クラウド・ガードの保護
このトピックでは、クラウド・ガードのセキュリティ情報および推奨事項について説明します。
セキュリティの責任
Cloud Guardを安全に使用するには、セキュリティとコンプライアンスの責任について学びます。
通常、Oracleはクラウド・インフラストラクチャおよび操作のセキュリティ(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティ・パッチ適用など)を提供します。クラウド・リソースを安全に構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。
Oracleは、次のセキュリティ要件に対して責任を負います:
- 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
セキュリティ職責には次の領域が含まれます。
- アクセス制御: 可能なかぎり権限を制限します。作業を実行するために必要なアクセス権のみをユーザーに付与します。
初期セキュリティ・タスク
定期的なセキュリティ・タスク
クラウド・ガードには、定期的に実行する必要があるセキュリティ・タスクはありません。
IAMポリシー
IAMユーザー・グループの設計:
- クラウド・ガードへの様々なレベルのアクセスを提供するポリシーを割り当てます。グループを設計して、職責(検査、読取り、使用または管理)の実行に必要な最小限の権限をそれぞれ割り当てることができます。
- グループのすべてのメンバーに同じデータ・マスキング制限を適用します。データ・マスキングでは、機密情報を表示する権限がないユーザーから機密情報をリダクションできます。
クラウド・ガードへのアクセスを制御するには、IAMユーザー・グループを作成します。クラウド・ガード・ユーザー・グループの作成を参照してください。
各グループに権限を割り当てます。グループ・メンバーが職責を実行するために必要な最小限の権限を割り当ててください。特権の最下位レベルから最上位レベルまで、ポリシー動詞はinspect
、read
、use
およびmanage
です。「ユーザーのポリシー・ステートメント」を参照してください。
適切なIAMグループにIAMユーザーを割当てします。「コンソールの使用」を参照してください。
データ・マスキング 🔗
機密情報を確認する。クラウド・ガードUIのすべてのページをスキャンし、クラウド・ガードにアクセスできるすべてのユーザーが表示できない情報に注意してください。
データ・マスキングの動作を理解します。データ・マスキングについてを参照してください。
表示する権限がないIAMグループの機密情報をリダクションするデータ・マスキング・ルールを作成します。データ・マスキング・ルールの作成を参照してください。
データ暗号化
Cloud Guardは、サービスに保存されているすべてのデータに標準のOracle Cloud Infrastructure暗号化を使用します。構成は不要です
クラウド・ガードはVaultキーを使用しません。内部的には、クラウド・ガードはVaultキーを使用するAutonomous Databaseにデータを格納します。Oracleは、これらのリソースを管理および保護します。
データ耐久性
クラウド・ガードは毎日バックアップを作成します。構成は不要です