Oracle Cloud Infrastructureドキュメント

セキュリティ・サービス

顧客分離、アイデンティティ管理、認可、データ暗号化、脆弱性検出、モニタリングなどを提供するOracle Cloud Infrastructureのセキュリティ・サービスについて学習します。

次の図は、Oracle Cloud Infrastructureのセキュリティ・サービスを示しています。


リージョンには2つのVCNsがあり、各VCNには要塞とプライベート・サブネットがあります。各プライベート・サブネットには、インスタンスとデータベースがあります。VCNsの1つがセキュリティ・ゾーンにあります。もう一方のVCNにもパブリック・サブネットがあります。このリージョンには、VaultおよびWAFもあります。

リージョンと可用性ドメイン

Oracle Cloud Infrastructureリージョンは、インフラストラクチャの最上位コンポーネントです。各リージョンは地理的に分かれた領域であり、可用性ドメインと呼ばれるフォルト分離の場所が複数あります。可用性ドメインはリージョンのサブコンポーネントです。独立しており、高い信頼性があります。各可用性ドメインは、完全に独立したインフラストラクチャ(建物、発電機、冷却装置およびネットワーク接続)を使用して構築されています。物理的な分離によって、自然災害やその他の災害に対して保護することができます。

同じリージョン内にあるアベイラビリティ・ドメインは、安全な高速で低レイテンシ・ネットワークによって接続されます。これにより、アプリケーションのレイテンシやパフォーマンスへの影響を最小限に抑えながら、信頼性の高いアプリケーションやワークロードを構築し実行できます。可用性ドメイン間のリンクはすべて暗号化されます。

詳細は、リージョンおよび可用性ドメインを参照してください。

Oracle Cloud Infrastructureは、政府機関のセキュリティおよびコンプライアンス要件を満たす特定の特性を持つリージョンも提供します。

アイデンティティおよびアクセス管理(IAM)


このテナンシには、default、devおよびprodの3つのアイデンティティ・ドメインが含まれています。各アイデンティティ・ドメインには、ユーザーとグループがあります。テナンシには、ポリシーと2つのコンパートメント(AとB)もあります。各コンパートメントには、リソース(コンピュートなど)とポリシーがあります。

Oracle Cloud Infrastructure Identity and Access Managementサービスは、すべてのOracle Cloud Infrastructureリソースおよびサービスに対して認証および認可を提供します。様々なビジネス・ユニット、チームおよび個人によって共有される単一テナンシを使用すると同時に、セキュリティ、分離およびガバナンスを維持できます。

IAMでは、この項で説明されているコンポーネントが使用されます。コンポーネントがどのように適合するかをより深く理解するには、シナリオ例を参照してください。

コンパートメント
関連リソースのコレクション。コンパートメントは、クラウド・リソースを編成および分離するためのOracle Cloud Infrastructureの基本コンポーネントです。これを使用して、使用状況と請求の測定、(ポリシーの使用を通じた)アクセス、および(あるプロジェクトまたはビジネス・ユニットのリソースを別のものから区別する)分離を目的としてリソースを明確に区別します。一般的な方法は、組織の主要部分ごとにコンパートメントを作成することです。詳細は、テナンシを設定するためのベスト・プラクティスについて学習しますを参照してください。
動的グループ
定義するルールに一致するリソース(コンピュート・インスタンスなど)を含む特別なタイプのグループ(このため、メンバーシップは、一致するリソースの作成または削除時に動的に変更される可能性があります)。これらのインスタンスは「プリンシパル」のアクターとして機能し、動的グループ向けに記述するポリシーに従ってサービスにAPIコールを行うことができます。
フェデレーション
管理者がアイデンティティ・プロバイダとサービス・プロバイダの間で構成する関係。Oracle Cloud Infrastructureをアイデンティティ・プロバイダとフェデレートする場合、アイデンティティ・プロバイダ内のユーザーとグループを管理します。Oracle Cloud InfrastructureのIAMサービスで認可を管理します。
GROUP
同様のアクセス権限セットを共有するユーザーのコレクション。管理者は、テナンシ内のリソースを消費または管理できるようにグループを認可するアクセス・ポリシーを付与できます。同じグループのすべてのユーザーは、同じ権限セットを継承します。
ホーム・リージョン
IAMリソースが存在するリージョン。すべてのIAMリソースはグローバルで、すべてのリージョンで使用できますが、定義のマスター・セットは、単一のリージョンであるホーム・リージョンにあります。ホーム・リージョン内のIAMリソースを変更する必要があります。変更は、すべてのリージョンに自動的に伝播されます。詳細は、リージョンの管理を参照してください。
アイデンティティ・ドメイン

