Java管理の保護
このトピックでは、Java Management Serviceのセキュリティ情報および推奨事項について説明します。
Java Management Service (JMS)は、顧客データ・センターで実行されているOracle Cloud Infrastructure (OCI)インスタンスおよびインスタンス上のJavaデプロイメントを監視します。企業内のJavaの使用を監視および管理できます。
セキュリティの責任
JMSをセキュアに使用するために、セキュリティおよびコンプライアンスの責任について学習します。
Oracleは、次のセキュリティ要件に対して責任を負います:
- 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
- データの暗号化: Oracleは、JMSに保存されているすべてのデータに標準のOracle Cloud Infrastructure暗号化を使用します。追加の構成は必要ありません。
JMSユーザーは、暗号化キーを直接使用しません。内部的には、JMSは、Oracle Cloud Infrastructure Vaultを使用して暗号化キーを安全に格納する自律型データベースにデータを格納します。Oracleは、これらのリソースを管理および保護します。
- データ耐久性: Oracleは、日次バックアップ用にJMSサービスを構成します。追加のバックアップ構成は必要ありません。
お客様のセキュリティの責任についてこのページで説明します。次のような領域があります:
- アクセス制御: 可能なかぎり権限を制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
- エージェント・セキュリティ:
- 最小限の権限でエージェントをインスタンスにインストールします。
rootとしてインストールしないでください。 - インストール・キーを取得します。キーの有効期限およびインストール・インスタンスの数を確認します。
- エージェントが正常にインストールされたら、キーを削除します。
- OCIへのエージェント接続のみを許可するようにポートまたはプロキシが正しく設定されていることを確認します。
- 必要なディレクトリのみをスキャンし、必要な頻度でエージェントを構成します。
- 最小限の権限でエージェントをインスタンスにインストールします。
初期セキュリティ・タスク
このチェックリストを使用して、新しいOracle Cloud InfrastructureテナンシでJMSを保護するために実行するタスクを識別します。
JMSを初めて使用する場合は、Oracle Cloud Infrastructure for Java Management Serviceの設定を参照してください。
| タスク | 詳細情報 |
|---|---|
| IAMポリシーを使用したユーザーおよびリソースへのアクセス権の付与 | IAMポリシー |
定期的なセキュリティ・タスク
IAMポリシー
JMSへのアクセスは、ポリシーを使用して制限します。
ポリシーは、Oracle Cloud Infrastructureリソースに誰がどのようにアクセスできるかを指定します。詳細は、ポリシーの仕組みを参照してください。
グループに、その職責を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループに許可されるアクションを記述する動詞があります。使用可能な動詞は、アクセス・レベルが低い方から順にinspect、read、use、manageです。
グループFLEET_MANAGERSがコンパートメントFleet_Compartmentのフリートを管理できるようにするポリシーを作成します。
ALLOW GROUP FLEET_MANAGERS TO MANAGE fleet IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agent-install-keys IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ METRICS IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE tag-namespaces IN TENANCY動的グループJMS_DYNAMIC_GROUPがコンパートメントFleet_Compartmentの管理エージェント・サービスでエージェントをデプロイおよび使用できるようにするポリシーを作成します。
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE tag-namespaces IN TENANCY
Allow service javamanagementservice to manage metrics IN COMPARTMENT Fleet_Compartment where target.metrics.namespace='java_management_service'管理エージェントのデプロイの詳細は、「管理エージェントをデプロイするための前提条件の実行」を参照してください。
JMSポリシーの詳細は、Java Management Serviceの詳細を参照してください。
パッチ適用中
JMSリソースが最新のセキュリティ更新を実行していることを確認します。
管理エージェントの自動アップグレード機能を無効にした場合は、エージェントおよびJMSプラグインの更新を手動で確認する必要があります。「管理エージェントのアップグレード」を参照してください。
監査中
JMSのアクセス・ログおよびその他のセキュリティ・データを特定します。
Auditサービスは、Oracle Cloud Infrastructureリソースに対するすべてのAPIコールを自動的に記録します。Auditサービスを使用してテナンシ内のすべてのユーザー・アクティビティを監視することで、セキュリティおよびコンプライアンスの目標を達成できます。コンソール、SDKおよびコマンドライン(CLI)のコールはすべてAPIを経由するため、これらのソースからのすべてのアクティビティが含まれます。監査レコードは、認証済でフィルタ可能な問合せAPIから利用できます。また、オブジェクト・ストレージからバッチ・ファイルとして取得できます。監査ログの内容には、発生したアクティビティ、アクティビティを開始したユーザー、リクエストの日時、リクエストのソースIP、ユーザー・エージェントおよびHTTPヘッダーが含まれます。監査ログ・イベントの表示を参照してください。