コア・サービスのセキュリティ

コアOracle Cloud Infrastructureサービスの主要なセキュリティ機能について学習します。

コンピュート

Oracle Cloud Infrastructure Computeでは、インスタンス と呼ばれるコンピュート・ホストをプロビジョニングおよび管理できます。コンピュートおよびアプリケーションの要件を満たすために必要に応じてインスタンスを起動できます。インスタンスを起動したら、コンピュータからインスタンスに安全にアクセスし、再起動、ボリュームのアタッチやデタッチを行い、完了時にはインスタンスを終了できます。インスタンスのローカル・ドライブに対して行った変更内容は、インスタンスを終了すると失われます。インスタンスにアタッチされたボリュームに保存された変更内容は保持されます。

Oracle Cloud Infrastructureには、ベア・メタル・インスタンスと仮想マシン・インスタンスの両方が用意されています:

ベア・メタル
ベア・メタル・コンピュート・インスタンスによって、最高のパフォーマンスと強力な分離を備えた専用の物理サーバーにアクセスできます。顧客がベア・メタル・インスタンスを終了した後で、ディスクおよびファームウェアレベルの自動ワイプ処理がサーバーで実行され、顧客間の分離が確保されます。
仮想マシン
仮想マシン(VM)は、物理ベア・メタル・ハードウェアの上位で稼働する、独立コンピューティング環境です。仮想化によって、相互に分離された複数のVMを実行できるようになります。VMは、物理マシン全体のパフォーマンスおよびリソース(CPU、メモリー、ネットワーク帯域幅、ストレージ)を必要としないアプリケーションの実行に理想的です。

Oracle Cloud Infrastructure VMコンピュート・インスタンスは、同じクラウド最適化ハードウェア、ファームウェア、ソフトウェア・スタックおよびネットワーク・インフラストラクチャを使用して、ベアメタル・インスタンスと同じハードウェア上で稼働します。

すべてのOracle Cloud Infrastructureインスタンスは、デフォルトではキーベースのセキュア・シェル(SSH)を使用します。顧客は、Oracle Cloud InfrastructureにSSH公開キーを提供し、SSH秘密キーを使用してインスタンスにアクセスします。Oracle Cloud Infrastructureインスタンスにアクセスする際はキーベースのSSHを使用することをお薦めします。パスワードベースのSSHは総当たり攻撃の影響を受ける可能性があり、お薦めしません。

Oracle Cloud Infrastructureインスタンスでの実行には、最新のセキュリティ更新で強化されたOracle Linuxイメージを使用できます。Oracle LinuxイメージはUnbreakable Enterprise Kernel (UEK)を実行し、再起動せずにセキュリティ・パッチを適用できるKspliceなどの高度なセキュリティ機能をサポートしています。Oracle Linuxに加えて、Oracle Cloud Infrastructureでは、CentOS、Ubuntu、Windows ServerなどのOSプラットフォームイメージのリストを使用できます。すべてのプラットフォーム・イメージは、デフォルトでオンになっているOSレベルのファイアウォールなど、セキュアなデフォルト設定で提供されます。

独自のカスタム・イメージを持ち込むこともできます。ただし、特定のセキュリティ・ゾーン・ポリシーでは、セキュリティ・ゾーンに関連付けられたコンパートメントでのプラットフォーム・イメージの使用のみが許可されます。

脆弱性スキャン・サービスを使用して、パッチの欠落やポートのオープンなどの潜在的なセキュリティ脆弱性がないかインスタンスを定期的にチェックします。このサービスは、これらの脆弱性に関するメトリックと詳細を含むレポートを生成し、それぞれにリスク・レベルを割り当てます。

詳細は、次を参照してください:

ネットワーキング

Oracle Cloud Infrastructure Networkingサービスを使用すると、カスタマイズ可能なプライベート・ネットワーク(VCNまたは仮想クラウド・ネットワーク)を定義できますが、ここではOracle Cloud Infrastructureリソースが論理的に分離されます。データ・センターのオンプレミス・ネットワークと同様に、サブネット、ルート表、ゲートウェイおよびファイアウォール・ルールを使用してVCNを設定できます。

VCNに関連する主なネットワーキングの概念は次のとおりです:

サブネット
VCNの主な下位区分。サブネットは、パブリックまたはプライベートにできます。プライベート・サブネットは、そのサブネットで起動されたリソースがパブリックIPアドレスを持つことを防ぎます。
インターネット・ゲートウェイ
VCNからのパブリック・インターネット接続を提供する仮想ルーター。デフォルトでは、新規作成されたVCNにはインターネット接続がありません。
動的ルーティング・ゲートウェイ(DRG)
VCNとデータ・センターのネットワーク間のプライベート・トラフィックのパスを提供する仮想ルーター。DRGは、IPSec VPNまたはOracle Cloud Infrastructure FastConnectとともに使用されます。
ネットワーク・アドレス変換(NAT)ゲートウェイ
パブリックIPアドレスを持たないクラウド・リソースがインターネットにアクセスできるようにする仮想ルーター。着信インターネット接続にそれらのリソースは公開されません。
サービス・ゲートウェイ
オブジェクト・ストレージなどのOracleサービスに対するプライベート・アクセス権をクラウド・リソースに付与する仮想ルーター。インターネット・ゲートウェイまたはNATゲートウェイは使用されません。
ルート表
ゲートウェイまたは特別に構成されたコンピュート・インスタンスを介して、サブネットからVCN以外の宛先にトラフィックをルーティングするルールを持つ仮想ルート表。
セキュリティ・リスト
リソース内外で許可されるトラフィックのタイプ(プロトコルおよびポート)を指定する仮想ファイアウォール・ルール。個々のルールは、ステートフルまたはステートレスとして定義でき、ターゲット・サブネット内のすべてのリソースに影響します。
ネットワーク・セキュリティ・グループ
グループのメンバーであるリソースへの許可されるイングレスおよびエグレスを定義する仮想ファイアウォール・ルール。個々のルールは、ステートフルまたはステートレスとして定義できます。

セキュリティ・リスト、ネットワーク・セキュリティ・グループまたはその両方の組合せを使用して、VCN内のリソースとの間のパケットレベル・トラフィックを制御します。たとえば、ソースCIDR 0.0.0.0/0および宛先TCPポート22を使用してステートフル・イングレス・ルールを設定することで、任意の場所からインスタンスのサブネットまたはグループへの受信SSHトラフィックを許可できます。すべてのVCNには、SSHおよび特定タイプの重要なICMPイングレス・トラフィックのみを許可し、すべてのエグレス・トラフィックを許可するデフォルトのセキュリティ・リストがあります。

プライベート・サブネットを作成して、VCNに動作中のインターネット・ゲートウェイがあり、セキュリティ・ルールとファイアウォール・ルールでトラフィックが許可されていても、サブネット内のリソースがインターネットにアクセスしないようにします。特定のセキュリティ・ゾーン・ポリシーでは、プライベート・サブネットの使用のみが許可されます。要塞サービスを使用して、インターネットからプライベート・サブネット内のリソースへのセキュアな一時SSHセッションを作成できます。

VCNは、インターネット接続用に構成することも、サイト間VPNまたはFastConnectを介してプライベート・データ・センターに接続することもできます。FastConnectでは、既存のネットワークのエッジ・ルーターとDRGの間のプライベート接続が提供されます。トラフィックがインターネットを通過することはありません。

詳細は、次を参照してください:

STORAGE

Oracle Cloud Infrastructureには、パフォーマンスや耐久性の要件を満たすために、複数のストレージ・ソリューションが用意されています:

ローカル・ストレージ
コンピュート・インスタンス上のNVMe対応ストレージ。高いIOPSが提供されます。
ブロック・ボリューム
ネットワーク接続されたストレージ・ボリューム。コンピュート・インスタンスにアタッチできます。
オブジェクト・ストレージ
大容量のデータをオブジェクトとして格納するためのリージョン用サービス。強力な一貫性と耐久性を提供します。オブジェクトはバケットを使用して編成されます。
ファイル・ストレージ

ネットワーク・ファイル・システム・バージョン3.0 (NFSv3)プロトコルをサポートする永続ネットワーク・ファイル・システム。

Oracle Cloud Infrastructure Block Volumeサービスは、iSCSIプロトコルを使用してコンピュート・インスタンスにアタッチできる永続ストレージを提供します。ボリュームは高パフォーマンスのネットワーク・ストレージに格納され、自動バックアップおよびスナップショット機能をサポートします。ボリュームとそのバックアップは、顧客のVCN内からのみアクセスすることができ、保存中は一意キーを使用して暗号化されます。より多くのセキュリティのために、ボリューム単位でiSCSI CHAP認証を必須とすることができます。

Oracle Cloud Infrastructure Object Storageサービスは、オブジェクトに対して、拡張性が高く一貫性のある永続的なストレージを提供します。HTTPSを介したAPIコールによって、データに対する高スループットのアクセスが実現します。すべてのオブジェクトは一意のキーを使用して保存時に暗号化され、デフォルトではバケットおよびバケット内のオブジェクトへのアクセスには認証が必要です。

セキュリティゾーンポリシーでは、Vaultサービスのユーザ管理キーを使用してボリューム、オブジェクト、およびファイルシステムを暗号化する必要があります。セキュリティーアドバイザを使用して、単一のインタフェースでストレージリソースと必要な鍵をすばやく作成することもできます。

IAMセキュリティ・ポリシーを使用して、ユーザーおよびグループにオブジェクト・ストレージ・バケットへのアクセス権限を付与します。IAMの資格証明を持たないユーザーがバケットにアクセスできるようにするには、バケット所有者(または必要な権限を持つユーザー)が事前認証済リクエストを作成できます。事前認証済リクエストを使用すると、指定した期間のバケットまたはオブジェクトに対して認可されたアクションを実行できます。