アイデンティティ・ドメインとは、ユーザーとロールの管理、ユーザーのフェデレートとプロビジョニング、Oracle Single Sign-On (SSO)構成を使用したセキュアなアプリケーション統合、およびOAuth管理を行うためのコンテナです。これは、Oracle Cloud Infrastructureのユーザー人口と、それに関連付けられた構成およびセキュリティ設定(MFAなど)を表します。

アイデンティティ・プロバイダ
フェデレーテッド・アイデンティティ・プロバイダとの信頼できる関係。Oracle Cloud Infrastructureコンソールに対して認証を試みるフェデレーション・ユーザーは、構成されているアイデンティティ・プロバイダにリダイレクトされます。正常に認証されると、フェデレーテッド・ユーザーはネイティブのIAMユーザーと同様にコンソールでOracle Cloud Infrastructureリソースを管理できます。
MFA
MFA (Multifactor Authentication)は、ユーザーのアイデンティティを検証するために複数の要素を使用する必要のある認証方法です。
ネットワーク・ソース
テナント内のリソースへのアクセスが許可されたIPアドレスのグループ。IPアドレスは、パブリックIPアドレスか、テナンシ内のVCNからのIPアドレスです。ネットワーク・ソースの作成後、ネットワーク・ソース内のIPから発生したリクエストのみにアクセスを制限するポリシーを使用します。
リソース
Oracle Cloud Infrastructureサービスとの対話時に作成および使用するクラウド・オブジェクト。たとえば、コンピュート・インスタンス、ブロック・ストレージ・ボリューム、仮想クラウド・ネットワーク(VCNs )、サブネット、データベース、サードパーティ・アプリケーション、Software-as-a-Service (SaaS)アプリケーション、オンプレミス・ソフトウェアおよび小売Webアプリケーションなどです。
ロール
アイデンティティ・ドメイン内のユーザーに割り当てることができる管理権限のセット。
セキュリティ・ポリシー
どのユーザーがどのリソースにアクセスできるか、およびその方法を指定するドキュメントです。ポリシーを記述して、Oracle Cloud Infrastructure内のすべてのサービスへのアクセスを制御できます。アクセス権はグループ・レベルおよびコンパートメント・レベルで付与されます。つまり、特定のコンパートメント内またはテナンシ自体への特定のアクセスのタイプをグループに付与するポリシーを記述できます。テナンシへのグループ・アクセス権を付与する場合、グループはテナンシ内のすべてのコンパートメントへの同じアクセスのタイプを自動的に取得します。詳細は、シナリオ例ポリシーの仕組みを参照してください。「ポリシー」の用法は様々です。ポリシー言語で記述された個々のステートメントを意味する場合、"policy"という名前の(Oracle Cloud ID (OCID)が割り当てられている)単一ドキュメント内のステートメントの集合を意味する場合、リソースへのアクセスを制御するために組織で使用されるポリシーの本文全体を意味する場合があります。
ポリシーを適用すると、ポリシーが有効になるまでに若干の遅延が発生する可能性があります。
ログイン・ポリシー
サインオン・ポリシーを使用すると、アイデンティティ・ドメイン管理者、セキュリティ管理者およびアプリケーション管理者は、ユーザーにアイデンティティ・ドメインへのサインインを許可するかどうかを決定する基準を定義できます。
TAGS
タグを使用すると、レポートまたは一括処理のために、複数のコンパートメントにまたがるリソースを整理できます。
テナンシ
組織のOracle Cloud Infrastructureリソースすべてを含むルート・コンパートメント。Oracleによって、会社のテナンシが自動的に作成されます。テナンシーの中に、お客様のIAMエンティティ(ユーザー、グループ、コンパートメントおよびいくつかのポリシー)があります。テナンシー内のコンパートメントにポリシーを入れることもできます。作成するコンパートメント内に他のタイプのクラウド・リソース(インスタンス、仮想ネットワーク、ブロック・ストレージ・ボリュームなど)を配置します。
テナンシ管理者は、ユーザーとグループを作成し、コンパートメントにパーティション化されるリソースへの最小アクセス権をユーザーとグループに割り当てることができます。
USER
会社のOracle Cloud Infrastructureリソースを管理または使用する必要がある個々の従業員またはシステム。ユーザーには、インスタンスの起動、リモート・ディスクの管理、仮想クラウド・ネットワークの使用などが必要な場合があります。アプリケーションのエンド・ユーザーは、通常、IAMユーザーではありません。ユーザーには1つ以上のIAM資格証明があります(ユーザー資格証明を参照)。

