このページは機械翻訳したものです。

ネットワーク・ファイアウォールの保護

このトピックでは、Service_Nameのセキュリティ情報および推奨事項について説明します。

セキュリティの責任

ネットワーク・ファイアウォールを安全に使用するには、セキュリティおよびコンプライアンスの職責について学習します。

通常、Oracleはクラウド・インフラストラクチャおよび操作のセキュリティ(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティ・パッチ適用など)を提供します。クラウド・リソースをセキュアに構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは、次のセキュリティ要件に対して責任を負います:

  • 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。

お客様のセキュリティの責任についてこのページで説明します。次のような領域があります:

  • アクセス制御: 可能なかぎり権限を制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
  • 暗号化と機密性:暗号化キーおよびシークレットを使用して、データを保護し、保護されたリソースに接続します。これらのキーを定期的にローテーションします。

初期セキュリティ・タスク

このチェックリストを使用して、新しいOracle Cloud InfrastructureテナンシでService_Nameを保護するために実行するタスクを識別します。

タスク 詳細情報
IAMポリシーを使用したユーザーおよびリソースへのアクセス権の付与 ネットワーク・ファイアウォール・ポリシー・リファレンス
リソースへのネットワーク・アクセスの保護 ネットワーク・アクセスとセキュリティ

定期的なセキュリティ・タスク

Service_Nameの開始後、このチェックリストを使用して、定期的に実行することが推奨されるセキュリティ・タスクを識別します。

タスク 詳細情報
シークレット資格証明のローテーション 機密保持
セキュリティ監査を実行します 監査

IAMポリシー

ネットワーク・ファイアウォールへのアクセスを制限するには、ポリシーを使用します。

ポリシーは、Oracle Cloud Infrastructureリソースに誰がどのようにアクセスできるかを指定します。詳細は、ポリシーの仕組みを参照してください。

グループに、その職責を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループに許可されるアクションを記述する動詞があります。使用可能な動詞は、アクセス・レベルが低い方から順にinspectreadusemanageです。

IAMユーザーおよびグループの最小セットにDELETE権限を付与することをお薦めします。この演習では、認可されたユーザーまたは悪意のあるアクターによる不注意な削除によるデータの損失を最小限に抑えます。DELETE権限はテナンシ管理者にのみ付与します。

ネットワーク・ファイアウォール・ポリシーの詳細およびその他の例については、ネットワーク・ポリシー・ルールおよびルール・コンポーネントを参照してください。

機密保護

Vaultサービスを使用して、ネットワーク・ファイアウォールで使用するシークレット資格証明を管理およびローテーションします。

ボールトには、データの保護および保護されたリソースへの接続に使用する暗号化キーおよびシークレットが含まれます。シークレットはマスター暗号化キーを使用して暗号化され、パスワード、証明書、SSHキー、認証トークンなどの資格証明を格納します。シークレットを作成して使用する前に、ボールトおよびマスター暗号化キーが存在しない場合は作成する必要があります。

各シークレットには、シークレット・バージョンが自動的に割り当てられます。シークレットをローテーションすると、新しいシークレット・コンテンツをVaultサービスに提供することで、新しいシークレット・バージョンが生成されます。シークレット・コンテンツを定期的にローテーションすることで、シークレットが公開された場合の影響を抑えることができます。

監査中

Network Firewallのアクセス・ログおよびその他のセキュリティ・データを検索します。

Auditサービスは、Oracle Cloud Infrastructureリソースに対するすべてのAPIコールを自動的に記録します。Auditサービスを使用してテナンシ内のすべてのユーザー・アクティビティを監視することで、セキュリティおよびコンプライアンスの目標を達成できます。コンソール、SDKおよびコマンドライン(CLI)のコールはすべてAPIを経由するため、これらのソースからのすべてのアクティビティが含まれます。監査レコードは、認証済でフィルタ可能な問合せAPIから利用できます。また、オブジェクト・ストレージからバッチ・ファイルとして取得できます。監査ログの内容には、発生したアクティビティ、アクティビティを開始したユーザー、リクエストの日時、リクエストのソースIP、ユーザー・エージェントおよびHTTPヘッダーが含まれます。監査ログ・イベントの表示を参照してください。

特定のネットワーク・ファイアウォールでロギングを有効にして、ファイアウォールへのトラフィックを監視します。詳細は、ネットワーク・ファイアウォール・ログを参照してください。