Oracle Cloud Infrastructureドキュメント

セキュリティ・ベスト・プラクティス

このガイドでは、Oracle Cloud Infrastructureのサービスとリソースを安全に構成するための、Oracle Cloud Infrastructureのお客様に実践可能なガイダンスと推奨事項を提供しています。 Oracle Cloud Infrastructureサービスとそのセキュリティ機能を理解することは、読解する前に必須の前提条件です。 前提条件として、サービスのセキュリティに精通することをお薦めします。 詳細は、「Oracle Cloud Infrastructureセキュリティ・ガイド」を参照してください。

Oracle Cloud Infrastructureテナンシのセキュリティは複数のファクタの組み合わせに基づいており、そのすべてが考慮され、安全に構成されなければなりません。 実践的なパースペクティブから、Oracle Cloud Infrastructureセキュリティ構成の階層図を取り上げます。ここでは、基本的なセキュリティの問題に取り組んでいきます。 次のステップでは、テナンシのセキュリティを構成する際に実行する、高度なガイドラインのロードマップを示します。ここでは、各ステップに関連する詳細なセキュリティ・ガイダンスを列挙するセクションへのリンクを提供しています。

  • ユーザーの認証と承認: テナンシを安全に構成する最初のステップは、ユーザーを認証し、ユーザーにセキュリティ権限の低い方法でテナンシ・リソースへのアクセスを認可するメカニズムを作成することです。 このステップは、Oracle Cloud Infrastructure Identity and Access Management (IAM)ユーザーの作成、IAMグループの作成、パスワードを使用したコンソール・アクセス、APIキーを使用したAPIアクセス、およびオブジェクト・ストアの認証トークンなど)の認証メカニズムの作成、コンパートメントを使用した論理グループへの顧客テナンシ・リソースのグループ化、IAMセキュリティ・ポリシーの形成によってテナンシまたは区分リソースへのIAMグループのアクセスが認可されるように構成されます。 企業の場合、オンプレミスのユーザーとグループをテナンシにフェデレートさせることが重要な考慮事項です。 IAMでは、ユーザー、グループ、セキュリティ・ポリシー、およびフェデレーション・メカニズムを作成できます。 IAMの構成に関するセキュリティ推奨事項については、IAM sectionで説明します。
  • ネットワーク・セキュリティ・アーキテクチャ: IAMユーザーの認証と承認を策定した後、次のステップでは、顧客アプリケーションを安全に実行し、データをテナンシに格納するためのネットワーク・セキュリティ・アーキテクチャを作成します。 すべての顧客コンピューティングおよびストレージ・リソースは、顧客向けに作成された仮想クラウド・ネットワーク(VCN)に含まれています。 VCNは、ソフトウェアによって定義されたネットワークで、お客様がワークロードを実行するために使用するオンプレミスの物理ネットワークに似ています。 VCNセキュリティ・アーキテクチャの策定には、次のようなタスクが含まれます:
    • ネットワーク・セグメンテーションのためのVCNサブネットの作成
    • VCNセキュリティ・リストを使用したVCNとロード・バランサのファイアウォールの策定
    • 高可用性とTLSに負荷分散を使用
    • インターネット、オンプレミス・ネットワーク、ピアリング済VCN、またはこれらの組み合わせのVCN外部接続のタイプの決定
    • 仮想ネットワーク・セキュリティ・アプライアンス(たとえば、次世代ファイアウォール、ID)を使用すると、
    • DNSゾーンとマッピングの作成。 ロード・バランサで重要なセキュリティ上の考慮事項は、カスタマのTransport Layer Security (TLS)証明書を使用して、カスタマVCNへのTLS接続を構成することです。 VCNのセキュリティ推奨事項は、ネットワーキング・セクションに記載されています。
  • Computeインスタンスのセキュリティ構成: カスタマVCN内で、顧客アプリケーションは、ベア・メタル(BM)インスタンス、仮想マシン(VM)インスタンス、GPUなどのコンピュート・インスタンスで実行されます。 Computeインスタンスは、基本的なコンピュート・ビルディング・ブロックです。 ベアメタル・インスタンスには、Oracle Managed Softwareが実行されていないため、メモリーおよびローカル・ドライブに格納されたインスタンスおよびデータは、顧客によって完全に制御されます。 VMインスタンスは、最小限の特権メカニズムと業界をリードする企業ハイ・パー・バイザー・セキュリティのベスト・プラクティスを基盤として構築されています。 顧客は、セキュリティとパフォーマンスの要件に応じて、借用時にアプリケーション・ワークロードを実行するために、BMインスタンスとVMインスタンスを選択することができます。 コンピューティング・インスタンスを安全に構成し、実行中の顧客アプリケーションのセキュリティを維持することが不可欠です。 インスタンス・ファイアウォール、インスタンス資格証明管理、エントロピ、セキュリティ・パッチ、セキュリティ・ログおよびモニタリングに関するインスタンス・セキュリティ構成に関する推奨事項は、「コンピュート・セクション」で提供されています。
  • データ・ストレージのセキュリティ構成: 顧客は、データのタイプとアクセスに応じて、ローカル・ドライブ(コンピュート・インスタンスにアタッチ)、リモート・ブロック・ボリューム、オブジェクト・ストア・バケット、データベース、またはテナンシのファイル・ストレージにデータを格納できます。 これらのデータ・ストレージ要件を処理するため、Oracle Cloud Infrastructureは、ブロック・ボリュームオブジェクト・ストレージデータベースファイル・ストレージなどの複数のデータ・ストレージ・サービスを提供しています。 データ・セキュリティの要件を満たすためには、テナンシにデータを格納するデータ・ストレージ・アーキテクチャを策定し、使用されるストレージ・サービスを安全に構成する必要があります。 コンプライアンスと規制要件は、適切なデータ・ストレージ・セキュリティ・アーキテクチャを決定する上で重要なファクタです。 ストレージ・サービスのセキュリティ構成に関する推奨事項は、ブロック・ボリュームオブジェクト・ストレージデータベース、およびファイル・ストレージセクションで利用できます。 これらのサービスに加えて、お客様は、コンピュート・インスタンス・メモリー(DRAM)およびローカルNVMeストレージに一時的に格納されたデータのセキュリティを考慮する必要があります。

API監査は、ログ・イベントとして、API (コンソール、SDK、CLI、APIを使用するカスタム・クライアントなど)を介してAPIへのレコード呼び出しを記録します。 API監査ログは、デフォルトでは常にオンになっており、オフにすることはできません。 これらのログは、顧客が90日間利用でき、保存期間は最大365日まで構成可能です。 API監査ログの情報には、APIアクティビティが発生した時間、アクティビティのソース、アクティビティのターゲット、アクションの内容、レスポンスの内容が表示されます。 顧客は、OCI APIの監査ログを定期的に確認して、テナンシ・リソースで取ったアクションに従っていることを確認することをお薦めします。

サービス固有のベスト・プラクティスについては、以下のトピックを参照してください: