ネットワーク・ファイアウォールの保護
このトピックでは、Service_Nameのセキュリティ情報および推奨事項について説明します。
セキュリティの責任
ネットワーク・ファイアウォールを安全に使用するには、セキュリティおよびコンプライアンスの職責について学習します。
Oracleは、次のセキュリティ要件に対して責任を負います:
- 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
お客様のセキュリティの責任についてこのページで説明します。次のような領域があります:
- アクセス制御: 可能なかぎり権限を制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
- 暗号化と機密性:暗号化キーおよびシークレットを使用して、データを保護し、保護されたリソースに接続します。これらのキーを定期的にローテーションします。
初期セキュリティ・タスク 🔗
このチェックリストを使用して、新しいOracle Cloud InfrastructureテナンシでService_Nameを保護するために実行するタスクを識別します。
タスク | 詳細情報 |
---|---|
IAMポリシーを使用したユーザーおよびリソースへのアクセス権の付与 | ネットワーク・ファイアウォール・ポリシー・リファレンス |
リソースへのネットワーク・アクセスの保護 | ネットワーク・アクセスとセキュリティ |
定期的なセキュリティ・タスク 🔗
IAMポリシー 🔗
ネットワーク・ファイアウォールへのアクセスを制限するには、ポリシーを使用します。
ポリシーは、Oracle Cloud Infrastructureリソースに誰がどのようにアクセスできるかを指定します。詳細は、ポリシーの仕組みを参照してください。
グループに、その職責を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループに許可されるアクションを記述する動詞があります。使用可能な動詞は、アクセス・レベルが低い方から順にinspect
、read
、use
、manage
です。
IAMユーザーおよびグループの最小セットにDELETE
権限を付与することをお薦めします。この演習では、認可されたユーザーまたは悪意のあるアクターによる不注意な削除によるデータの損失を最小限に抑えます。DELETE
権限はテナンシ管理者にのみ付与します。
特定のファイアウォール・ポリシー名(
)、正規表現の一致(target.display-name
/*name/
、/name*/
、/*name*/
)または定義済タグ(target.tag.definition.name
)を使用して、グループによるアクセスを特定のファイアウォール・ポリシーに制限できます。
次の例では、FirewallPolicyUsers
グループのユーザーへのアクセスを特定のバケットに制限します。
Allow group FirewallPolicyUsers to use firewallpolicies in tenancy
where target.display-name='MyFirewallPolicy'
このポリシーを変更して、グループFirewallPolicyUsers
のユーザーへのアクセスを、ProjectA_
という接頭辞が付いた名前を持つすべてのファイアウォール・ポリシーに制限できます。
Allow group FirewallPolicyUsers to use firewallpolicies in tenancy
where target.display-name=/ProjectA_*/
接頭辞(/*_ProjectA/
)または部分文字列(/*ProjectA*/
)との一致を選択することもできます。
ネットワーク・ファイアウォール・ポリシーの詳細およびその他の例については、ネットワーク・ポリシー・ルールおよびルール・コンポーネントを参照してください。
機密保護 🔗
Vaultサービスを使用して、ネットワーク・ファイアウォールで使用するシークレット資格証明を管理およびローテーションします。
ボールトには、データの保護および保護されたリソースへの接続に使用する暗号化キーおよびシークレットが含まれます。シークレットはマスター暗号化キーを使用して暗号化され、パスワード、証明書、SSHキー、認証トークンなどの資格証明を格納します。シークレットを作成して使用する前に、ボールトおよびマスター暗号化キーが存在しない場合は作成する必要があります。
各シークレットには、シークレット・バージョンが自動的に割り当てられます。シークレットをローテーションすると、新しいシークレット・コンテンツをVaultサービスに提供することで、新しいシークレット・バージョンが生成されます。シークレット・コンテンツを定期的にローテーションすることで、シークレットが公開された場合の影響を抑えることができます。
監査中 🔗
Network Firewallのアクセス・ログおよびその他のセキュリティ・データを検索します。
Auditサービスは、Oracle Cloud Infrastructureリソースに対するすべてのAPIコールを自動的に記録します。Auditサービスを使用してテナンシ内のすべてのユーザー・アクティビティを監視することで、セキュリティおよびコンプライアンスの目標を達成できます。コンソール、SDKおよびコマンドライン(CLI)のコールはすべてAPIを経由するため、これらのソースからのすべてのアクティビティが含まれます。監査レコードは、認証済でフィルタ可能な問合せAPIから利用できます。また、オブジェクト・ストレージからバッチ・ファイルとして取得できます。監査ログの内容には、発生したアクティビティ、アクティビティを開始したユーザー、リクエストの日時、リクエストのソースIP、ユーザー・エージェントおよびHTTPヘッダーが含まれます。監査ログ・イベントの表示を参照してください。
特定のネットワーク・ファイアウォールでロギングを有効にして、ファイアウォールへのトラフィックを監視します。詳細は、ネットワーク・ファイアウォール・ログを参照してください。