Oracle Cloud Infrastructureドキュメント

セキュリティ・ゾーンの開始

IAMポリシーを作成してクラウド・ガードを有効にした後、コンパートメントのセキュリティ・ゾーンを作成し、セキュリティ・ゾーン・ポリシー違反を確認します。

IAMポリシーの作成

セキュリティ・ゾーンクラウド・ガードを使用するには、コンソールを使用しているか、REST APIをSDK、CLIまたはその他のツールとともに使用しているかにかかわらず、管理者が記述したIAMポリシーで必要なタイプのアクセス権が付与されている必要があります。

テナンシの管理者でない場合は、これらのステップの実行を管理者に依頼してください。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「セキュリティ・ゾーン」で、「概要」をクリックします。
  2. 「概要」ページの「スタート・ガイド」セクションで、必要なIAMポリシー・ステートメントのリストをコピーします。 
    Allow group <group> to use cloud-guard-config in tenancy
Allow group <group> to read cloud-guard-targets in tenancy
Allow group <group> to inspect cloud-guard-problems in tenancy
Allow group <group> to manage security-zone in tenancy
  3. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。
  4. テナンシのルート・コンパートメントを選択します。
  5. 「ポリシーの作成」をクリックします。
  6. ポリシーの「名前」および「説明」を入力します。

    例:

    • 名前: セキュリティ・ゾーン・ポリシー
    • 説明: セキュリティ・ゾーンの作成を有効にします
  7. 「手動エディタの表示」をクリックします。
  8. セキュリティ・ゾーン・コンソールからポリシー・ステートメントを貼り付けます。

    <group>を既存のグループの名前に置き換えます。

  9. 「作成」をクリックします。

セキュリティ・ゾーンおよびクラウド・ガードIAMポリシーについてさらに学習するには、クラウド・ガード・ポリシーを参照してください。

クラウド・ガードの有効化

セキュリティ・ゾーンを作成する前に、テナンシでクラウド・ガードを有効にします。クラウド・ガードがすでに有効化されている場合は、このタスクをスキップできます。

クラウド・ガードは、構成、メトリックおよびログのセキュリティ脆弱性について、すべてのクラウド・リソースをモニターするための中央ダッシュボードを提供するOracle Cloud Infrastructureサービスです。問題が検出されると、クラウド・ガード構成に基づいて、修正処理を提案、支援または実行できます。

セキュリティ・ゾーンは、クラウド・ガードと連携して、既存のリソース内のセキュリティ・ゾーン・ポリシー違反を識別します。

クラウド・ガードの有効化には、次のタスクが含まれます:

  • クラウド・ガードがテナンシ内のリソースをモニターできるようにするIAMポリシーの作成
  • レポート・リージョンの選択
  • オプションで、クラウド・ガードでモニターするコンパートメントのターゲットの作成
  • オプションで、ターゲットのディテクタ・レシピの選択

クラウド・ガードを有効にするには、管理者権限が必要です。

ノート

同じコンパートメントのセキュリティ・ゾーンを作成する前に、コンパートメントのクラウド・ガード・ターゲットを作成する必要はありません。セキュリティ・ゾーンを作成すると、新しいクラウド・ガード・ターゲットが自動的に作成されます。

詳細な手順は、クラウド・ガードの開始を参照してください。

セキュリティ・ゾーン・レシピの作成(オプション)

セキュリティ・ゾーンには、使用可能なすべてのセキュリティ・ゾーン・ポリシーを適用する、最大セキュリティ・レシピと呼ばれるOracle管理のレシピがあります。特定のポリシーを無効にする場合は、このレシピをクローニングできます。

カスタム・セキュリティ・ゾーン・レシピを作成する前に、使用可能なセキュリティ・ゾーン・ポリシーを理解してください。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「セキュリティ・ゾーン」で、「レシピ」をクリックします。
  2. 「最大セキュリティ・レシピ」レシピの「アクション」アイコンをクリックし、「クローン」を選択します。
  3. 新しいレシピの「名前」および「説明」を更新します。

    機密情報を入力しないでください。

  4. レシピを作成するコンパートメントを選択します。

    セキュリティ・ゾーン・レシピとセキュリティ・ゾーンは、異なるコンパートメントに作成できます。

  5. 「次」をクリックします。
  6. (オプション)「ポリシー」ページで、チェック・ボックスを選択してポリシーを有効にするか、チェック・ボックスの選択を解除してポリシーを無効にします。

    特定のポリシー・タイプを選択して、ポリシーのリストをフィルタできます。ポリシーを名前で検索することもできます。

  7. 「次」をクリックします。
  8. 「確認」ページで、このレシピで有効化および無効化されているポリシーの数を確認し、「作成」をクリックします。

    「レシピ詳細」ページが表示されます。

セキュリティ・ゾーンの作成

すべての前提条件タスクを完了したら、既存のコンパートメントのセキュリティ・ゾーンを作成できます。

注意

柔軟性を最大限に高めるために、テナンシのルート・コンパートメントにセキュリティ・ゾーンを割り当てないでください。ルート・コンパートメントに適用されるセキュリティ・ゾーンによって、テナンシ全体で可能なアクションが制約される場合があります。この構成は特定のユースケースに適していますが、ほとんどのユーザーには制限が多すぎます。
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「セキュリティ・ゾーン」で、「概要」をクリックします。
  2. 「リスト・スコープ」で、セキュリティ・ゾーンで保護するコンパートメントを選択します。

