コア・サービスのセキュリティ

Oracle Cloud Infrastructure Computeでは、インスタンス と呼ばれるコンピュート・ホストをプロビジョニングおよび管理できます。コンピュートおよびアプリケーションの要件を満たすために必要に応じてインスタンスを起動できます。インスタンスを起動したら、コンピュータからインスタンスに安全にアクセスし、再起動、ボリュームのアタッチおよびデタッチを行い、完了時にインスタンスを終了できます。インスタンスのローカル・ドライブに対して行った変更内容は、インスタンスを終了すると失われます。インスタンスにアタッチされたボリュームに保存された変更内容は保持されます。

Oracle Cloud Infrastructureには、ベア・メタル・インスタンスと仮想マシン・インスタンスの両方が用意されています:

ベア・メタル

ベア・メタル・コンピュート・インスタンスによって、最高のパフォーマンスと強力な分離を備えた専用の物理サーバーにアクセスできます。顧客がベア・メタル・インスタンスを終了した後で、ディスクおよびファームウェアレベルの自動ワイプ処理がサーバーで実行され、顧客間の分離が確保されます。

仮想マシン

仮想マシン(VM)は、物理ベア・メタル・ハードウェアの上位で稼働する、独立コンピューティング環境です。仮想化によって、相互に分離された複数のVMを実行できるようになります。VMは、物理マシン全体のパフォーマンスおよびリソース(CPU、メモリー、ネットワーク帯域幅、ストレージ)を必要としないアプリケーションの実行に理想的です。

Oracle Cloud Infrastructure VMコンピュート・インスタンスは、ベア・メタル・インスタンスと同じハードウェア上で、クラウド用に最適化された同じハードウェア、ファームウェア、ソフトウェア・スタックおよびネットワーク・インフラストラクチャを使用して実行されます。

すべてのOracle Cloud Infrastructureインスタンスは、デフォルトではキーベースのSecure Shell (SSH)を使用します。顧客は、Oracle Cloud InfrastructureにSSH公開キーを提供し、SSH秘密キーを使用してインスタンスにアクセスします。Oracle Cloud Infrastructureインスタンスにアクセスする際はキーベースのSSHを使用することをお薦めします。パスワードベースのSSHは、攻撃の徹底に影響を及ぼす可能性があり、お薦めしません。

Oracle Cloud Infrastructureインスタンスでの実行には、最新のセキュリティ更新で強化されたOracle Linuxイメージを使用できます。Oracle LinuxイメージはUnbreakable Enterprise Kernel (UEK)を実行し、Kspliceなどの高度なセキュリティ機能をサポートして、再起動せずにセキュリティ・パッチを適用できます。Oracle Linuxに加えて、Oracle Cloud Infrastructureでは、CentOS、Ubuntu、Windows Serverなどの他のOSプラットフォーム・イメージのリストが使用可能になります。すべてのプラットフォーム・イメージは、OSレベルのファイアウォールがデフォルトでオンになっているなど、セキュアなデフォルト設定で提供されます。

独自のカスタム・イメージを持ち込むこともできます。ただし、特定のセキュリティ・ゾーン・ポリシーでは、セキュリティ・ゾーンに関連付けられたコンパートメントでのプラットフォーム・イメージの使用のみが許可されます。

脆弱性スキャン・サービスを使用して、パッチの欠落やポートのオープンなどの潜在的なセキュリティ脆弱性がないかインスタンスを定期的にチェックします。このサービスは、これらの脆弱性に関するメトリックと詳細を含むレポートを生成し、それぞれにリスク・レベルを割り当てます。

詳細は、次を参照してください:

• コンピュートの概要
• コンピュートの保護

Oracle Cloud Infrastructure Networkingサービスを使用すると、カスタマイズ可能なプライベート・ネットワーク(VCNまたは仮想クラウド・ネットワーク)を定義できます。これにより、Oracle Cloud Infrastructureリソースの論理的な分離が強化されます。データ・センター内のオンプレミス・ネットワークと同様に、サブネット、ルート表、ゲートウェイおよびファイアウォール・ルールを使用してVCNを設定できます。

VCNに関連する主なネットワーキングの概念は次のとおりです:

サブネット

VCNの主な下位区分。サブネットは、パブリックまたはプライベートにできます。プライベート・サブネットは、そのサブネットで起動されたリソースがパブリックIPアドレスを持つことを防ぎます。

インターネット・ゲートウェイ

VCNからのパブリック・インターネット接続を提供する仮想ルーター。デフォルトでは、新規作成されたVCNにはインターネット接続がありません。

動的ルーティング・ゲートウェイ(DRG)

VCNとデータ・センターのネットワーク間のプライベート・トラフィックに対するパスを提供する仮想ルーター。DRGは、IPSec VPNまたはOracle Cloud Infrastructure FastConnectとともに使用されます。

ネットワーク・アドレス変換(NAT)ゲートウェイ

パブリックIPアドレスを持たないクラウド・リソースがインターネットにアクセスできるようにする仮想ルーター。着信インターネット接続にそれらのリソースは公開されません。

