Oracle Cloud Infrastructureドキュメント

テナンシの保護

Oracle Cloud Infrastructureテナンシの保護を開始する方法を学習します。

始める前に、Oracle Cloud Infrastructureのセキュリティの概念および機能をよく理解してください。以下を参照してください。

共有のマルチテナント・コンピュート環境では、Oracleは基礎となるクラウド・インフラストラクチャ(データ・センター施設、ハードウェアおよびソフトウェア・システムなど)のセキュリティを担当します。ワークロードを保護し、サービス(コンピュート、ネットワーク、ストレージ、データベースなど)のセキュリティを構成する責任はお客様にあります。

Oracle Cloud Infrastructureテナンシのセキュリティは、複数の要素の組合せに基づいており、すべてを十分に検討して安全に構成する必要があります。セキュリティ構成の階層ビューを取得します。まず、基本的なセキュリティ問題に対処し、特定のインフラストラクチャ・リソースのセキュリティに対処します。次のステップでは、テナンシのセキュリティを構成するための概要レベルのロードマップを示します。

  1. テナンシのワークロード要件を満たすセキュリティ・モデルを定義します。
    • コンパートメントの数
    • 管理権限を持つユーザーの数
    • 管理ロールおよび権限
  2. (オプション)IAMサービスでアイデンティティ・ドメインをプロビジョニングします。

    異なるユーザー集団(開発や本番など)を分離する場合、またはこれらのユーザー集団が異なる認証設定を必要とする場合は、アイデンティティ・ドメインの作成を検討してください。

    アイデンティティ・ドメインへのアクセス権がありますか。およびIAMアイデンティティ・ドメイン・タイプを参照してください。

  3. IAMサービスで、ユーザー、グループ、コンパートメントおよびポリシーをプロビジョニングします。

    ユーザーを認証し、最小限の権限でテナンシ・リソースにアクセスする権限をユーザーに付与するメカニズムを作成します。

    IAMの保護を参照してください。

  4. (オプション)セキュリティ・ゾーンをプロビジョニングして、Oracleのセキュリティのベスト・プラクティスに準拠する必要があるクラウド・リソースをホスティングします。

    ユーザーがセキュリティ・ゾーンでリソースを作成または更新しようとしたときに、この操作がセキュリティ・ゾーン・ポリシーに違反すると、アクションは拒否されます。

    セキュリティ・ゾーンを参照してください。

  5. (オプション)クラウド・ガードが一般的なセキュリティ問題を検出して対応できるようにします。

    クラウド・ガードを参照してください。

  6. マスター暗号化キーおよびシークレット資格証明をプロビジョニングします。

    Vaultを参照してください。

  7. クラウド・ネットワークのプロビジョニングおよび保護。

    セキュリティ・リストネットワーク・セキュリティ・グループ、またはこの両方の組合せを使用して、VCN (仮想クラウド・ネットワーク)のリソース内外のパケット・レベルのトラフィックを制御します。プライベート・サブネットを使用して、インターネット・アクセスを必要としないリソースをホストします。

    ネットワーキングの保護: VCN、ロード・バランサおよびDNSを参照してください。

  8. クラウド・ストレージのプロビジョニングおよび保護。

    データ・ストレージの要件に応じて、オプションには「データベース」「ブロック・ボリューム」「オブジェクト・ストレージ」および「ファイル・ストレージ」があります。

    コンプライアンスと規制の要件は、適切なデータ・ストレージ・セキュリティ・アーキテクチャを判断する際の重要な要素です。

    セキュリティのベスト・プラクティスの特定のサービスを参照してください。

  9. 組織で必要なテナンシ内の他のサービスをプロビジョニングして保護します。

    たとえば、コンピュートまたはKubernetesエンジンです。

    セキュリティのベスト・プラクティスの特定のサービスを参照してください。

  10. 監査ログを定期的に確認し、ユーザー・アクションが初期セキュリティ構成に準拠していることを確認します。

    Auditを参照してください。

    クラウド・ガードを有効にした場合、検出されたセキュリティの問題についても通知されます。