to use volume-family in tenancy
Allow group InstanceUsers to use virtual-network-family in tenancy
```
### 3.2 Instance Principals: Acesso Seguro para Instâncias
**Instance Principals** permitem que instâncias de computação acessem outros serviços OCI sem necessidade de credenciais estáticas :
* **Funcionamento**: Instâncias são agrupadas em grupos dinâmicos (dynamic groups)
* **Autenticação**: Certificado curto entregue via serviço de metadados da instância ()
* **Rotação automática**: Chaves são rotacionadas múltiplas vezes ao dia
* **Segurança**: Elimina o risco de credenciais expostas em código ou configurações
**Melhoria de segurança: IMDSv2**: O OCI recomenda desabilitar a versão v1 do Instance Metadata Service (IMDS) e usar apenas a v2, que oferece maior proteção contra ataques SSRF .
### 3.3 Melhores Práticas de IAM e Least Privilege
| **Prática** | **Descrição** | **Justificativa** |
| ---------------------------------- | ---------------------------------------------------------- | ----------------------------------------------- |
| **Privilégios mínimos** | Conceder apenas as permissões necessárias | Reduz impacto de credenciais comprometidas |
| **Restringir DELETE** | Limitar permissões de exclusão a administradores | Previne perda acidental ou maliciosa de dados |
| **Usar grupos, não usuários** | Gerenciar permissões por grupos | Facilita administração e auditoria |
| **Separar responsabilidades** | Compartimentos para diferentes ambientes (prod, dev, test) | Isola riscos e facilita governança |
| **Revogar acessos não utilizados** | Revisar permissões periodicamente | Remove privilégios que não são mais necessários |
***
## 🛡️ Serviços Integrados de Proteção e Defesa em Profundidade
### 4.1 Segurança de Infraestrutura: Isolamento e Hardware Root of Trust
| **Componente** | **Descrição** | **Benefício de Segurança** |
| ----------------------------- | -------------------------------------- | ------------------------------------------------------ |
| **Bare Metal Instances** | Servidores físicos dedicados | Isolamento máximo, sem hipervisor compartilhado |
| **Hardware Root of Trust** | Placas de hardware customizadas Oracle | Proteção contra ataques de firmware e DoS persistentes |
| **Rede Virtualizada Isolada** | Virtualização de rede em hardware | Prevenção de propagação de malware entre tenants |
### 4.2 Segurança de Rede: VCN, Security Lists, Network Firewall e WAF
| **Serviço** | **Descrição** | **Caso de Uso** |
| ---------------------------------- | ------------------------------------------------------------- | --------------------------------- |
| **Virtual Cloud Network (VCN)** | Rede virtual isolada definida pelo cliente | Segmentação de recursos |
| **Security Lists** | Regras de firewall stateful em nível de sub-rede | Controle de tráfego L3-L4 |
| **Network Security Groups (NSG)** | Regras de firewall aplicadas a interfaces de rede específicas | Isolamento granular |
| **OCI Network Firewall** | Firewall gerenciado com tecnologia Palo Alto Networks | Inspeção L7, prevenção de ameaças |
| **Web Application Firewall (WAF)** | Proteção para aplicações web | SQL injection, XSS, bots |
| **Bastion Service** | Acesso SSH seguro e temporário a recursos privados | Elimina necessidade de jump hosts |
**Hardening de SSH (recomendações)** :
| **Recomendação** | **Configuração sshd\_config** | **Benefício** |
| ---------------------------- | ----------------------------- | ----------------------------- |
| Logins com chave pública | `PubkeyAuthentication yes` | Mais seguro que senha |
| Desabilitar logins com senha | `PasswordAuthentication no` | Mitiga ataques de força bruta |
| Desabilitar login root | `PermitRootLogin no` | Previne acesso root direto |
| (Opcional) Mudar porta SSH | `Port ` | Reduz exposição a scans |
### 4.3 Proteção de Dados: Criptografia Padrão e Vault (KMS)
O OCI criptografa todos os dados **em repouso** por padrão com AES-256, sem custo adicional .