コンパートメント

コンパートメントは、1つの論理ユニットとして管理できるリソースのグループです。これを使用すると、大きなインフラストラクチャを合理的に管理することができます。たとえば、コンパートメントHR-Compartmentを作成して、HRアプリケーションに必要な特定のクラウド・ネットワーク、コンピュート・インスタンス、ストレージ・ボリュームおよびデータベースをホストできます。

コンパートメントを使用して、あるプロジェクトまたはビジネス・ユニットのリソースを別のプロジェクトまたはビジネス・ユニットから明確に分離します。一般的な方法は、組織の主要部分ごとにコンパートメントを作成することです。

資格証明

各ユーザーには、Oracle Cloud Infrastructureに対して認証する資格証明が1つ以上あります。ユーザーは自分の資格証明を生成してローテーションできます。また、テナンシのセキュリティ管理者は、テナンシ内のすべてのユーザーの資格証明をリセットできます。

  • コンソール・パスワード: Oracle Cloud Infrastructure Consoleに対するユーザーの認証に使用されます。
  • APIキー: すべてのAPIコールは、ユーザー固有の2048ビットRSA秘密キーを使用して署名されます。ユーザーは、コンソールで公開キー・ペアを作成し、その公開キーをアップロードします。
  • 認証トークン:認証トークンはOracleで生成されるトークン文字列です。Oracle Cloud Infrastructureの署名ベース認証がサポートされないサードパーティAPIで認証するために使用できます。たとえば、認証トークンを使用してSwiftクライアントで認証します。十分な複雑さを確保するために、IAMサービスによってトークンが作成され、トークンを指定できません。
  • 顧客秘密キー: オブジェクト・ストレージ・サービスのS3互換APIにアクセスするために、Amazon S3クライアントによって使用されます。十分な複雑さを確保するために、IAMサービスによってこのパスワードが作成され、指定できません。

Oracle Cloud Infrastructureは、Microsoft Active Directory、Microsoft Azure Active Directory、およびSecurity Assertion Markup Language (SAML) 2.0プロトコルをサポートする他のアイデンティティ・プロバイダとのフェデレーションをサポートしています。フェデレーテッド・グループは、フェデレーテッド・ユーザーの権限を決定するネイティブIAMグループにマップされます。

アイデンティティ・ドメイン

Oracle Cloud Infrastructureがテナンシのホーム・リージョンをアップグレードした場合は、テナンシにアイデンティティ・ドメインを作成することもできます。アイデンティティ・ドメインは、ユーザーとグループの管理、ユーザーのフェデレートとプロビジョニング、シングル・サインオン(SSO)の構成、およびOAuthの構成を行うためのコンテナです。各テナントには、デフォルトのアイデンティティ・ドメインが含まれます。アイデンティティ・ドメインへのアクセス権がありますか。を参照してください。

