コア・サービスのセキュリティ
Oracle Cloud Infrastructureのコア・サービスの主要なセキュリティ機能について学習します。
コンピュート
Oracle Cloud Infrastructure Computeでは、インスタンス と呼ばれるコンピュート・ホストをプロビジョニングおよび管理できます。コンピュートおよびアプリケーションの要件を満たすために必要に応じてインスタンスを起動できます。インスタンスを起動したら、コンピュータからインスタンスに安全にアクセスし、再起動、ボリュームのアタッチおよびデタッチを行い、完了時にインスタンスを終了できます。インスタンスのローカル・ドライブに対して行った変更内容は、インスタンスを終了すると失われます。インスタンスにアタッチされたボリュームに保存された変更内容は保持されます。
Oracle Cloud Infrastructureには、ベア・メタル・インスタンスと仮想マシン・インスタンスの両方が用意されています:
- Bare Metal
- ベア・メタル・コンピュート・インスタンスによって、最高のパフォーマンスと強力な分離を備えた専用の物理サーバーにアクセスできます。顧客がベア・メタル・インスタンスを終了した後で、ディスクおよびファームウェアレベルの自動ワイプ処理がサーバーで実行され、顧客間の分離が確保されます。
- 仮想マシン
- 仮想マシン(VM)は、物理的なベア・メタル・ハードウェア上で稼働する独立コンピューティング環境です。仮想化によって、相互に分離された複数のVMを実行できるようになります。VMは、物理マシン全体のパフォーマンスおよびリソース(CPU、メモリー、ネットワーク帯域幅、ストレージ)を必要としないアプリケーションの実行に理想的です。
Oracle Cloud Infrastructure VMコンピュート・インスタンスは、ベア・メタル・インスタンスと同じハードウェア上で、クラウド最適化の同じハードウェア、ファームウェア、ソフトウェア・スタックおよびネットワーク・インフラストラクチャを使用して実行されます。
すべてのOracle Cloud Infrastructureインスタンスは、デフォルトではキーベースのSecure Shell (SSH)を使用します。顧客は、Oracle Cloud InfrastructureにSSH公開キーを提供し、SSH秘密キーを使用してインスタンスにアクセスします。Oracleでは、キーベースのSSHを使用してOracle Cloud Infrastructureインスタンスにアクセスすることをお薦めします。パスワードベースのSSHは、攻撃の徹底に影響を及ぼす可能性があり、お薦めしません。
Oracle Cloud Infrastructureインスタンスでの実行には、最新のセキュリティ更新で強固なOracle Linuxイメージを使用できます。Oracle LinuxイメージはUnbreakable Enterprise Kernel (UEK)を実行し、Kspliceなどの高度なセキュリティ機能をサポートして、再起動せずにセキュリティ・パッチを適用できます。Oracle Linuxに加えて、Oracle Cloud Infrastructureでは、CentOS、Ubuntu、Windows Serverなど、他のOSプラットフォーム・イメージのリストを使用できます。すべてのプラットフォーム・イメージは、OSレベルのファイアウォールがデフォルトでオンになっているなど、セキュアなデフォルト設定で提供されます。
独自のカスタム・イメージを持ち込むこともできます。ただし、特定のセキュリティ・ゾーン・ポリシーでは、セキュリティ・ゾーンに関連付けられたコンパートメントでのプラットフォーム・イメージの使用のみが許可されます。
脆弱性スキャン・サービスを使用して、欠落しているパッチやオープン・ポートなどの潜在的なセキュリティ脆弱性をインスタンスを定期的にチェックします。このサービスは、これらの脆弱性に関するメトリックと詳細を含むレポートを生成し、それぞれにリスク・レベルを割り当てます。
- 特殊インスタンス
-
Oracle Cloud Infrastructureには、ワークロードおよびセキュリティの特殊な要件に合せてインスタンスをカスタマイズできる機能があります。
- 保護インスタンスは、ベア・メタル・ホストおよび仮想マシンのファームウェア・セキュリティを強化して、悪意のあるブート・レベルのソフトウェアから保護します。詳細は、保護インスタンスを参照してください。
- 機密コンピューティングは、使用中のデータとそのデータを処理するアプリケーションを暗号化して分離します。詳細は、機密コンピューティングを参照してください。
- 専用仮想マシン・ホストでは、テナントが1つのみで、他の顧客と共有ではない専用サーバー上でOCI Compute仮想マシン・インスタンスを実行できます。詳細は、専用仮想マシン・ホストを参照してください。
詳細は、次を参照してください:
ネットワーク 🔗
Oracle Cloud Infrastructure Networkingサービスでは、カスタマイズ可能なプライベート・ネットワーク(VCNまたは仮想クラウド・ネットワーク)を定義できます。これにより、Oracle Cloud Infrastructureリソースの論理的な分離が強化されます。データ・センター内のオンプレミス・ネットワークと同様に、サブネット、ルート表、ゲートウェイおよびファイアウォール・ルールを使用してVCNを設定できます。
VCNに関連する主なネットワーキングの概念は次のとおりです:
- サブネット
- VCNの基本的な下位区分。サブネットは、パブリックまたはプライベートにできます。プライベート・サブネットは、そのサブネットで起動されたリソースがパブリックIPアドレスを持つことを防ぎます。
