Oracle Cloud Infrastructureドキュメント

ログ・アナリティクスのログのセキュリティ

Oracle Logging Analyticsは、ログにセキュアなデータ転送とストレージを提供します。このサービスは、Oracle Cloud Infrastructure (OCI)で本質的に利用可能な様々なセキュリティ機能を利用して、ログを保護するために拡張します。

移動中のログのセキュリティ

データが転送中の場合、OCI外部からOCI内部へのすべての通信は、暗号化レイヤーが有効になっているhttpsプロトコルを介して行われます。これにより、MitMフィッシング攻撃から機密データを保護できます。

保存時のログのセキュリティ

次の機能により、OCIに保存されている間、アクティブ・データまたはアーカイブ・データであるログの安全性が確保されます。

  • AES-256サーバー側の暗号化: OCIは、256ビット暗号化によるAdvanced Encryption Standard (AES)アルゴリズムを使用して、サーバー側のすべてのブロック・ボリューム、ブート・ボリューム、ボリューム・バックアップおよびオブジェクト・ストレージを常に暗号化および復号化します。Oracle Cloud Infrastructureドキュメンテーションオブジェクト・ストレージの暗号化およびブロック・ボリュームの暗号化を参照してください。

    暗号化はデフォルトで有効になっており、オフにできません。デフォルトでは、Oracleがマスター暗号化キーを管理します。

  • AES/GCM 256ビットのクライアント側の暗号化: OCI Python用のSDKおよびSDK for Javaでは、ローカルに格納したり、他のOCIサービスで使用する前に、クライアント側でデータを暗号化するクライアント側の暗号化をサポートしています。Oracle Cloud Infrastructureドキュメンテーション: クライアント側の暗号化を参照してください。

  • 顧客提供の暗号化キー: Oracle Logging Analyticsでは、OCI Vaultに格納した独自の暗号化キーを使用してログを暗号化できます。ログ・データのサイズに基づいてOracle Supportに連絡して、独自のキーを使用して暗号化のリクエストを送信すると、Oracleによって専用のブロック・ボリュームまたはオブジェクト・ストレージ・バケットが作成されます。これにより、データが確実に分離され、選択的に暗号化されます。

    この機能を有効にすると、アクティブなデータまたはアーカイブ・データのオブジェクト・ストレージに対してブロック・ボリュームで暗号化キーを使用することを選択できます。この機能を有効にすると、別の場所にある古いログ・データは、OCI管理の暗号化キーを使用して引き続き暗号化されます。

    OCI Vaultを使用して、ボールト、キーおよびシークレットを管理できます。ときどき、マスター暗号化キーをローテーションすることもできます。Oracle Cloud Infrastructureドキュメント: キーの管理を参照してください。

    使用されている現在のマスター暗号化キーを確認するには、次のGET REST APIをコールします: 

    /namespaces/{namespaceName}/storage/encryptionKeyInfo

    特定のマスター暗号化キーで暗号化を有効にするには、次のPOST REST APIをコールします: 

    /namespaces/{namespaceName}/storage/actions/assignEncryptionKey

    必要なIAMポリシー・ステートメントが、キー管理、専用リソースからのデータへのアクセス、およびOracle Logging Analyticsがログ上の暗号化キーを使用できるように作成されていることを確認します。ログを暗号化するための顧客指定キーの使用の許可を参照してください。

    この機能を無効化または再有効化するには、Oracle Supportに連絡してください。

顧客提供のキーを使用したログの暗号化の許可

Oracle Logging Analyticsでは、OCI Vaultに格納した独自の暗号化キーを使用してログを暗号化できます。ログ・データのサイズに基づいてOracle Supportに連絡して、独自のキーを使用して暗号化のリクエストを送信すると、Oracleによって専用のブロック・ボリュームまたはオブジェクト・ストレージ・バケットが作成されます。これにより、データが確実に分離され、選択的に暗号化されます。

ログ・データの暗号化にキーを正常に使用するには、キーにアクセスして使用するために、様々なサービスに次の権限を付与する必要があります。

  1. データが格納されるログ・アナリティクス・テナンシを定義します(たとえば、logan_tenancy)。

  2. 暗号化操作の実行に使用できるリソースの動的グループを定義します(例: encr_app_tier_group_of_logan)。

  3. サービス・ブロック・ストレージが、テナンシ内の特定のコンパートメント(encryptionTierコンパートメントなど)に格納された暗号化キーおよびボールトを使用できるようにします。

  4. サービス・オブジェクト・ストレージが、テナンシ内の特定のコンパートメント(encryptionTierコンパートメントなど)に格納された暗号化キーおよびボールトを使用することを許可します。

  5. ステップ2で定義した動的グループが、暗号化キーをボリュームに関連付けることを許可します。

  6. ステップ2で定義した動的グループが、暗号化キーをボリューム・バックアップに関連付けることを許可します。

  7. ステップ2で定義した動的グループがキー委任を使用できるようにします。

  8. ステップ2で定義した動的グループが、暗号化キーをオブジェクト・ストレージ・バケットに関連付けることを許可します。

  9. ステップ2で定義した動的グループに、暗号化キーへのREADアクセス権を付与します。

  10. ステップ2で定義した動的グループがボールトへのREADアクセス権を持つことを許可します。

次のIAMポリシー・ステートメントの例は、前述の定義にマップされます:

Define tenancy logan_tenancy as ocid1.tenancy.oc1..aaaaaaaa...
Define dynamic-group encr_app_tier_group_of_logan as ocid1.dynamicgroup.oc1..aaaaaaaa...
allow service blockstorage to use keys in compartment encryptionTier
allow service objectstorage to use keys in compartment encryptionTier
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment encryptionTier with volumes in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment encryptionTier with volume-backups in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to use key-delegate in compartment encryptionTier
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment encryptionTier with buckets in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read keys in compartment encryptionTier
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read vaults in compartment encryptionTier

前述のIAMポリシー・ステートメントのlogan_tenancyencr_app_tier_group_of_loganencryptionTierおよびサンプルOCIDsを実際の値に置き換えてください。