Oracle Cloud Infrastructureドキュメント

ログ・アナリティクスのログのセキュリティ

Oracle Logging Analyticsは、ログにセキュアなデータ転送とストレージを提供します。このサービスは、Oracle Cloud Infrastructure (OCI)で本質的に利用可能な様々なセキュリティ機能を利用して、ログを保護するために拡張します。

移動中のログのセキュリティ

データが転送中の場合、OCI外部からOCI内部へのすべての通信は、暗号化レイヤーが有効になっているhttpsプロトコルを介して行われます。これにより、MitMフィッシング攻撃からの機密データ保護が保証されます。

保存時のログのセキュリティ

次の機能により、OCIでの保存中(アクティブまたはアーカイブ・データ)でもログが安全に保たれます。

  • AES-256サーバー側の暗号化: OCIは、256ビット暗号化のAdvanced Encryption Standard (AES)アルゴリズムを使用して、サーバー側のすべてのブロック・ボリューム、ブート・ボリューム、ボリューム・バックアップおよびオブジェクト・ストレージを常に暗号化および復号化します。Oracle Cloud Infrastructureドキュメントオブジェクト・ストレージの暗号化およびブロック・ボリュームの暗号化を参照してください。

    暗号化はデフォルトで有効化されており、オフにできません。デフォルトでは、Oracleはマスター暗号化キーを管理します。

  • AES/GCM 256ビットのクライアント側の暗号化: OCI SDK for PythonおよびSDK for Javaは、クライアント側の暗号化をサポートしています。クライアント側の暗号化は、データをローカルに格納するか、他のOCIサービスで使用する前にクライアント側のデータを暗号化します。Oracle Cloud Infrastructureドキュメント: クライアント側の暗号化を参照してください。

  • 顧客提供の暗号化キー: Oracle Logging Analyticsでは、OCI Vaultに格納した独自の暗号化キーを使用してログを暗号化できます。ログ・データのサイズに基づいてOracle Supportに連絡して、独自のキーを使用して暗号化のリクエストを送信すると、Oracleによって専用のブロック・ボリュームまたはオブジェクト・ストレージ・バケットが作成されます。これにより、データが確実に分離され、選択的に暗号化されます。

    この機能を有効にすると、アクティブ・データまたはアーカイブ・データ用のオブジェクト・ストレージのブロック・ボリュームで暗号化キーを使用することを選択できます。この機能を有効にすると、別の場所にある古いログ・データは、OCI管理暗号化キーを使用して引き続き暗号化されます。

    OCI Vaultを使用して、ボールト、キーおよびシークレットを管理できます。時々、マスター暗号化キーをローテーションすることもできます。Oracle Cloud Infrastructureドキュメント: キーの管理を参照してください。

    使用されている現在のマスター暗号化キーを確認するには、次のGET REST APIをコールします。 

    /namespaces/{namespaceName}/storage/encryptionKeyInfo

    特定のマスター暗号化キーで暗号化を有効にするには、次のPOST REST APIをコールします。 

    /namespaces/{namespaceName}/storage/actions/assignEncryptionKey

    必要なIAMポリシー・ステートメントが、キー管理、専用リソースからのデータへのアクセス、およびOracle Logging Analyticsがログ上の暗号化キーを使用できるように作成されていることを確認します。ログを暗号化するための顧客指定キーの使用の許可を参照してください。

    この機能を無効化または再有効化するには、Oracle Supportに連絡してください。

ログを暗号化するための顧客指定キーの使用の許可

Oracle Logging Analyticsでは、OCI Vaultに格納した独自の暗号化キーを使用してログを暗号化できます。ログ・データのサイズに基づいてOracle Supportに連絡して、独自のキーを使用して暗号化のリクエストを送信すると、Oracleによって専用のブロック・ボリュームまたはオブジェクト・ストレージ・バケットが作成されます。これにより、データが確実に分離され、選択的に暗号化されます。

ログ・データの暗号化にキーを正常に使用するには、まず、様々なサービスがキーにアクセスして使用するための次の権限を指定する必要があります。

  1. データが格納されるログ・アナリティクス・テナンシを定義します(たとえば、logan_tenancy)。

  2. 暗号化操作の実行に使用できるリソースの動的グループ(encr_app_tier_group_of_loganなど)を定義します。

  3. サービス・ブロック・ストレージが、テナンシの特定のコンパートメント(encryptionTierコンパートメントなど)に格納されている暗号化キーおよびボールトを使用できるようにします。

  4. サービス・オブジェクト・ストレージが、テナンシの特定のコンパートメント(encryptionTierコンパートメントなど)に格納されている暗号化キーおよびボールトを使用できるようにします。

  5. ステップ2で定義した動的グループに、暗号化キーをボリュームに関連付けることを許可します。

  6. ステップ2で定義した動的グループに、暗号化キーをボリューム・バックアップに関連付けることを許可します。

  7. ステップ2で定義した動的グループがキー委任を使用できるようにします。

  8. ステップ2で定義した動的グループに、暗号化キーをオブジェクト・ストレージ・バケットに関連付けることを許可します。

  9. ステップ2で定義した動的グループに、暗号化キーへのREADアクセス権を付与します。

  10. ステップ2で定義した動的グループに、ボールトへのREADアクセス権を付与します。

次のIAMポリシー・ステートメントの例は、前述の定義にマップされます:

Define tenancy logan_tenancy as ocid1.tenancy.oc1..aaaaaaaa...
Define dynamic-group encr_app_tier_group_of_logan as ocid1.dynamicgroup.oc1..aaaaaaaa...
allow service blockstorage to use keys in compartment encryptionTier
allow service objectstorage to use keys in compartment encryptionTier
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment encryptionTier with volumes in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment encryptionTier with volume-backups in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to use key-delegate in compartment encryptionTier
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment encryptionTier with buckets in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read keys in compartment encryptionTier
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read vaults in compartment encryptionTier

前述のIAMポリシー・ステートメントのlogan_tenancyencr_app_tier_group_of_loganencryptionTierおよびOCIDs例を実際の値に置き換えてください。