サービス・ゲートウェイ

オブジェクト・ストレージなどのOracleサービスに対するクラウド・リソース・プライベート・アクセス権を付与する仮想ルーター。インターネット・ゲートウェイまたはNATゲートウェイは使用されません。

ルート表

ゲートウェイまたは特別に構成されたコンピュート・インスタンスを介して、サブネットからVCN以外の宛先にトラフィックをルーティングするルールを持つ仮想ルート表。

セキュリティ・リスト

リソース内外で許可されるトラフィックのタイプ(プロトコルおよびポート)を指定する仮想ファイアウォール・ルール。個々のルールは、ステートフルまたはステートレスとして定義でき、ターゲット・サブネット内のすべてのリソースに影響します。

ネットワーク・セキュリティ・グループ

グループのメンバーであるリソースへの許可されるイングレスおよびエグレスを定義する仮想ファイアウォール・ルール。個々のルールは、ステートフルまたはステートレスとして定義できます。

セキュリティ・リスト、ネットワーク・セキュリティ・グループまたはその両方の組合せを使用して、VCN内のリソースとの間のパケットレベル・トラフィックを制御します。たとえば、ソースCIDR 0.0.0.0/0および宛先TCPポート22を使用してステートフル・イングレス・ルールを設定することで、任意の場所からインスタンスのサブネットまたはグループへの受信SSHトラフィックを許可できます。すべてのVCNには、SSHおよび特定タイプの重要なICMPイングレス・トラフィックのみを許可し、すべてのエグレス・トラフィックを許可するデフォルトのセキュリティ・リストがあります。

プライベート・サブネットを作成して、VCNに動作中のインターネット・ゲートウェイがあり、セキュリティ・ルールとファイアウォール・ルールでトラフィックが許可されていても、サブネット内のリソースがインターネットにアクセスしないようにします。特定のセキュリティ・ゾーン・ポリシーでは、プライベート・サブネットの使用のみが許可されます。要塞サービスを使用して、インターネットからプライベート・サブネット内のリソースへのセキュアな一時SSHセッションを作成できます。

VCNは、インターネット接続用に構成することも、サイト間VPNまたはFastConnectを介してプライベート・データ・センターに接続することもできます。FastConnectは、既存のネットワークのエッジ・ルーターとDRGの間のプライベート接続を提供します。トラフィックがインターネットを通過することはありません。

詳細は、次を参照してください:

• ネットワークを保護する方法
• アクセス制御
• セキュリティ・ルール
• ネットワーキングの保護: VCN、ロード・バランサおよびDNS

Oracle Cloud Infrastructureには、パフォーマンスや耐久性の要件を満たすために複数のストレージ・ソリューションが用意されています:

ローカル・ストレージ

コンピュート・インスタンス上のNVMe対応ストレージ。高いIOPSが提供されます。

ブロック・ボリューム

ネットワーク接続されたストレージ・ボリューム。コンピュート・インスタンスにアタッチできます。

オブジェクト・ストレージ

大容量のデータをオブジェクトとして格納するためのリージョン用サービス。強力な一貫性と耐久性を提供します。オブジェクトはバケットを使用して編成されます。

File Storage

ネットワーク・ファイル・システム・バージョン3.0 (NFSv3)プロトコルをサポートする永続ネットワーク・ファイル・システム。

Oracle Cloud Infrastructure Block Volumeサービスは、iSCSIプロトコルを使用してコンピュート・インスタンスにアタッチできる永続ストレージを提供します。ボリュームは高パフォーマンスのネットワーク・ストレージに格納され、自動バックアップおよびスナップショット機能をサポートします。ボリュームとそのバックアップは、顧客のVCN内からのみアクセスすることができ、保存中は一意キーを使用して暗号化されます。セキュリティを強化するために、ボリューム単位でiSCSI CHAP認証を必須とすることができます。

Oracle Cloud Infrastructure Object Storageサービスは、非常にスケーラブルで一貫性のある耐久性のあるストレージをオブジェクトに提供します。HTTPSを介したAPIコールによって、データに対する高スループットのアクセスが実現します。すべてのオブジェクトは、一意キーを使用して保存時に暗号化され、デフォルトでバケットおよびオブジェクトへのアクセスには認証が必要です。

セキュリティゾーンポリシーでは、Vaultサービスのユーザ管理キーを使用してボリューム、オブジェクト、およびファイルシステムを暗号化する必要があります。セキュリティーアドバイザを使用して、単一のインタフェースでストレージリソースと必要な鍵をすばやく作成することもできます。

IAMセキュリティ・ポリシーを使用して、ユーザーおよびグループにオブジェクト・ストレージ・バケットへのアクセス権限を付与します。IAM資格証明のないユーザーによるバケットへのアクセスを許可するには、バケット所有者(または必要な権限のあるユーザー)が事前認証済リクエストを作成できます。事前認証済リクエストでは、指定した期間、バケットまたはオブジェクトに対する認可済アクションが許可されます。