- インターネット・ゲートウェイ
- VCNからのパブリック・インターネット接続を提供する仮想ルーター。デフォルトでは、新規作成されたVCNにはインターネット接続がありません。
- 動的ルーティング・ゲートウェイ(DRG)
- VCNとデータ・センターのネットワーク間のプライベート・トラフィック用のパスを提供する仮想ルーター。DRGは、IPSec VPNまたはOracle Cloud Infrastructure FastConnectとともに使用されます。
- ネットワークアドレス変換(NAT)ゲートウェイ
- パブリックIPアドレスを持たないクラウド・リソースが着信インターネット接続に公開されることなくインターネットにアクセスできるようにする仮想ルーター。
- サービス・ゲートウェイ
- インターネット・ゲートウェイまたはNATゲートウェイを使用せずに、オブジェクト・ストレージなどのOracleサービスに対するプライベート・アクセス権をクラウド・リソースに付与する仮想ルーター。
- ルート表
- ゲートウェイまたは特別に構成されたコンピュート・インスタンスを介して、サブネットからVCN以外の宛先にトラフィックをルーティングするルールを持つ仮想ルート表。
- セキュリティ・リスト
- リソースの内外で許可されるトラフィックのタイプ(プロトコルとポート)を指定する仮想ファイアウォール・ルール。個々のルールは、ステートフルまたはステートレスとして定義でき、ターゲット・サブネット内のすべてのリソースに影響します。
- ネットワーク・セキュリティ・グループ
- グループのメンバーであるリソースへの許可されるイングレスおよびエグレスを定義する仮想ファイアウォール・ルール。個々のルールは、ステートフルまたはステートレスとして定義できます。
セキュリティ・リスト、ネットワーク・セキュリティ・グループ、またはその両方の組合せを使用して、VCN内のリソースとの間でパケット・レベルのトラフィックを制御します。たとえば、ソースCIDR 0.0.0.0/0および宛先TCPポート22を使用して、任意の場所からサブネットまたはインスタンスのグループへの受信SSHトラフィックを許可できます。すべてのVCNには、SSHおよび特定のタイプの重要なICMPのイングレス・トラフィックのみを許可し、すべてのエグレス・トラフィックを許可するデフォルトのセキュリティ・リストがあります。
プライベート・サブネットを作成して、VCNが動作中のインターネット・ゲートウェイを持ち、セキュリティ・ルールおよびファイアウォール・ルールでトラフィックが許可されている場合でも、サブネット内のリソースがインターネット・アクセスを持たないようにします。特定のセキュリティ・ゾーン・ポリシーでは、プライベート・サブネットの使用のみが許可されます。要塞サービスを使用して、インターネットからプライベート・サブネット内のリソースへのセキュアな一時SSHセッションを作成できます。
VCNは、インターネット接続用に構成することも、サイト間VPNor FastConnectを介してプライベート・データ・センターに接続することもできます。FastConnectは、既存のネットワークのエッジ・ルーターとDRG間のプライベート接続を提供します。トラフィックがインターネットを通過することはありません。
詳細は、次を参照してください:
ストレージ 🔗
Oracle Cloud Infrastructureには、パフォーマンスや耐久性の要件を満たすために複数のストレージ・ソリューションが用意されています:
- ローカル記憶域
- コンピュート・インスタンス上のNVMeにバックアップされたストレージで、高いIOPSを実現します。
- ブロック・ボリューム
- ネットワーク接続されたストレージ・ボリューム。コンピュート・インスタンスにアタッチできます。
- オブジェクト・ストレージ
- 大容量のデータをオブジェクトとして格納し、強力な一貫性と耐久性を提供するリージョン・サービス。オブジェクトはバケットを使用して編成されます。
- File Storage
-
ネットワーク・ファイル・システム・バージョン3.0 (NFSv3)プロトコルをサポートする永続ネットワーク・ファイル・システム。
Oracle Cloud Infrastructure Block Volumeサービスは、iSCSIプロトコルを使用してコンピュート・インスタンスにアタッチできる永続ストレージを提供します。ボリュームは高パフォーマンスのネットワーク・ストレージに格納され、自動バックアップおよびスナップショット機能をサポートします。ボリュームとそのバックアップは、顧客のVCN内からのみアクセスすることができ、保存中は一意キーを使用して暗号化されます。セキュリティを強化するために、ボリューム単位でiSCSI CHAP認証を必須とすることができます。
Oracle Cloud Infrastructure Object Storageサービスは、非常にスケーラブルで一貫性のある永続的なオブジェクト・ストレージを提供します。HTTPSを介したAPIコールによって、データに対する高スループットのアクセスが実現します。すべてのオブジェクトは、一意キーを使用して保存時に暗号化され、デフォルトでバケットおよびオブジェクトへのアクセスには認証が必要です。
セキュリティ・ゾーン・ポリシーでは、Vaultサービスの顧客管理キーを使用してボリューム、オブジェクトおよびファイル・システムを暗号化する必要があります。セキュリティ・アドバイザを使用して、単一のインタフェースでストレージ・リソースおよび必要なキーをすばやく作成することもできます。