組織内のセキュリティ標準などの場合は、テナンシで複数のアイデンティティ・ドメインを使用します:

  • 開発ユーザーIDが本番環境に存在しないようにします。
  • 異なる管理者が異なるユーザー環境を制御する必要がある

アイデンティティ・ドメインは、OpenID ConnectおよびOAuthをサポートし、他のカスタム・アプリケーションからカスタム・アプリケーションへのプログラムによるアクセスを保護するための、スケーラビリティの高いマルチテナント・トークン・サービスを提供します。

  • OAuth 2.0を使用して、カスタム・アプリケーションの認可を定義します。OAuth 2.0フレームワークは、通常、同意のあるサード・パーティ認可リクエストに使用されます。カスタム・アプリケーションでは、2-leggedと3-leggedの両方のOAuthフローを実装できます。
  • OpenID Connectを使用して、カスタム・アプリケーションの認証を外部化します。OpenID Connectには、OAuth 2.0認可フレームワークをクラウド内のアイデンティティをフェデレートする方法として使用する、フェデレーテッドSSOを提供する認証プロトコルがあります。カスタム・アプリケーションはOpen ID Connectフローに関与します。

ポリシー

Oracle Cloud Infrastructureリソースにアクセスする顧客のすべての呼出しは、IAMサービス(つまりフェデレーテッド・プロバイダ)によって最初に認証されてから、IAMポリシーに基づいて認可されます。テナントのコンパートメント内のインフラストラクチャ・リソース(ネットワーク、コンピュート、ストレージなど)にアクセスする権限を一連のユーザーに付与するポリシーを作成できます。このようなポリシーには柔軟性があります。また、人が読める形式で書き込まれ、理解したり監査したりするのが容易です。1つのポリシーには、次の構文の1つ以上のポリシー・ステートメントが含まれます:

Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>

次のポリシー例では、GroupAdminsグループが任意のグループを作成、更新または削除できます:

Allow group GroupAdmins to manage groups in tenancy

次のポリシーの例では、TestNetworkAdminsグループがTestCompartmentコンパートメント内のネットワークを作成、更新または削除できます:

Allow group TestNetworkAdmins to manage virtual-network-family in compartment TestCompartment

詳細は、次を参照してください:

クラウド・ガード


ターゲットは、応答者をトリガーする問題をトリガーするディテクタによって監視されます。

クラウド・ガードを使用して、Oracle Cloud Infrastructureリソースに構成に関連するセキュリティの弱点がないかどうかを確認し、オペレータおよびユーザーにリスクのあるアクティビティがないかどうかを調べます。検出時に、クラウド・ガードは修正アクションを提案し、特定のアクションを自動的に実行するように構成できます。例:

  • パブリックにアクセス可能(パブリックIPアドレスがあるか、パブリック・サブネット上にある)のインスタンスを検出し、インスタンスを停止します。
  • パブリックにアクセスできるオブジェクト・ストレージ・バケットを検出し、バケットを無効にします。
  • 疑わしいIPアドレスからユーザー・ログインを検出し、このアドレスからのトラフィックを制限します。
  • 侵害されたアカウントまたは内部脅威を示す可能性のあるユーザー・アクティビティを検出します。

Oracleでは、テナンシでクラウド・ガードを有効にすることをお薦めします。テナンシ全体(ルート・コンパートメントおよびすべてのサブコンパートメント)を確認するようにクラウド・ガード・ターゲットを構成することも、特定のコンパートメントのみをチェックするようにターゲットを構成することもできます。