あるいは、バケットをパブリックにして、認証されていない匿名アクセスを許可することもできます。オブジェクト・ストレージでは、MD5チェックサムをオブジェクトとともに送信し、アップロードの成功時に返せるようにすることで、オブジェクトが意図せず破損していないことを検証できます。このチェックサムを使用してオブジェクトの整合性を検証できます。Oracleでは、不注意な情報開示のセキュリティ・リスクを考慮して、バケットを公開する前にビジネス・ケースを慎重に検討することをお薦めします。特定のセキュリティ・ゾーン・ポリシーでは、パブリック・バケットの作成が禁止されています。

Oracle Cloud Infrastructure File Storageサービスでは、ファイル・システム、マウント・ターゲット、エクスポート・セットなどのリソースを管理できます。IAMポリシーを使用して、これらのリソースへのアクセスを定義します。認証および権限チェックのAUTH_UNIXスタイルは、ファイル・システムへのリモートNFSクライアント・リクエストでサポートされています。

詳細は、次を参照してください:

• ブロック・ボリュームの保護
• オブジェクト・ストレージの保護
• ファイル・ストレージの保護

Oracle Cloud Infrastructure Databaseサービスは、自律型および共同管理のOracle Databaseクラウド・ソリューションを提供します。どちらのタイプのデータベース・ソリューションでも、データベースで使用可能な機能と操作への完全なアクセスはできますが、Oracleはインフラストラクチャを所有および管理します。

• Autonomous Databaseは事前構成済で、トランザクション処理またはデータ・ウェアハウス・ワークロードに適した完全に管理された環境です。
• 共同管理ソリューションは、ベア・メタル、仮想マシンおよびExadata DBシステムであり、ニーズに合ったリソースや設定でカスタマイズできます。

DBシステムには、VCNからのみアクセスできます。ネットワーク・セキュリティ・グループまたはセキュリティ・リストを構成して、データベースへのネットワーク・アクセスを制御できます。データベース・サービスはIAMと統合されており、どのユーザーによるDBシステムの起動や管理が可能かを制御できます。デフォルトでは、保存中のデータは、保存中のOracle透過的データ暗号化(TDE)と、各DBシステムのOracle Walletに格納されるマスター・キーを使用して暗号化されます。

DBシステムのRMANバックアップは、暗号化され、オブジェクト・ストレージ・サービス内の顧客所有のバケットに格納されます。特定のセキュリティ・ゾーン・ポリシーでは、データベース・バックアップの構成が必要です。

Oracleデータベース・セキュリティ・パッチ(Oracleクリティカル・パッチ・アップデート)の適用は、既知のセキュリティ問題を軽減するために不可欠であり、パッチを最新の状態に保つことをお薦めします。パッチ・セットおよびパッチ・セット更新(PSU)は四半期ごとにリリースされます。これらのパッチ・リリースには、セキュリティ修正と、その他に高インパクト/低リスクのクリティカルなバグの修正が含まれています。

詳細は、「データベースの保護」を参照してください。

Oracle Cloud Infrastructure Load Balancerは、1つのエントリ・ポイントから仮想クラウド・ネットワーク(VCN)からアクセス可能な複数のサーバーへの自動トラフィック分散を提供します。このサービスによって、選択されたパブリックまたはプライベートのIPアドレスと、プロビジョニングされた帯域幅を備えたロード・バランサが提供されます。プライベート・ロード・バランサには、ホストしているサブネットからのIPアドレスがあります(これはVCN内でのみ表示されます)。

ロード・バランサには次のSSL構成を適用できます:

SSL終了

ロード・バランサは、受信SSLトラフィックを処理し、暗号化されていないリクエストをバックエンド・サーバーに渡します。

ポイント・トゥ・ポイントSSL

ロード・バランサは、受信トラフィック・クライアントとのSSL接続を終了してから、バックエンド・サーバーへのSSL接続を開始します。

SSLトンネリング

TCPトラフィック用にロード・バランサのリスナーを構成すると、ロード・バランサは、受信SSL接続をアプリケーション・サーバーにトンネリングします。

Load Balancerサービスでは、TLS 1.2がデフォルトでサポートされ、次のTLS暗号スイートの前方秘匿性暗号が優先されます:

• ECDHE - RSA -AES256- GCM -SHA384
• ECDHE - RSA -AES256-SHA384
• ECDHE - RSA -AES128- GCM -SHA256
• ECDHE - RSA -AES128-SHA256
• DHE - RSA - AS 256 - GCM - SHA 384
• DHE - RSA -AES256-SHA256
• DHE - RSA - AS 128 - GCM - SHA 256
• DHE - RSA -AES128-SHA256

VCNのネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用して、ロード・バランサに対するネットワーク・アクセスを構成できます。

詳細は、ネットワーキングの保護: VCN、ロード・バランサおよびDNSを参照してください。