IAMセキュリティ・ポリシーを使用して、ユーザーおよびグループにオブジェクト・ストレージ・バケットへのアクセス権限を付与します。IAM資格証明のないユーザーによるバケットへのアクセスを許可するには、バケット所有者(または必要な権限のあるユーザー)が事前認証済リクエストを作成できます。事前認証済リクエストでは、指定した期間、バケットまたはオブジェクトに対する認可済アクションが許可されます。
あるいは、バケットをパブリックにして、認証されていない匿名アクセスを許可することもできます。オブジェクト・ストレージでは、MD5チェックサムをオブジェクトとともに送信し、アップロードの成功時に返せるようにすることで、オブジェクトが意図せず破損していないことを検証できます。このチェックサムを使用してオブジェクトの整合性を検証できます。Oracleでは、不注意な情報開示のセキュリティ・リスクを考慮して、バケットを公開する前にビジネス・ケースを慎重に検討することをお薦めします。特定のセキュリティ・ゾーン・ポリシーでは、パブリック・バケットの作成が禁止されています。
Oracle Cloud Infrastructure File Storageサービスでは、ファイル・システム、マウント・ターゲット、エクスポート・セットなどのリソースを管理できます。IAMポリシーを使用して、これらのリソースへのアクセスを定義します。認証および権限チェックのAUTH_UNIX
スタイルは、ファイル・システムへのリモートNFSクライアント・リクエストでサポートされています。
詳細は、次を参照してください:
Database 🔗
Oracle Cloud Infrastructure Databaseサービスは、自律型および共同管理のOracle Database Cloudソリューションを提供します。どちらのタイプのデータベース・ソリューションでも、データベースで使用可能な機能と操作への完全なアクセスはできますが、Oracleはインフラストラクチャを所有および管理します。
- 自律型データベースは、トランザクション処理またはデータ・ウェアハウス・ワークロードに適した事前構成済の完全管理型の環境です。
- 共同管理ソリューションは、ベア・メタル、仮想マシンおよびExadata DBシステムであり、ニーズに合ったリソースや設定でカスタマイズできます。
DBシステムにはVCNからのみアクセスでき、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを構成してデータベースへのネットワーク・アクセスを制御できます。データベース・サービスはIAMと統合されており、どのユーザーによるDBシステムの起動や管理が可能です。デフォルトでは、保存中のデータは、保存中のOracle透過的データ暗号化(TDE)と、各DBシステムのOracle Walletに格納されるマスター・キーを使用して暗号化されます。
DBシステムのRMANバックアップは、暗号化されて、オブジェクト・ストレージ・サービス内の顧客所有のバケットに格納されます。特定のセキュリティ・ゾーン・ポリシーでは、データベース・バックアップの構成が必要です。
Oracleデータベース・セキュリティ・パッチ(Oracle Critical Patch Updates)の適用は、既知のセキュリティ問題を軽減するために不可欠であり、Oracleではパッチを最新の状態に保つことをお薦めします。パッチ・セットおよびパッチ・セット更新(PSU)は四半期ごとにリリースされます。これらのパッチ・リリースには、セキュリティ修正および他の高インパクト/低リスクのクリティカルなバグ修正が含まれています。
詳細は、データベースの保護を参照してください。
ロード・バランス 🔗
Oracle Cloud Infrastructure Load Balancerは、仮想クラウド・ネットワーク(VCN)からアクセス可能な複数のサーバーに対して、1つのエントリ・ポイントから自動トラフィック分散を提供します。このサービスによって、選択されたパブリックまたはプライベートのIPアドレスと、プロビジョニングされた帯域幅を備えたロード・バランサが提供されます。プライベート・ロード・バランサには、ホストしているサブネットからのIPアドレスがあります(これはVCN内でのみ表示されます)。
ロード・バランサには次のSSL構成を適用できます:
- SSL終了
- ロード・バランサは、受信SSLトラフィックを処理し、暗号化されていないリクエストをバックエンド・サーバーに渡します。
- ポイント・ツー・ポイントSSL
- ロード・バランサは、受信トラフィック・クライアントとのSSL接続を終了してから、バックエンド・サーバーへのSSL接続を開始します。
- SSLトンネリング
- TCPトラフィック用にロード・バランサのリスナーを構成すると、ロード・バランサは、受信SSL接続をアプリケーション・サーバーにトンネリングします。
ロード・バランサ・サービスでは、デフォルトでTLS 1.2がサポートされ、次のTLS暗号スイートの前方秘匿性暗号が優先されます:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
- DHE-RSA-AES256-GCM-SHA384
- DHE-RSA-AES256-SHA256
- DHE-RSA-AES128-GCM-SHA256
- DHE-RSA-AES128-SHA256
VCNのネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用して、ロード・バランサに対するネットワーク・アクセスを構成できます。
詳細は、ネットワーキングの保護: VCN、ロード・バランサおよびDNSを参照してください。