| **Serviço** | **Descrição** | **Nível de Controle** |
| ---------------------------------- | --------------------------------------- | -------------------------------------- |
| **Default Encryption** | AES-256 gerenciado pela Oracle | Automático, sem custo |
| **OCI Vault** | Gerenciamento de chaves de criptografia | Chaves gerenciadas pelo cliente (CMEK) |
| **Hardware Security Module (HSM)** | Proteção FIPS 140-2 Level 3 | Máximo nível de segurança |
| **Rotação de Chaves** | Criação de novas versões de chave | Limita impacto de comprometimento |
### 4.4 Segurança de Compute: Instâncias, Boot Volumes e Console Connections
| **Componente** | **Descrição** | **Melhores Práticas** |
| --------------------------------- | ------------------------------------ | --------------------------------------------- |
| **Instâncias (VMs e Bare Metal)** | Recursos computacionais | Imagens aprovadas, patches regulares |
| **Boot Volumes** | Discos de inicialização | Criptografia com chaves customizadas, backups |
| **Instance Console Connections** | Acesso serial para troubleshooting | Restringir permissões de criação/leitura |
| **Instance Metadata** | Dados da instância (169.254.169.254) | Restringir acesso ao root (iptables) |
**Restrição de acesso ao Instance Metadata (IMDS) via iptables :**
```bash
# Permite acesso apenas para o usuário root
iptables -A OUTPUT -m owner ! --uid-owner root -d 169.254.169.254 -j DROP
```
### 4.5 Segurança de Banco de Dados: Data Safe e Database Security
O **Oracle Data Safe** é um serviço unificado de segurança para bancos de dados Oracle :
| **Funcionalidade** | **Descrição** |
| --------------------------------- | --------------------------------------------------------- |
| **Descoberta de Dados Sensíveis** | Identifica colunas com dados sensíveis (PII, PHI) |
| **Avaliação de Segurança** | Verifica configurações de segurança e recomenda melhorias |
| **Auditoria de Banco de Dados** | Centraliza auditorias de atividades no banco |
| **Privilégio Mínimo** | Identifica usuários com privilégios excessivos |
| **Alertas de Segurança** | Detecta atividades suspeitas e anomalias |
***
## 🕵️ Serviços de Detecção, Monitoramento e Resposta
### 5.1 Oracle Cloud Guard – Gestão de Postura de Segurança
O **Oracle Cloud Guard** é o serviço central de gestão de postura de segurança, oferecido sem custo adicional .
**Funcionalidades:**
* **Detectores (Detectors)**: Monitoram recursos continuamente por problemas de segurança e más configurações
* **Respondedores (Responders)**: Ações automatizadas quando problemas são detectados
* **Visibilidade Unificada**: Painel centralizado para toda a organização
**Detector Rules para Compute :**
| **Regra** | **Descrição** |
| ----------------------------------------- | -------------------------------------- |
| `Instance has a public IP address` | Detecta instâncias expostas à internet |
| `Instance is running an Oracle image` | Verifica se imagem é oficial Oracle |
| `Instance is not running an Oracle image` | Alerta sobre imagens não oficiais |
| `Instance is publicly accessible` | Verifica acessibilidade pública |
| `Instance terminated` | Registra término de instâncias |
| `Export image` | Monitora exportação de imagens |
### 5.2 Security Zones – Conformidade Automática
**Security Zones** garantem que recursos dentro de um compartimento estejam sempre em conformidade com políticas de segurança predefinidas .
**Como funciona:**
* Associa um compartimento a um **recipe** de políticas de segurança
* Qualquer operação que viole uma política é **automaticamente negada**
* Existem políticas pré-definidas para Compute, Networking, Storage, Database
**Exemplos de políticas para Compute :**
| **Política** | **Efeito** |
| ----------------------------------------------------------------------------- | ------------------------------------------------------------ |
| `deny instance_in_security_zone_launch_from_boot_volume_not_in_security_zone` | Instância só pode usar boot volumes dentro da Security Zone |
| `deny instance_in_security_zone_in_subnet_not_in_security_zone` | Instância só pode estar em sub-redes dentro da Security Zone |
| `deny instance_without_sanctioned_image` | Instância deve usar imagens aprovadas |
| `deny boot_volume_without_vault_key` | Boot volume deve usar chave do Vault |
> ⚠️ **Importante**: Políticas de Security Zones são aplicadas **independentemente de quem está executando a operação** .
### 5.3 Audit Service – Registro de Todas as Ações
O **Audit Service** registra automaticamente todas as chamadas de API no OCI .