    セキュリティ・ゾーンにまだ関連付けられているコンパートメントを選択します。

    セキュリティ・ゾーン・リソースは、選択したコンパートメントに作成されます。

    デフォルトでは、すべてのサブコンパートメントに親コンパートメントと同じセキュリティ・ゾーンが割り当てられます。

  3. 「セキュリティ・ゾーンの作成」をクリックします。

    選択したコンパートメントがすでにセキュリティ・ゾーンに関連付けられている場合、このボタンは無効になります。

  4. 「セキュリティ・ゾーン・レシピ」を選択します。
    • Oracle管理: 顧客管理のレシピを作成していない場合は、このオプションを選択します。セキュリティ・ゾーンでは、最大セキュリティ・レシピが使用されます。
    • 顧客管理: カスタム・レシピを選択します。

    レシピが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックします。

  5. セキュリティ・ゾーンの名前および説明を入力します。

    セキュリティ・ゾーンの命名または説明時には、機密情報を表示しないようにしてください。

    セキュリティ・ゾーンの作成後に名前を変更することはできません。

  6. 「セキュリティ・ゾーンの作成」をクリックします。

    選択したコンパートメントがすでにセキュリティ・ゾーンに関連付けられている場合、このボタンは無効になります。

コンパートメントのセキュリティ・ゾーンを作成すると、クラウド・ガードによって次のタスクが完了します:
  • コンパートメントおよび子コンパートメントの既存のクラウド・ガード・ターゲットをすべて削除します
  • コンパートメントのセキュリティ・ゾーン・ターゲットの作成
  • セキュリティ・ゾーン・ターゲットにデフォルトのOracle管理ディテクタ・レシピを追加します

親コンパートメントがすでにセキュリティ・ゾーン内にあるサブコンパートメントのセキュリティ・ゾーンを作成する場合、クラウド・ガードはサブコンパートメントに対して個別のセキュリティ・ゾーン・ターゲットを作成します。親コンパートメントの既存のターゲットは変更されません。

セキュリティ・ゾーン・ポリシー違反の表示

セキュリティ・ゾーンのコンパートメントに既存のリソースがある場合、セキュリティ・ゾーンのポリシーに違反するリソースを識別し、修正アクションを実行できます。

クラウド・ガードは、セキュリティ・ゾーン内のリソースを定期的にスキャンしてポリシー違反がないか確認します。各ポリシー違反は、クラウド・ガードで問題として記録されます。新しいセキュリティ・ゾーンでは、違反が検出されるまで最大3時間かかる場合があります。

  1. 「概要」ページで、新しいセキュリティ・ゾーンをクリックします。
    「セキュリティ・ゾーンの詳細」ページが表示されます。
  2. 「セキュリティ・ゾーンの詳細」ページの「関連付けられたコンパートメント」表で、現在のコンパートメントを展開して、このセキュリティ・ゾーンにも存在するサブコンパートメントを表示します。
  3. コンパートメントまたはサブコンパートメントにポリシー違反がある場合は、「クラウド・ガードで詳細を表示」をクリックします。

    クラウド・ガード「問題」ページには、このセキュリティ・ゾーンで検出された問題のみが表示されます。

  4. 問題をクリックすると、次の詳細が表示されます:
    • セキュリティ・ゾーン・ポリシーの説明
    • ポリシーに違反するリソースの名前および場所
    • ポリシー違反の相対リスク・レベル(クリティカル、メジャー、マイナーなど)
    • 問題を修正するために実行する推奨アクション

使用可能なすべてのポリシーの説明は、セキュリティ・ゾーン・ポリシーを参照してください。

次のステップ

クラウド・ガードを有効にして最初のセキュリティ・ゾーンを作成した後、ゾーンのテスト、ゾーンのカスタマイズまたは他のゾーンの作成を行うことができます。

タスク 詳細情報
ゾーンのポリシーのいずれかに違反することを試みてゾーンをテストする

ゾーンのレシピで有効になっているセキュリティ・ゾーン・ポリシーを選択します。

たとえば、パブリック・サブネットまたはパブリック・オブジェクト・ストレージ・バケットを作成できないことを確認します。セキュリティ・ゾーン・ポリシーを参照してください。
サブコンパートメント内に個別のゾーンを作成する セキュリティ・ゾーンの作成
ゾーンからサブコンパートメントを削除する セキュリティ・ゾーンからのサブコンパートメントの削除
ゾーンを削除する セキュリティ・ゾーンの削除
セキュリティ・ゾーン・ターゲットのクラウド・ガード・ディテクタ・レシピをカスタマイズする クラウド・ガード構成のカスタマイズ
クラウド・ガードで検出されたその他のセキュリティの問題を確認する 報告された問題の処理
他のグループがセキュリティ・ゾーンを管理できるように、IAMポリシーを作成する クラウド・ガード・ポリシー

セキュリティ・ゾーンを正常に作成またはテストできない場合は、セキュリティ・ゾーンのトラブルシューティングを参照してください。