ファイル・ストレージの保護

File Storageを安全に使用するには、セキュリティおよびコンプライアンスの責任について学習します。

通常、Oracleはクラウド・インフラストラクチャおよび操作のセキュリティ(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティ・パッチ適用など)を提供します。クラウド・リソースをセキュアに構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは、次のセキュリティ要件に対して責任を負います:

• 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。

お客様のセキュリティの責任についてこのページで説明します。次のような領域があります:

• アクセス制御: 可能なかぎり権限を制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
• 暗号化と機密性:暗号化キーおよびシークレットを使用して、データを保護し、保護されたリソースに接続します。これらのキーを定期的にローテーションします。

このチェックリストを使用して、新しいOracle Cloud InfrastructureテナンシでFile Storageを保護するために実行するタスクを識別します。

File Storageの開始後、このチェックリストを使用して、定期的に実行することが推奨されるセキュリティ・タスクを識別します。

ファイル・ストレージへのアクセスを制限するには、ポリシーを使用します。

偶発的または意図的なリソース削除のリスクを最小限に抑えるために、信頼できるIAMユーザーおよびグループの限定されたグループ(特にテナンシおよびコンパートメント管理者)にのみDELETE権限を付与することを強くお薦めします。これらの権限を制限することで、認可されていないアクションまたは誤ったアクションによるリソース損失の可能性を大幅に削減できます。

Allow group FileUsers to manage file-systems in tenancy
 where request.permission!='FILE_SYSTEM_DELETE' 
Allow group FileUsers to manage mount-targets in tenancy
 where request.permission!='MOUNT_TARGET_DELETE' 
Allow group FileUsers to manage export-sets in tenancy
 where request.permission!='EXPORT_SET_DELETE' 

ファイル・ストレージ・ポリシーの詳細およびその他の例を表示するには、ファイル・ストレージ・サービスの詳細を参照してください。

IAMポリシーの作成に加えて、他の使用可能なセキュリティ・レイヤーを使用してファイル・システムへのアクセスをロックダウンします。

File Storageサービスでは、5つの異なるレイヤーのアクセス制御が使用されています。各レイヤーには、その他のレイヤーとは別の独自の認可エンティティおよびメソッドがあります。

詳細は、ファイル・ストレージ・セキュリティについてを参照してください。

Vaultサービスで暗号化キーを作成およびローテーションし、ファイル・ストレージのリソースを保護します。

ボールトは、データの保護に使用する暗号化キーを格納する論理エンティティです。保護モードに応じて、キーはサーバーに格納されるか、高可用性および耐久性のあるハードウェア・セキュリティ・モジュール(HSM)に格納されます。当社のHSMは、連邦情報処理標準(FIPS) 140-2セキュリティ・レベル3のセキュリティ認証を満たしています。ボールトの管理およびキーの管理を参照してください。

Oracle Cloud Infrastructureでは特定のリソースのデフォルトの暗号化キーを生成できますが、Vaultサービス内で独自のカスタム暗号化キーを作成および管理することで、より安全なアプローチを取ることを強くお薦めします。これにより、キー管理をより詳細に制御でき、クラウド環境のセキュリティ・ポスチャ全体が強化されます。

独自のVault暗号化キーを使用してファイル・システム内のデータを暗号化するには、ファイル・システムの暗号化を参照してください。

各マスター暗号化キーには、キー・バージョンが自動的に割り当てられます。キーをローテーションすると、ボールト・サービスにより新しいキー・バージョンが生成されます。定期的にキーをローテーションすると、1つのキー・バージョンによって暗号化または署名されるデータの量が制限されます。キーが構成されたことがある場合、キーのローテーションによってデータのリスクが軽減されます。キーの管理を参照してください。

最高のセキュリティを実現するには、IAMポリシーを使用して、キーの作成、ローテーション、削除など、暗号化キーの管理アクティビティに対するきめ細かいアクセス制御を適用します。Vaultサービスの詳細を参照してください。

暗号化キーは、保存時に暗号化を処理します。転送中暗号化の詳細は、ファイル・ストレージのセキュリティについてを参照してください。

File Storageでデータの定期的なバックアップを実行します。

ユーザーは、誤ってファイル・ストレージ・ファイル・システムの本番データを削除することがあります。バックアップに保存されているデータのコピーがないと、データをリカバリできません。データ耐久性のために、ビジネスSLOで必要とされるファイル・システムの定期的なスナップショットを作成することをお薦めします。スナップショットを使用すると、誤ってデータを削除した場合にスナップショットからデータをリカバリできます。

ポリシーベースのスナップショットを使用して、繰返し、自動バックアップをスケジュールするか、コンソール、CLIまたはAPIを使用してバックアップを手動で作成します。

File Storage内のリソースへのネットワーク・アクセスを保護します。

セキュリティ・リスト、ネットワーク・セキュリティ・グループ、またはこの両方の組合せを使用して、VCN (仮想クラウド・ネットワーク)のリソース内外のパケット・レベルのトラフィックを制御します。アクセスとセキュリティを参照してください。

VCNにサブネットを作成すると、デフォルトでサブネットはパブリックとみなされ、インターネット通信が許可されます。プライベート・サブネットを使用して、インターネット・アクセスを必要としないリソースをホストします。VCN内のサービス・ゲートウェイを構成して、プライベート・サブネット上のリソースが他のクラウド・サービスにアクセスできるようにすることもできます。Connectivity Choicesを参照してください。

詳細は、ファイル・ストレージに対するVCNセキュリティ・ルールの構成を参照してください。

ファイル・ストレージのアクセス・ログおよびその他のセキュリティ・データを特定します。

ロギング機能では、内部レビューのために、ファイル・ストレージ・リソースの作成、削除および更新などの操作が記録されます。詳細は、ファイル・ストレージ・ロギングを参照してください。

Auditサービスは、Oracle Cloud Infrastructureリソースに対するすべてのAPIコールを自動的に記録します。Auditサービスを使用してテナンシ内のすべてのユーザー・アクティビティを監視することで、セキュリティおよびコンプライアンスの目標を達成できます。コンソール、SDKおよびコマンドライン(CLI)のコールはすべてAPIを経由するため、これらのソースからのすべてのアクティビティが含まれます。監査レコードは、認証済でフィルタ可能な問合せAPIから利用できます。また、オブジェクト・ストレージからバッチ・ファイルとして取得できます。監査ログの内容には、発生したアクティビティ、アクティビティを開始したユーザー、リクエストの日時、リクエストのソースIP、ユーザー・エージェントおよびHTTPヘッダーが含まれます。監査ログ・イベントの表示を参照してください。