このページは機械翻訳したものです。

Oracle Cloud Infrastructureドキュメント
Free Tierを試してみる

セキュリティの責任

Compute Cloud@Customerのセキュリティは、ユーザーとOracleの共同責任です。オラクルは、クラス最高のセキュリティ・テクノロジと運用プロセスを使用して、クラウド・サービスを保護しています。ただし、OCIおよびCompute Cloud@Customerでワークロードを安全に実行するには、セキュリティおよびコンプライアンスの責任を把握する必要があります。

通常、Oracleはクラウド・インフラストラクチャおよび操作のセキュリティ(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティ・パッチ適用など)を提供します。クラウド・リソースをセキュアに構成する責任はユーザーにあります。

Oracleの職責

  • 物理セキュリティ: Oracleは、Compute Cloud@Customerが接続されているOracle Cloud Infrastructureのグローバル・インフラストラクチャを保護する責任を負います。Oracleは、データ・センターに取り付けられているCompute Cloud@Customerラックのセキュアな配信、インストールおよび保守も保証します。
  • タンパーインジケータ: Oracleは、すべてのラックアクセスパネルおよびドアに適用されるシリアル改ざんラベルの適用、保守、および追跡を担当します。破損、紛失、または破損したラベルは、ハードウェア侵害の可能性を視覚的に示します。
  • ソフトウェアのアップグレード: Oracleは、バグ修正や機能拡張を含むアップグレードの作成を担当します。また、Oracleは、選択したアップグレード・スケジュール期間中に、定期的にCompute Cloud@Customerをアップグレードします。

お客様の責任

セキュリティの職責には、次の領域があります:

  • 物理的なセキュリティ: Oracleはラックの設置および保守を担当しますが、データ・センター内のOracle Compute Cloud@Customerラックの物理的なセキュリティはお客様が担当します。認定Oracle担当者以外の誰も、Compute Cloud@Customerラックにアクセスしたり、開いたりしないようにする必要があります。
    • アクセスが制限されたロックされた部屋にあるラックの場所を指定します。
    • 予備のフィールド交換可能ユニット(FRU)または顧客交換可能ユニット(CRU)は、ロックされたキャビネットに保管します。ロックされたキャビネットへのアクセスを、承認された人に制限します。
    • SSHリスナー・ポートを管理ネットワークおよびプライベート・ネットワークに制限します。SSHプロトコル2 (SSH-2)およびFIPS 140-2承認暗号を使用します。
    • SSHが許可される認証メカニズムを制限します。本質的にセキュアでない方法は無効化されます。
    • ハードウェアのアクティブ化キーおよびライセンスは、システム緊急時にシステム・マネージャが簡単にできるセキュアな場所に保持します。
  • クラウド・リソース:ワークロードを保護し、クラウド・リソース(コンピュート、ネットワーク、ストレージ、データベースなど)を安全に構成する責任があります。インスタンス内のアクション、およびインスタンス上で実行されるデータベースとアプリケーションの日常的な管理を担当します。
  • アクセス制御:権限をできるだけ制限します。ユーザーには、作業を実行するために必要なアクセス権のみを付与する必要があります。
  • 暗号化および機密保護:暗号化キーおよびシークレットを使用してデータを保護し、保護されたリソースに接続します。これらのキーを定期的にローテーションします。

  • 情報とデータ:情報とデータの制御は常に維持されます。このデータの使用方法と使用時期はユーザーが制御します。クラウド・プロバイダ(Oracle)は顧客データをゼロに可視化し、すべてのデータ・アクセスは設計上制御下にあります。

  • アプリケーション・ロジックおよびコード:クラウド・リソースがどのようにスピンアップされるかに関係なく、アプリケーション・ライフ・サイクル全体で独自のアプリケーションを保護および制御します。これには、悪意のある誤用や侵入からのコード・リポジトリの保護、開発および統合プロセス中のアプリケーション・ビルド・テスト、セキュアな本番アクセスの確保、および接続されたシステムのセキュリティの維持が含まれます。

  • アイデンティティとアクセス:アイデンティティおよびアクセス管理(IAM)のすべての側面について常に責任を負います。これには、認証および認可のメカニズム、シングル・サインオン(SSO)アクセス、多要素認証(MFA)、アクセス・キー、証明書、ユーザー作成プロセスおよびパスワード管理が含まれます。

  • プラットフォームおよびリソース構成:クラウド・リソースの作成時に、オペレーティング環境を制御します。これらの環境での制御のメンテナンス方法は、インスタンスがサーバーベースかサーバーレスか(PaaS)によって異なります。サーバーベースのインスタンスでは、OSおよびアプリケーションの強化、OSおよびアプリケーション・パッチのメンテナンスなど、セキュリティに対するより実践的な制御が必要です。クラウド内のサーバーベースのインスタンスは物理サーバーと同様に動作し、データ・センターの拡張として機能します。サーバーレス・リソースの場合、プロバイダのコントロール・プレーンでは、構成の設定にアクセスできます。いずれの場合も、セキュアな方法で顧客インスタンスを構成する方法を把握する必要があります。

    また、クラウドに接続するすべての組織を保護する責任も維持されます。これには、次のとおりです。

    • オンプレミスのインフラストラクチャ・スタックおよびユーザー・デバイス。

    • 顧客が所有するネットワークおよびアプリケーション。

    • 内部と外部の両方のユーザーをクラウドと相互に接続する通信レイヤー。

    また、セキュリティの脅威、インシデント、およびカスタマが管理するドメインに対するレスポンスの監視とアラートの設定も必要です。
  • ソフトウェアのアップグレード: Oracleが、業務の中断が最も少ない時間枠でCompute Cloud@Customerをアップグレードできるようにするアップグレード・スケジュールの作成を担当します。

この記事は役に立ちましたか。