「サービス・エンクレーブ」セキュリティ機能
アプライアンス管理者の作業環境は「サービス・エンクレーブ」です。 アプライアンスのインフラストラクチャが制御されるシステムの一部です。 ハードウェアと容量の管理、テナンシの制御、およびすべてのシステム・レイヤーでのコンポーネントの集中モニタリング用のツールを提供します。 「サービス・エンクレーブ」の設定を変更すると、アプライアンスの可用性に影響する可能性があります。
「サービス・エンクレーブ」の範囲にはアプライアンス全体が含まれているため、「サービス・エンクレーブ」へのアクセスは厳密に制御する必要があります。 「サービス・エンクレーブ」のベスト・プラクティスには、次のものがあります:
-
ユーザー情報を共有しない
-
「サービス・エンクレーブ」の限られた数のユーザーを作成
-
「サービス・エンクレーブ」グループを使用して、ユーザーのアクセスを制御: ADMIN、MONITOR、SUPERADMIN、DRADMIN (「サービス・エンクレーブ」で使用可能なロールの詳細は、「Oracle Private Cloud Appliance概要ガイド」の管理者アクセスの項を参照)
-
DRADMINロールを持つユーザーの作成は、現時点では「サービス・エンクレーブ」 CLIを介してのみ実行できます
ローカルで定義されたユーザー(フェデレーテッド・ユーザーとは対照的に)は、「コンピュートWeb UI」およびOCI CLIを介してPrivate Cloud Applianceにアクセスできます。 「サービス・エンクレーブ」へのアクセスについては、「Oracle Private Cloud Appliance管理者ガイド」の「サービス・エンクレーブ」での作業に関する章を参照してください。
アイデンティティ・プロバイダを使用したセキュアな「コンピュート・エンクレーブ」テナンシの作成
アイデンティティ・プロバイダ(IdP)は、「サービス・エンクレーブ」ユーザー・インタフェースへのアクセスに使用できます。 1つ以上のIdPsが作成され、グループがマップされると、ディレクトリ内のユーザーはブラウザを介して「サービス・エンクレーブ」ユーザー・インタフェースにアクセスできます。 アイデンティティ・ユーザーは管理CLIにアクセスできません。
IdPs、ユーザーおよびグループの管理の詳細は、「Oracle Private Cloud Appliance管理者ガイド」の「Microsoft Active Directoryのフェデレート」に関する項を参照してください。
セキュアな「コンピュート・エンクレーブ」テナンシの作成
テナンシは、仮想化されたワークロードを構築および構成するためにテナンシのユーザーがクラウド・リソースを作成および管理するOracle Private Cloud Appliance環境です。 環境内のすべてのテナンシは、まとめて「コンピュート・エンクレーブ」と呼ばれます。 SUPERADMINグループの一部である「サービス・エンクレーブ」管理者は、テナンシを作成および削除できます。 作成プロセスの一部として、「サービス・エンクレーブ」管理者はテナンシの管理者を定義します。 テナンシおよびテナンシ管理者が作成されると、「サービス・エンクレーブ」管理者はテナンシの説明の変更、またはテナンシとすべてのコンテンツの削除のみを行うことができます。 テナンシ内のリソースのすべての変更は、テナンシ・ユーザーによって処理されます。
セキュアな「コンピュート・エンクレーブ」テナンシの一般的なベスト・プラクティス:
-
各テナンシの初期管理者に同じ初期パスワードを使用しないでください
-
テナンシごとに異なる管理者ユーザー名を使用することを検討
-
テナンシ管理者情報を受信したらすぐにパスワードを変更するように新しいテナンシ管理者に通知
-
新しいテナンシ管理者へのGrafanaアクセスのユーザーとパスワードを伝達しないでください(Grafanaによるモニタリングおよびロギングはアプライアンス全体用です)
作成されると、新しいテナンシのテナンシ・ユーザーが作成したリソースは、「サービス・エンクレーブ」ではなくテナンシによって所有されますが、すべてのテナンシのリソースは単一のリソース・プールから取得されます。
IdPs、ユーザーおよびグループの管理の詳細は、「Oracle Private Cloud Appliance管理者ガイド」の「テナンシ管理」に関する項を参照してください。
認定期限切れ
| 証明書 | 公開キー・アルゴリズム | Expiration |
|---|---|---|
| PCA 3.0ルート認証局(CA) | RSA 4096ビット | 20年 |
| PCA 3.0内部サービスに使用される中間CA | RSA 4096ビット | 10年 |
| PCA 3.0外部向けサービスに使用される中間CA | RSA 4096ビット | 10年 |
| PCA 3.0サーバー証明書 | RSA 2048ビット | 1年 |
| PCA 3.0クライアント証明書 | RSA 2048ビット | 1年 |
| Vaultで生成されたサーバー証明書(自動ローテーション) | RSA 2048ビット | 31日 |
| Vaultによって生成された一時証明書(自動ローテーション) | RSA 2048ビット | 1時間 |
| コンピュート証明書署名リクエスト(CSR) - Vaultクライアント証明書 | RSA 2048ビット | 1年 |
一部の短期証明書には自動ローテーションがあります。 顧客が証明書を置き換えると、それらの証明書は表の範囲外になります。
独自のCAトラスト・チェーン
Oracle Private Cloud Applianceアーキテクチャでは、独自のCA証明書を提供して、CAトラスト・チェーンを使用してラックの外部インタフェースにアクセスできます。
ノート:
OpenSSHクライアントは、少なくともバージョンopenssh-clients-7.4p1以上である必要があります。手順については、「Oracle Private Cloud Appliance管理者ガイド」の「認証局トラスト・チェーンを使用した外部インタフェースへのアクセス」を参照してください。
監査ログ
「サービス・エンクレーブ」の監査ログは、Grafanaダッシュボードから使用でき、「サービス・エンクレーブ」 UI webサーバーおよび管理サービス自体のログと混在します。
様々なフィルタを使用して監査情報を分離するには、「Oracle Private Cloud Appliance管理者ガイド」の「システム・ログへのアクセス」および「監査ログ」の項を参照してください。
モニタリングとロギング
Oracle Private Cloud Applianceのモニタリングおよびロギング情報(監査ログを含む)は、集中管理されたGrafanaコンソールを介してアクセスされ、「サービス・エンクレーブ」 UIのダッシュボードからリンクが提供されます。 現時点では、Grafanaから使用できるユーザー・プロファイルは1つのみです。 Grafanaのデータは、すべてのテナンシ、「サービス・エンクレーブ」およびインフラストラクチャ・コンポーネントに適用されます。 Grafanaで使用可能な情報を保護するには:
-
Grafana (またはPrometheus)のログイン情報を配信しないでください
-
Grafana管理者(VM統計、特定のテナンシの監査情報など...を含む)を介して、テナンシ管理者からの情報のリクエストを集中管理
ステータスおよびヘルス・モニタリングの詳細は、「Oracle Private Cloud Appliance管理者ガイド」の「ステータスおよびヘルス・モニタリング」の項を参照してください。
セキュアな環境を維持するためのセキュリティ・パッチ
セキュリティ・パッチは、パッチ・プロセスを介して提供されるパッチのサブセットです。 詳細は、「Oracle Private Cloud Applianceパッチ適用ガイド」で説明されているプロセスを参照してください