Oracle Cloud Infrastructureドキュメント

脆弱性スキャンの保護

このトピックでは、Oracle Cloud Infrastructure Vulnerability Scanning Serviceのセキュリティ情報および推奨事項について説明します。

脆弱性スキャンは、ホストの潜在的な脆弱性を定期的にチェックすることで、Oracle Cloudのセキュリティ状態を改善するのに役立ちます。

セキュリティの責任

脆弱性スキャンを安全に使用するには、セキュリティとコンプライアンスの責任について学習してください。

通常、Oracleはクラウド・インフラストラクチャおよび操作のセキュリティ(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティ・パッチ適用など)を提供します。クラウド・リソースをセキュアに構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは、次のセキュリティ要件に対して責任を負います:

  • 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
  • データベース・セキュリティ: Oracleは、スキャン・レシピ、スキャン・ターゲット、スキャン結果など、脆弱性スキャン・リソースの格納に使用されるデータベースの保護とパッチ適用を担当します。

お客様のセキュリティの責任についてこのページで説明します。次のような領域があります:

  • アクセス制御: 可能なかぎり権限を制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。

初期セキュリティ・タスク

このチェックリストを使用して、新しいOracle Cloud Infrastructureテナンシで脆弱性スキャンを保護するために実行するタスクを識別します。

タスク 詳細情報
IAMポリシーを使用して、脆弱性スキャンを構成できるユーザー、およびスキャン結果を表示できるユーザーを制御します。 IAMポリシー
パブリックIPアドレスを持たないコンピュート・インスタンスをスキャンするようにサービス・ゲートウェイを構成します。 ネットワーク・セキュリティ

定期的なセキュリティ・タスク

脆弱性スキャンを開始した後、このチェックリストを使用して、定期的に実行することが推奨されるセキュリティ・タスクを識別します。

タスク 詳細情報
スキャン・レポートで検出された脆弱性への対応
セキュリティ監査を実行します 監査

IAMポリシー

脆弱性スキャンへのアクセスを制限するには、ポリシーを使用します。

ポリシーは、Oracle Cloud Infrastructureリソースに誰がどのようにアクセスできるかを指定します。詳細は、ポリシーの仕組みを参照してください。

グループに、その職責を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループに許可されるアクションを記述する動詞があります。使用可能な動詞は、アクセス・レベルが低い方から順にinspectreadusemanageです。

脆弱性スキャンのポリシーを作成する場合は、次の組織上の質問を考慮してください。

  • すべてのコンパートメントのリソースにわたる脆弱性スキャンの構成を担当する専用グループはありますか。
  • コンパートメント管理者は、個々のコンパートメントのリソースに対する脆弱性スキャンの構成を担当していますか。
  • すべてのコンパートメント内のリソースのスキャン結果を監視し、これらの結果をコンパートメント所有者またはリソース所有者に伝達する専用グループはありますか。
  • コンパートメント管理者は、個々のコンパートメント内のリソースのスキャン結果を監視し、その結果をリソース所有者に伝達しますか。
  • リソース所有者はスキャン結果にアクセスする必要がありますか。

コンピュート・インスタンス(ホスト)にエージェントベースのスキャンを使用するには、Oracle Cloud Agentをターゲット・インスタンスにデプロイするための脆弱性スキャン・サービス権限も付与する必要があります。

IAMユーザーおよびグループの最小セットにDELETE権限を付与することをお薦めします。この演習では、認可されたユーザーまたは悪意のあるアクターによる不注意な削除によるデータの損失を最小限に抑えます。DELETE権限はテナンシ管理者にのみ付与します。

グループSecurityAdminsのユーザーがテナンシ全体のリソースをスキャンできるようにします

専用グループは、すべてのコンパートメントのリソースにわたる脆弱性スキャンの構成を担当します。

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy
グループSalesAdminsのユーザーに、コンパートメントSalesAppsのリソースのスキャンを許可します