各ターゲットはディテクタ・レシピに関連付けられます。ディテクタ・レシピでは、クラウド・ガードで問題を報告する特定のユーザー・アクションまたはリソース構成を定義します。Oracleには、デフォルトのクラウド・ガード・ディテクタ・レシピがいくつか用意されています。このレシピは、そのまま使用することも、必要に応じてカスタマイズすることもできます。たとえば、特定のディテクタ・ルールに関連付けられたリスク・レベルまたは設定を変更できます。クラウド・ガードが新しいディテクタ・ルールを追加すると、Oracle管理レシピで自動的に有効化され、カスタム・レシピで無効化されます。

クラウド・ガードの脅威ディテクタ・レシピには、テナンシ内のアクティビティの微妙なパターンを検出するように特別に設計された一連のルールが含まれており、最終的にセキュリティの問題を引き起こす可能性があります。

クラウド・ガード・レスポンダ・レシピは、ディテクタが識別した問題に対応して実行するアクションまたはアクションのセットを定義します。また、イベントおよび通知サービスを使用して、クラウド・ガードが通知が必要な問題のタイプを検出するたびに通知を送信することもできます。電子メールまたはSlackで通知を送信するか、Functionsサービスでカスタム・コードを実行できます。

詳細は、クラウド・ガードを参照してください。

脆弱性スキャン


コンピュート・インスタンスやコンテナ・レジストリ・リポジトリなどの1つ以上のターゲットにスキャン・レシピが関連付けられています。プライベート・サブネットのインスタンスにアクセスするには、サービス・ゲートウェイが必要です。クラウド・ガードを使用して、スキャンの問題を表示することもできます。

Oracle Cloud Infrastructure Vulnerability Scanning Serviceは、コンピュート・インスタンスおよびコンテナ・イメージの潜在的な脆弱性を定期的にチェックすることで、セキュリティ状態を改善するのに役立ちます。このサービスは、これらの脆弱性に関するメトリックと詳細を含むレポートを生成し、それぞれにリスク・レベルを割り当てます。例:

  • 意図せずに開いたままになっているポートは、クラウド・リソースへの潜在的な攻撃ベクトルになったり、ハッカーが他の脆弱性を悪用するために使用する可能性があります。
  • 脆弱性に対処するために更新およびパッチが必要なOSパッケージ
  • ハッカーが悪用する可能性のあるOS構成
  • ターゲットOSのCenter for Internet Security (CIS)によって公開されている業界標準のベンチマーク

クラウド・ガードでこれらの脆弱性をモニターすることもできます。脆弱性を検出すると、クラウド・ガードは修正アクションを提案し、特定のアクションを自動的に実行するように構成できます。

詳細は、スキャンの概要を参照してください。

セキュリティ・ゾーン


リージョン内のリソースは、2つのコンパートメントに編成されています。コンパートメントの1つは、セキュリティ・ゾーン、セキュリティ・ゾーン・レシピおよびクラウド・ガード内のセキュリティ・ゾーン・ターゲットに関連付けられています。

セキュリティ・ゾーンを使用すると、コンピュート、ネットワーキング、オブジェクト・ストレージ、データベースおよびその他のリソースがOracleのセキュリティ原則およびベスト・プラクティスに準拠していることを確認できます。セキュリティ・ゾーンは、1つ以上のコンパートメントおよびセキュリティ・ゾーン・レシピに関連付けられます。セキュリティ・ゾーンでリソースを作成および更新すると、Oracle Cloud Infrastructureでは、これらの操作がセキュリティ・ゾーン・ポリシーに対して検証されます。セキュリティ・ゾーン・ポリシーに違反している場合、操作は拒否されます。

次に、セキュリティ・ゾーン・ポリシーの例を示します:

  • セキュリティ・ゾーンのサブネットをパブリックにすることはできません。すべてのサブネットはプライベートである必要があります。
  • セキュリティ・ゾーン内のコンピュート・インスタンスのブート・ボリュームもセキュリティ・ゾーン内に存在する必要があります。
  • セキュリティ・ゾーンのオブジェクト・ストレージ・バケットは、顧客管理のマスター暗号化キーを使用する必要があります。
  • 特定のリソース(ブロック・ボリュームやコンピュート・インスタンスなど)をセキュリティ・ゾーンから標準コンパートメントに移動することができません。