**Campos críticos para investigação :**
| **Campo** | **Descrição** |
| ----------------- | ------------------------------------------------------------- |
| `eventTime` | Momento exato da ação |
| `eventType` | Tipo de evento (ex: `com.oraclecloud.compute.launchinstance`) |
| `principal` | Identidade que executou a ação (usuário, service account) |
| `principalId` | ID do usuário ou serviço |
| `sourceIPAddress` | Endereço IP de origem da requisição |
| `userAgent` | Agente de usuário (CLI, console, SDK) |
| `request` | Parâmetros da requisição |
| `response` | Resposta da operação (sucesso/falha) |
**Retenção padrão**: 365 dias, configurável .
### 5.4 Vulnerability Scanning Service – Gerenciamento de Vulnerabilidades
O **Vulnerability Scanning Service** escaneia instâncias de computação e hosts em busca de vulnerabilidades .
**Funcionalidades:**
* Escaneamento de portas abertas
* Detecção de pacotes inseguros
* Identificação de vulnerabilidades conhecidas (CVE)
* Visibilidade regional e global
### 5.5 Threat Intelligence Service – Inteligência de Ameaças Integrada
O **Threat Intelligence Service** agrega dados de múltiplas fontes para fornecer inteligência acionável :
**Fontes de dados:**
* Especialistas em segurança Oracle
* Telemetria global OCI
* Fontes open-source
* Parceiros como Crowdstrike
**Diferenciais:**
* **Integração nativa**: Pré-integrado com Cloud Guard e Threat Detector
* **Confidence Scoring**: Análise de múltiplas fontes para reduzir falsos positivos
* **Unificação**: Painel único para indicadores de comprometimento (IOCs)
### 5.6 OCI Service Connector Hub – Orquestração de Logs
O **Service Connector Hub** é o mecanismo de orquestração para logs e dados :
**Funcionalidades:**
* Conectores para múltiplas fontes e destinos
* Roteamento de logs para Object Storage, Logging Analytics, ou terceiros
* Automação de fluxos de dados
**Exemplo de uso forense :**
* Enviar audit logs para Object Storage com retenção prolongada
* Rotear logs para Logging Analytics para análise centralizada
* Integrar com SIEMs terceiros (Splunk, QRadar)
***
## 📀 Artefatos Forenses no OCI
### 6.1 Audit Logs – A Fonte Primária de Evidências
Os **Audit Logs** são o artefato forense mais valioso no OCI, capturando todas as ações de gerenciamento .
**Tipos de logs de auditoria:**
| **Tipo** | **Descrição** | **Valor Forense** |
| ----------------------------- | --------------------------------------------------- | ------------------------------------- |
| **Eventos de Gerenciamento** | Operações CRUD em recursos | Quem criou/modificou/excluiu recursos |
| **Eventos de Acesso a Dados** | Acessos a dados (Storage, Database) | Quem leu dados sensíveis |
| **Eventos de Segurança** | Tentativas de acesso negadas, violações de política | Atividades suspeitas bloqueadas |
**Exemplo de consulta (CLI) :**
```bash
# Listar eventos de exclusão de instâncias
oci audit event list \
--compartment-id ocid1.compartment.oc1..xxxxx \
--start-time 2025-03-27T00:00:00Z \
--end-time 2025-03-27T23:59:59Z \
--query "data[?eventName=='com.oraclecloud.compute.terminateinstance']"
```
### 6.2 VCN Flow Logs – Tráfego de Rede
Os **VCN Flow Logs** capturam metadados de tráfego de rede para análise forense.
**Campos disponíveis:**
* `source_ip` / `dest_ip`: Endereços de origem e destino
* `source_port` / `dest_port`: Portas
* `protocol`: Protocolo (TCP, UDP, ICMP)
* `action`: Ação (ACCEPT, REJECT, DROP)
* `bytes`: Volume de dados transferidos
* `packets`: Número de pacotes
### 6.3 Logging Analytics – Centralização e Análise de Logs
O **Logging Analytics** é o serviço centralizado para ingestão, análise e visualização de logs .
**Funcionalidades:**
* Coleta de logs de múltiplas fontes (OCI, on-premises, terceiros)
* Enriquecimento com dados de contexto (geolocalização de IPs, etc.)
* Linguagem de consulta (Log Explorer) para investigação
* Análise de padrões e anomalias
### 6.4 Snapshots de Disco (Block Volume)
Para análise forense aprofundada de instâncias, é possível capturar **snapshots de discos (block volumes)** .