コンパートメント管理者は、個々のコンパートメントのリソースに対する脆弱性スキャンの構成を担当します。

Allow group SalesAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesApps
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesApps
グループSecurityAuditorsのユーザーに、テナンシ全体のスキャン結果の表示を許可します

専用グループは、すべてのコンパートメントのリソースについて脆弱性スキャンの結果をモニターします。

Allow group SecurityAuditors to read vss-family in tenancy
グループSalesAuditorsのユーザーに、コンパートメントSalesAppsのスキャン結果の表示を許可します

コンパートメント管理者は、個々のコンパートメント内のリソースのスキャン結果をモニターします。

Allow group SalesAuditors to read vss-family in compartment SalesApps

脆弱性スキャン・ポリシーの詳細およびその他の例を表示するには、IAMポリシーのスキャンを参照してください。

ネットワーク・セキュリティ

脆弱性スキャンを使用して、プライベート・サブネット上にあるリソースまたはパブリックIPアドレスがないリソースをスキャンします。

A Compute instance is associated with a VCN (virtual cloud network)  and a subnet .VCNにサブネットを作成すると、デフォルトでサブネットはパブリックとみなされ、インターネット通信が許可されます。スキャンするインスタンスがプライベート・サブネット上にあるか、パブリックIPアドレスがない場合、VCNには、サービス・ゲートウェイとそのサービス・ゲートウェイのルート・ルールが含まれている必要があります。Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

監査中

脆弱性スキャンのアクセス・ログおよびその他のセキュリティ・データを特定します。

Auditサービスは、Oracle Cloud Infrastructureリソースに対するすべてのAPIコールを自動的に記録します。Auditサービスを使用してテナンシ内のすべてのユーザー・アクティビティを監視することで、セキュリティおよびコンプライアンスの目標を達成できます。コンソール、SDKおよびコマンドライン(CLI)のコールはすべてAPIを経由するため、これらのソースからのすべてのアクティビティが含まれます。監査レコードは、認証済でフィルタ可能な問合せAPIから利用できます。また、オブジェクト・ストレージからバッチ・ファイルとして取得できます。監査ログの内容には、発生したアクティビティ、アクティビティを開始したユーザー、リクエストの日時、リクエストのソースIP、ユーザー・エージェントおよびHTTPヘッダーが含まれます。監査ログ・イベントの表示を参照してください。

たとえば、スキャン・ターゲットの作成、更新および削除に関連するすべてのAPIアクティビティを定期的に監査できます。監査サービスで次のイベントを検索できます。

  • CreateHostScanTarget
  • UpdateHostScanTarget
  • DeleteHostScanTarget
監査ログの例

AuditサービスのCreateHostScanTargetイベントからの抜粋。

{
  "eventType": "com.oraclecloud.vulnerabilityScanning.CreateHostScanTarget.begin",
  "cloudEventsVersion": "0.1",
  "eventTypeVersion": "2.0",
  "source": "vulnerabilityScanning",
  "eventId": "<unique_ID>",
  "eventTime": "2021-09-20T13:19:20.046Z",
  "contentType": "application/json",
  "data": {
    "eventGroupingId": "<unique_ID>",
    "eventName": "CreateHostScanTarget",
    "compartmentId": "<unique_ID>",
    "compartmentName": "MyCompartment",
    "resourceName": "MyScanTarget",
    "resourceId": "<unique_ID>",
    "availabilityDomain": "AD3",
    "freeformTags": {},
    "definedTags": {},
    "identity": {
      "principalName": "myuser",
      "principalId": "<unique_ID>",
      "authType": "natv",
      "callerName": null,
      "callerId": null,
      "tenantId": "<unique_ID>",
      "ipAddress": "<IP_address>",
      "credentials": "<credentials>",
      "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36",
      "consoleSessionId": "<unique_ID>"
    },
    ...
  }
}

すべての脆弱性スキャン・イベントのリストは、イベントのスキャンを参照してください。