セキュリティ・ゾーンを作成する前に、クラウド・ガードを有効にする必要があります。クラウド・ガードは、セキュリティ・ゾーンの前に作成された既存のリソースのポリシー違反を検出するのに役立ちます。

詳細は、セキュリティ・ゾーンの概要を参照してください。

Vault

Vaultサービスを使用して、次のリソースを作成および管理できます。

  • ボールト
  • キー
  • シークレット

ボールトには、データの保護および保護されたリソースへの接続に使用する暗号化キーおよびシークレット資格証明が含まれます。顧客管理リソースとして、ボールト、キーおよびシークレットに誰がアクセスできるかを完全に制御できます。また、認可されたユーザーとサービスがVaultリソースで実行できる操作も制御します。アクセスのレベルは幅広く、特定のサービスが個々のキーを使用できるかどうかといった細かいものから、ユーザーがボールトからキーを削除してキーの使用を完全に禁止できるかどうかといった大きな影響を持つライフサイクル管理アクティビティまで多様です。

キーは、連邦情報処理標準(FIPS) 140-2セキュリティ・レベル3のセキュリティ証明を満たす、可用性の高い永続的なハードウェア・セキュリティ・モジュール(HSM)に格納されます。シークレットおよびシークレット・バージョンは、base64でエンコードされ、マスター暗号化キーを使用して暗号化されますが、HSM内には存在しません。

Vaultサービスでサポートされる主な暗号化アルゴリズムには、Advanced Encryption Standard (AES)、Rivest-Shamir-Adleman (RSA)アルゴリズムおよび楕円曲線デジタル署名アルゴリズム(ECDSA)が含まれます。暗号化および復号化には、AES対称キーおよびRSA非対称キーを作成して使用できます。デジタル・メッセージの署名にRSAまたはECDSA非対称キーを使用することもできます。

セキュリティ・ゾーン・ポリシーでは、可能な場合は顧客管理キーを使用してリソースを暗号化する必要があります。次のサービスでは、リソース暗号化で顧客管理キーの使用がサポートされています:

  • ブロック・ボリューム
  • Kubernetes Engine
  • Oracle Cloud Infrastructure Database
  • File Storage
  • オブジェクト・ストレージ
  • ストリーム

詳細は、ボールトの概要を参照してください。

セキュリティ・アドバイザ

セキュリティ・アドバイザは、Oracleのセキュリティ原則およびベスト・プラクティスに沿ったクラウド・リソースの作成を支援します。また、リソースがセキュリティ・ゾーン・ポリシーによって強制される要件を満たしていることも保証されます。たとえば、Vaultサービスを使用して、顧客管理のマスター暗号化キーで暗号化されたリソースをすばやく作成できます。

たとえば、セキュリティ・アドバイザを使用すると、次のリソースを作成できます:

  • オブジェクト・ストレージ バケット
  • ファイル記憶域 ファイル・システム
  • インスタンス(コンピュート)の計算(および関連付けられたブート・ボリューム)
  • ブロック・ボリューム・ブロック・ストレージ・ボリューム

詳細は、セキュリティ・アドバイザの概要を参照してください。

要塞

Oracle Cloud Infrastructure Bastionを使用すると、パブリック・エンドポイントがないターゲット・リソースに、制約と時間制限付きでアクセスできるようになります。


クライアントは、SSHクライアントまたはSSHトンネルを使用して、要塞のセッションに接続します。2つのセッションは、プライベート・サブネットのインスタンスとデータベースに接続します。プライベート・サブネットを含むVCNには、サービス・ゲートウェイがあります。

要塞の構成を通じて、認可されたユーザーがSecure Shell (SSH)セッションを介してプライベート・エンドポイントのターゲット・リソースに接続できます。接続したユーザーは、SSHでサポートされている任意のソフトウェアまたはプロトコルを使用してターゲット・リソースとやり取りできます。たとえば、Remote Desktop Protocol (RDP)コマンドを発行したり、Oracle Net Servicesを使用してデータベースに接続したりできます。ターゲットには、コンピュート・インスタンスDBシステム、トランザクション処理および混合ワークロード用のAutonomous Databaseデータベースなどのリソースを含めることができます。