**Procedimento:**
```bash
# 1. Criar snapshot do boot volume da instância
oci bv snapshot create \
--volume-id ocid1.volume.oc1..xxxxx \
--display-name "forensic-snapshot-20250327"
# 2. Criar um novo volume a partir do snapshot
oci bv volume create \
--compartment-id ocid1.compartment.oc1..xxxxx \
--source-volume-id ocid1.volume.oc1..xxxxx \
--display-name "forensic-volume"
# 3. Anexar a uma instância de análise
oci compute volume-attachment attach \
--instance-id ocid1.instance.oc1..xxxxx \
--volume-id ocid1.volume.oc1..xxxxx \
--type iscsi
```
### 6.5 Bastion Service – Acesso Auditado
O **Bastion Service** fornece acesso SSH seguro e temporário a recursos privados .
**Benefícios forenses:**
* **Registro de acesso**: Quem acessou, quando, por quanto tempo
* **Sessões limitadas no tempo**: Previne acessos persistentes
* **Sem credenciais estáticas**: Elimina riscos de comprometimento
### 6.6 Análise Forense em Escala com OCI Data Flow
O OCI Data Flow, serviço serverless Apache Spark, permite análise de logs em escala .
**Desafio de análise de logs :**
* Logs brutos são volumosos e podem conter caracteres problemáticos (ex: `:` em timestamps)
* A análise em escala requer processamento distribuído
**Solução OCI Data Flow :**
* **Agregação de logs**: Reduz volume mantendo informações relevantes
* **ColonFileSystem**: Solução customizada para lidar com caracteres `:` em nomes de arquivos
* **Serverless**: Paga apenas pelo tempo de processamento
**Arquitetura de análise em escala :**
```mermaid
graph LR
A[Object Storage
Logs Brutos] --> B[OCI Data Flow
Processamento Spark]
B --> C[Object Storage
Dados Agregados]
C --> D[Logging Analytics
Análise e Visualização]
```
***
## 🔬 Investigação Forense e Resposta a Incidentes
### 7.1 O Processo de Resposta a Incidentes da Oracle
A Oracle mantém um **Security Incident Management Policy** que define processos para resposta a incidentes .
**Etapas do processo :**
1. **Detecção**: Identificação de eventos de segurança
2. **Investigação e Validação**: Confirmação de que o evento é um incidente
3. **Comunicação e Notificações**: Contato com partes relevantes
4. **Preservação de Evidências**: Coleta e manutenção de artefatos forenses
5. **Documentação**: Registro do incidente e ações de resposta
6. **Contenção**: Isolamento do incidente
7. **Remediação e Recuperação**: Correção da causa raiz
8. **Análise Pós-Incidente**: Identificação de oportunidades de melhoria
**Importante**: Clientes são responsáveis por monitorar seus próprios tenants via ferramentas disponíveis .
### 7.2 Preparação: Configuração de Logging e Monitoramento
**Checklist de preparação forense:**
| **Ação** | **Serviço** | **Justificativa** |
| ------------------------------------------------- | -------------------------- | ------------------------------------- |
| **Ativar Cloud Guard** | Cloud Guard | Detecção contínua de problemas |
| **Configurar Security Zones** | Security Zones | Prevenção de configurações inseguras |
| **Enviar logs para Object Storage** | Service Connector Hub | Retenção prolongada para investigação |
| **Configurar alertas** | Cloud Guard, Notifications | Detecção em tempo real |
| **Documentar compartimentos** | IAM | Entender estrutura de recursos |
| **Preparar políticas de acesso para emergências** | IAM | Acesso rápido durante incidentes |
### 7.3 Coleta de Evidências: Live vs Dead Forensics
| **Abordagem** | **Quando Usar** | **Evidências Coletadas** |
| ------------------ | ------------------------------------------ | --------------------------------------------- |
| **Live Forensics** | Instância em execução, processo em memória | Dados voláteis (processos, conexões, memória) |
| **Dead Forensics** | Instância parada, análise aprofundada | Disco completo (snapshot), análise offline |
**Procedimento de Live Forensics:**
1. Preservar estado via console connection
2. Coletar lista de processos, conexões de rede
3. Capturar dump de memória (se possível)
4. Registrar data/hora e contexto
**Procedimento de Dead Forensics:**
1. Criar snapshot do boot volume
2. Criar novo volume a partir do snapshot
3. Anexar a instância de análise em modo somente leitura
4. Analisar com ferramentas forenses
### 7.4 Análise Forense: Ferramentas e Metodologia
**Ferramentas nativas OCI:**
| **Ferramenta** | **Uso Forense** |
| -------------------------- | ----------------------------- |
| **Logging Analytics** | Consulta centralizada de logs |
| **Audit Service** | Histórico de ações |
| **Cloud Guard** | Descobertas de segurança |
| **Vulnerability Scanning** | Identificação de CVEs |
**Metodologia de análise:**
1. **Timeline Analysis**: Organizar eventos cronologicamente
2. **Correlação**: Relacionar eventos de diferentes fontes (Audit + Flow Logs)
3. **IOC Search**: Busca por indicadores de comprometimento conhecidos
4. **Análise de Disco**: Exame de arquivos, logs, configurações
### 7.5 Cadeia de Custódia: Preservação de Evidências
A cadeia de custódia em nuvem exige atenção especial para garantir admissibilidade legal .
