セキュリティ・ゾーンの保護
このトピックでは、セキュリティ・ゾーンのセキュリティ情報および推奨事項について説明します。
セキュリティ・ゾーンを使用すると、コンピュート、ネットワーキング、オブジェクト・ストレージおよびデータベース・リソースを含むOracle Cloud Infrastructure内のリソースがセキュリティ・ポリシーに準拠していることを保証できます。
セキュリティの責任
通常、Oracleはクラウド・インフラストラクチャおよび操作のセキュリティ(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティ・パッチ適用など)を提供します。クラウド・リソースをセキュアに構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。
Oracleは、次のセキュリティ要件に対して責任を負います:
- 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
- セキュリティ・ポリシー: Oracleは、セキュリティ・ゾーン・ポリシーの定義を担当します。これらのポリシーは、本番アプリケーションなど、最大限のセキュリティを必要とする顧客リソースに対するセキュリティ制御およびベスト・プラクティスを実装します。
お客様のセキュリティの責任についてこのページで説明します。次のような領域があります:
- アクセス制御: 可能なかぎり権限を制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
- セキュリティ・ポリシー:セキュリティ要件に合ったセキュリティ・ゾーン・ポリシーを有効にし、ゾーンでポリシーを無効にする場合は注意が必要です。コンプライアンスを維持するために、既存のリソースのポリシー違反に対処します。
初期セキュリティ・タスク
このチェックリストを使用して、新しいOracle Cloud Infrastructureテナンシ内のセキュリティ・ゾーンを保護するために実行するタスクを識別します。
| タスク | 詳細情報 |
|---|---|
| IAMポリシーを使用したユーザーおよびリソースへのアクセス権の付与 | IAMポリシー |
| コンパートメントおよびセキュリティ・ゾーンの作成 | セキュリティ・ポリシー |
定期的なセキュリティ・タスク
セキュリティ・ゾーンの開始後、このチェックリストを使用して、定期的に実行するセキュリティ・タスクを識別します。
| タスク | 詳細情報 |
|---|---|
| 新しいセキュリティ・ゾーン・ポリシーの評価と有効化 | セキュリティ・ポリシー |
| セキュリティ監査を実行します | 監査 |
IAMポリシー
IAMポリシーを使用して、セキュリティ・ゾーンへの管理アクセスを制限します。
ポリシーは、Oracle Cloud Infrastructureリソースに誰がどのようにアクセスできるかを指定します。詳細は、ポリシーの仕組みを参照してください。
グループに、その職責を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループに許可されるアクションを記述する動詞があります。使用可能な動詞は、アクセス・レベルが低い方から順にinspect、read、use、manageです。
セキュリティ・ゾーン・ポリシーは、次の点でIAMポリシーとは異なります:
- セキュリティ・ゾーン・ポリシーは、どのユーザーが操作を実行しているかに関係なく検証されます。
- セキュリティ・ゾーン・ポリシーは、特定のアクションを拒否しますが、権限を付与しません。
IAMユーザーおよびグループの最小セットにDELETE権限を付与することをお薦めします。この演習では、認可されたユーザーまたは悪意のあるアクターによる不注意な削除によるデータの損失を最小限に抑えます。DELETE権限はテナンシ管理者にのみ付与します。
DELETE権限を制限する演習は、セキュリティ・ゾーンにとって特に重要です。ゾーンを削除すると、ゾーンのコンパートメント内のリソースのすべてのセキュリティ・ゾーン・ポリシーが無効になるため、セキュリティ状態が劇的に変更されます。
IAMポリシーの例:
グループSecurityAdminsのユーザーが、テナンシ全体のすべてのセキュリティ・ゾーンおよびレシピを作成、更新および削除できるようにします:
Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancyグループSecurityAdminsのユーザーに、コンパートメントSecurityApps内のすべてのレシピの作成、更新および削除を許可します:
Allow group SecurityAdmins to manage security-recipe in compartment SecurityAppsグループSecurityAuditorsのユーザーが、コンパートメントSecurityArtifacts内のセキュリティ・ゾーンおよびレシピを表示できるようにします:
Allow group SecurityAuditors to read security-zone in compartment SecurityArtifacts
Allow group SecurityAuditors to read security-recipe in compartment SecurityArtifactsセキュリティ・ゾーンの個々のリソース・タイプは、集計タイプcloud-guard-familyに含まれています。cloud-guard-familyに権限を付与するポリシーは、セキュリティ・ゾーンにも同じ権限を付与します。詳細は、クラウド・ガード・ポリシーを参照してください。
セキュリティ・ポリシー
セキュリティ・ゾーン・ポリシーを評価および有効化して、Oracle Cloud Infrastructureで強力なセキュリティ体制を維持します。
レシピとは、セキュリティ・ゾーンに割り当てることができるセキュリティ・ゾーン・ポリシーの集合です。レシピでポリシーを有効にすると、そのレシピを使用し、ポリシーに違反するゾーン内のユーザー・アクションは拒否されます。
「最大セキュリティ・レシピ」では、使用可能なすべてのセキュリティ・ゾーン・ポリシーが有効になるため、変更できません。このレシピを新しいセキュリティ・ゾーンに割り当てて、セキュリティ状態が最大になるようにします。必要に応じて、いつでもゾーンを変更し、すべてのポリシーを有効にしないカスタムレシピを選択できます。
新しいセキュリティ・ゾーン・ポリシーを特定するには、定期的に最大セキュリティ・レシピおよびリリース・ノートを確認してください。時間の経過とともにセキュリティ状態を改善するには、新しい各ポリシーを評価し、必要に応じてカスタム・レシピでポリシーを有効にします。
監査中
ポリシー違反がないかセキュリティ・ゾーンを監視します。セキュリティ・ゾーンのアクセス・ログおよびその他のセキュリティ・データを特定します。
コンパートメントのセキュリティ・ゾーンを作成すると、セキュリティ・ゾーンのポリシーに違反するリソースの作成や変更などの操作が自動的に防止されます。ただし、セキュリティ・ゾーンの前に作成された既存のリソースがポリシーに違反することもあります。セキュリティ・ゾーンはクラウド・ガードと統合され、既存のリソースのポリシー違反を識別します。セキュリティ・ゾーンを定期的に監視して識別し、ゾーン内のポリシー違反を解決します。「セキュリティ・ゾーンの管理」を参照してください。
Auditサービスは、Oracle Cloud Infrastructureリソースに対するすべてのAPIコールを自動的に記録します。Auditサービスを使用してテナンシ内のすべてのユーザー・アクティビティを監視することで、セキュリティおよびコンプライアンスの目標を達成できます。コンソール、SDKおよびコマンドライン(CLI)のコールはすべてAPIを経由するため、これらのソースからのすべてのアクティビティが含まれます。監査レコードは、認証済でフィルタ可能な問合せAPIから利用できます。また、オブジェクト・ストレージからバッチ・ファイルとして取得できます。監査ログの内容には、発生したアクティビティ、アクティビティを開始したユーザー、リクエストの日時、リクエストのソースIP、ユーザー・エージェントおよびHTTPヘッダーが含まれます。監査ログ・イベントの表示を参照してください。