あるいは、バケットをパブリックにして、認証されていない匿名アクセスを許可することもできます。オブジェクト・ストレージでは、意図しないオブジェクトの破損がなかったことを検証できます。これには、オブジェクトとともにMD5チェックサムを送信し、アップロードの成功時に返されるようにします。このチェックサムを使用して、オブジェクトの整合性を検証できます。不慮の情報漏洩のセキュリティ・リスクがあるため、Oracleではバケットを公開する前にビジネス・ケースを慎重に検討することをお薦めします。特定のセキュリティ・ゾーン・ポリシーでは、パブリック・バケットの作成が禁止されています。

Oracle Cloud Infrastructure File Storageサービスを使用すると、ファイル・システム、マウント・ターゲット、エクスポート・セットなどのリソースを管理できます。IAMポリシーを使用して、これらのリソースへのアクセスを定義します。認証および権限チェックのAUTH_UNIXスタイルは、ファイル・システムへのリモートNFSクライアント・リクエストでサポートされています。

詳細は、次を参照してください:

データベース

Oracle Cloud Infrastructure Databaseサービスは、自律型および共同管理のOracle Database Cloudソリューションを提供します。どちらのタイプのデータベース・ソリューションでも、ユーザーはデータベースで使用可能な機能と操作への完全なアクセス権を持っていますが、Oracleはインフラストラクチャを所有および管理します。

  • Autonomous Databaseは事前構成済で、トランザクション処理またはデータ・ウェアハウス・ワークロードに適した完全に管理された環境です。
  • 共同管理ソリューションは、ベア・メタル、仮想マシンおよびExadata DBシステムであり、ニーズに合ったリソースや設定でカスタマイズできます。

DBシステムには、VCNからのみアクセスできます。また、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを構成してデータベースへのネットワーク・アクセスを制御できます。データベース・サービスは、IAMと統合されており、どのユーザーがDBシステムを起動して管理できるかを制御できます。デフォルトでは、保存中のデータは、Oracle Transparent Data Encryption (TDE)を使用して、各DBシステムのOracle Walletに格納されるマスター・キーによって暗号化されます。

DBシステムのRMANバックアップは、暗号化されて、オブジェクト・ストレージ・サービス内の顧客所有のバケットに格納されます。特定のセキュリティ・ゾーン・ポリシーでは、データベース・バックアップの構成が必要です。

Oracleデータベース・セキュリティ・パッチ(Oracleクリティカル・パッチ・アップデート)の適用は、既知のセキュリティ問題を軽減するために不可欠であり、パッチを最新の状態に保つことをお薦めします。パッチ・セットおよびパッチ・セット更新(PSU)は四半期ごとにリリースされます。これらのパッチ・リリースには、セキュリティ修正と、その他に高インパクト/低リスクのクリティカルなバグの修正が含まれています。

詳細は、「データベースの保護」を参照してください。

ロード・バランシング

Oracle Cloud Infrastructure Load Balancingは、仮想クラウド・ネットワーク(VCN)からアクセス可能な複数のサーバーに対して、1つのエントリ・ポイントから自動トラフィック分散を提供します。このサービスによって、選択されたパブリックまたはプライベートのIPアドレスと、プロビジョニングされた帯域幅を備えたロード・バランサが提供されます。プライベート・ロード・バランサには、ホストしているサブネットからのIPアドレスがあります(これはVCN内でのみ表示されます)。

ロード・バランサには次のSSL構成を適用できます:

SSL終了
ロード・バランサは、受信SSLトラフィックを処理し、暗号化されていないリクエストをバックエンド・サーバーに渡します。
ポイント・トゥ・ポイントSSL
ロード・バランサは、受信トラフィック・クライアントとのSSL接続を終了してから、バックエンド・サーバーへのSSL接続を開始します。
SSLトンネリング
TCPトラフィック用にロード・バランサのリスナーを構成すると、ロード・バランサは、受信SSL接続をアプリケーション・サーバーにトンネリングします。

ロード・バランシング・サービスでは、デフォルトでTLS 1.2がサポートされ、次に示すTLS暗号スイートの前方秘書性暗号が優先されます:

  • ECDHE - RSA -AES256- GCM -SHA384
  • ECDHE - RSA -AES256-SHA384
  • ECDHE - RSA -AES128- GCM -SHA256
  • ECDHE - RSA -AES128-SHA256
  • DHE - RSA - AS 256 - GCM - SHA 384
  • DHE - RSA -AES256-SHA256
  • DHE - RSA - AS 128 - GCM - SHA 256
  • DHE - RSA -AES128-SHA256

VCNのネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用して、ロード・バランサに対するネットワーク・アクセスを構成できます。

詳細は、ネットワーキングの保護: VCN、ロード・バランサおよびDNSを参照してください。