**Práticas recomendadas:**
| **Prática** | **Implementação OCI** |
| ---------------------- | ----------------------------------------------------------- |
| **Registro de Acesso** | Audit Logs para qualquer acesso às evidências |
| **Imutabilidade** | Object Storage com políticas de retenção e versionamento |
| **Isolamento** | Compartimento separado para evidências, com acesso restrito |
| **Hashes** | Calcular e documentar hashes criptográficos de snapshots |
| **Documentação** | Registrar todos os passos da investigação |
### 7.6 Exemplo Prático: Investigação de Instância Comprometida
**Cenário**: Cloud Guard detecta "Instance has a public IP address" em uma instância que deveria ser privada .
**Fase 1: Detecção e Notificação**
* Cloud Guard gera problema (finding) com severidade apropriada
* Notificação enviada via email ou webhook
* Equipe de segurança inicia investigação
**Fase 2: Coleta de Evidências**
```bash
# 1. Identificar quando o IP público foi adicionado
oci audit event list \
--compartment-id ocid1.compartment.oc1..xxxxx \
--query "data[?eventName=='com.oraclecloud.compute.attachvnic']"
# 2. Verificar ações recentes do usuário
oci audit event list \
--query "data[?principal.id=='ocid1.user.oc1..xxxxx']" \
--limit 100
# 3. Criar snapshot para análise offline
oci bv snapshot create --volume-id ocid1.volume.oc1..xxxxx
```
**Fase 3: Análise**
* Examinar logs de autenticação SSH no snapshot
* Verificar processos suspeitos no momento do incidente
* Correlacionar com VCN Flow Logs para identificar tráfego de saída
**Fase 4: Resposta**
* Remover IP público via console ou CLI
* Rotacionar chaves SSH
* Aplicar patches de segurança
* Atualizar políticas de Security Zone para prevenir recorrência
***
## ✅ Melhores Práticas de Segurança Operacional
### 8.1 Organização com Compartimentos e Políticas IAM
| **Prática** | **Descrição** | **Implementação** |
| --------------------------------------- | --------------------------------------------- | ---------------------------------------------------- |
| **Hierarquia de Compartimentos** | Organizar por ambiente e equipe | `Prod`, `Dev`, `Test`, `Security`, `Logs` |
| **Políticas em nível de compartimento** | Aplicar políticas específicas por ambiente | Permissões mais restritas em produção |
| **Restringir DELETE** | Apenas administradores podem excluir recursos | Políticas com `where request.permission!='*_DELETE'` |
### 8.2 Logging e Monitoramento Essenciais
| **Prática** | **Descrição** | **Benefício** |
| ----------------------------------- | ------------------------------------ | ------------------------------------- |
| **Ativar Cloud Guard** | Monitoramento contínuo de problemas | Detecção precoce de más configurações |
| **Configurar Security Zones** | Prevenção de configurações inseguras | Conformidade automática |
| **Enviar logs para Object Storage** | Retenção de longo prazo | Preservação de evidências |
| **Usar Logging Analytics** | Análise centralizada de logs | Investigação eficiente |
### 8.3 Proteção de Dados e Criptografia
| **Prática** | **Descrição** | **Implementação** |
| --------------------------------------- | --------------------------------------- | -------------------------- |
| **Usar Vault para chaves customizadas** | Gerenciamento de chaves de criptografia | CMEK para dados sensíveis |
| **Rotacionar chaves regularmente** | Criação de novas versões de chave | Mitiga comprometimento |
| **Backups regulares** | Snapshots de volumes e bancos | Recuperação e forense |
| **Criptografia em trânsito** | TLS 1.2+ para todas as conexões | Protege dados em movimento |
### 8.4 Checklist de Segurança Recomendado
**Configuração Inicial:**
* [ ] **IAM Policies**: Privilégios mínimos, DELETE restrito
* [ ] **Compartimentos**: Estrutura definida por ambiente