要塞はパブリック・サブネットにあり、ユーザーをプライベート・サブネットのターゲット・リソースに接続する上で必要なネットワーク・インフラストラクチャを確立します。IAMサービスとの統合により、ユーザー認証および認可が可能になります。要塞では、要塞がホストするセッションに接続できるIPアドレスを指定できるため、追加のセキュリティ・レイヤーが提供されます。

詳細は、Bastionを参照してください。

脅威インテリジェンス

Oracle Cloud Infrastructure Threat Intelligenceは、さまざまなソースにわたる脅威インテリジェンス・データを集約し、このデータをキュレーションして、Oracle Cloud Guardやその他のOracle Cloud Infrastructureサービスにおける脅威の検出と防止のための実用的なガイダンスを提供します。

悪意のあるアクターは、既知の手法を使用してターゲット環境を攻撃することがよくあります。環境にある脅威インジケータに関する状況に応じた情報は、アラートの優先順位を決定し、脅威の状況を理解するのに役立ちます。脅威インテリジェンスは、エリートOracleセキュリティ研究者、独自のテレメトリ、業界標準のオープン・ソース・フィード、サードパーティ・パートナーからのインサイトを提供します。

クラウド・ガードで脅威ディテクタ・レシピが有効になっている場合、脅威インテリジェンスのデータと監査ログおよびテレメトリを比較して、疑わしいアクティビティを検出し、問題としてレポートします。

詳細は、脅威インテリジェンスの概要を参照してください。

Webアプリケーション・ファイアウォール

Oracle Cloud Infrastructure Web Application Firewall (WAF)は、Payment Card Industry (PCI)準拠のクラウドベースのセキュリティ・サービスであり、悪意のある望ましくないインターネット・トラフィックからアプリケーションを保護します。WAFは、インターネットに直接接続されているエンドポイントを保護することで、アプリケーションに対する一貫性のあるルール適用を実現できます。

WAFを使用して、クロスサイト・スクリプト(XSS)、SQLインジェクション、およびその他のOWASP定義の脆弱性を含むインターネットの脅威に対する保護ルールを作成および管理します。必要なボットが入ることは許可されていますが、不要なボットは軽減できます。ModSecurityルール言語を使用して、カスタム保護ルールを定義し、WAF構成に適用することもできます。

WAFを使用して、様々な条件を満たすリクエストの明示的なアクションを定義するアクセス・ルールを作成します。たとえば、アクセス・ルールでは、地理情報またはリクエストの署名に基づいてリクエストを制限できます。ルール・アクションは、条件に一致するすべてのリクエストのCAPTCHAをログに記録して許可、検出、ブロック、リダイレクト、バイパスまたは表示するように設定できます。

詳細は、Web Application Firewallの概要を参照してください。

監査

Oracle Cloud Infrastructure Auditサービスでは、顧客のテナンシ内のリソースへのすべてのAPIコールと、コンソールからのログイン・アクティビティが記録されます。Auditサービスを使用してテナンシ内のすべてのユーザー・アクティビティを監視することで、セキュリティおよびコンプライアンスの目標を達成できます。コンソール、SDKおよびコマンドライン(CLI)のコールはすべてAPIを経由するため、これらのソースからのすべてのアクティビティが含まれます。監査レコードは、認証済でフィルタ可能な問合せAPIから利用できます。また、Oracle Cloud Infrastructure Object Storageからバッチ・ファイルとして取得できます。監査ログの内容には、発生したアクティビティ、アクティビティを開始したユーザー、リクエストの日時、リクエストのソースIP、ユーザー・エージェントおよびHTTPヘッダーが含まれます。

詳細は、監査の概要を参照してください。