* [ ] **Cloud Guard**: Ativado para todos os compartimentos
* [ ] **Security Zones**: Criadas para compartimentos de produção
* [ ] **Audit Logs**: Verificar retenção configurada
**Operações Contínuas:**
* [ ] **Rotação de chaves**: Regular conforme política
* [ ] **Patching**: Manter instâncias atualizadas
* [ ] **Revisão de permissões**: Acessos não utilizados revogados
* [ ] **Revisão de Security Zones**: Novas políticas avaliadas
**Resposta a Incidentes:**
* [ ] **Playbooks documentados**: Procedimentos de resposta definidos
* [ ] **Acesso de emergência**: Políticas IAM preparadas
* [ ] **Snapshots de evidências**: Procedimento documentado
***
## 📚 Referências e Ferramentas
### Documentação Oficial Oracle
| **Tópico** | **Documentação** |
| --------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| **OCI Security Overview** | [Oracle Cloud Infrastructure Security](https://docs.public.content.oci.oraclecloud.com/en-us/iaas/Content/cloud-adoption-framework/quick-links-security.htm) |
| **Security Best Practices** | [OCI Security Best Practices](https://docs.oracle.com/en-us/iaas/Content/Security/Reference/configuration_security.htm) |
| **Compute Security** | [Securing Compute](https://docs.oracle.com/en-us/iaas/Content/Security/Reference/compute_security.htm) |
| **IAM Policies** | [Security Zones and IAM](https://docs.oracle.com/ja-jp/iaas/Content/Security/Reference/securityzone_security.htm) |
| **Security Architecture** | [Security Architecture Pillars](https://docs.public.content.oci.oraclecloud.com/ja-jp/iaas/Content/cloud-adoption-framework/security-architecture.htm) |
| **Incident Response** | [Oracle Security Incident Response](https://www.oracle.com/europe/corporate/security-practices/corporate/security-incident-response/) |
### Serviços OCI de Segurança
| **Serviço** | **Função** | **Documentação** |
| -------------------------- | --------------------------------- | ------------------------------------------------------------------------------------------------------------------------- |
| **Cloud Guard** | Gestão de postura de segurança | [Cloud Guard Documentation](https://docs.oracle.com/en-us/iaas/Content/cloud-guide/cloud-guard.htm) |
| **Security Zones** | Conformidade automática | [Security Zones Documentation](https://docs.oracle.com/en-us/iaas/Content/security-zone/home.htm) |
| **Vault (KMS)** | Gerenciamento de chaves | [Vault Documentation](https://docs.oracle.com/en-us/iaas/Content/KeyManagement/Concepts/keyoverview.htm) |
| **Audit Service** | Registro de chamadas API | [Audit Documentation](https://docs.oracle.com/en-us/iaas/Content/Audit/Concepts/auditoverview.htm) |
| **WAF** | Proteção de aplicações web | [WAF Documentation](https://docs.oracle.com/en-us/iaas/Content/WAF/Concepts/overview.htm) |
| **Bastion** | Acesso SSH seguro | [Bastion Documentation](https://docs.oracle.com/en-us/iaas/Content/Bastion/Concepts/bastionoverview.htm) |
| **Vulnerability Scanning** | Gerenciamento de vulnerabilidades | [Vulnerability Scanning Documentation](https://docs.oracle.com/en-us/iaas/Content/scanning/Concepts/scanningoverview.htm) |
### Ferramentas e Recursos
* **OCI CLI**: Gerenciamento e coleta de evidências via linha de comando
* **OCI Console**: Interface gráfica para investigação
* **OCI Data Flow**: Análise de logs em escala com Apache Spark
* **Service Connector Hub**: Orquestração de logs para forense
### Comunidade e Treinamento
* [OCI Security Blog](https://blogs.oracle.com/cloud-infrastructure/category/security)
* [Oracle Cloud Free Tier](https://www.oracle.com/cloud/free/) – Teste serviços de segurança sem custo
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://0xmorte.gitbook.io/bibliadopentestbr/conceitos/ambientes/oracle.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.