ブロック・ボリュームの保護

ブロック・ボリュームをセキュアに使用するには、セキュリティおよびコンプライアンスの責任について学習します。

通常、Oracleはクラウド・インフラストラクチャおよび操作のセキュリティ(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティ・パッチ適用など)を提供します。クラウド・リソースをセキュアに構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは、次のセキュリティ要件を担当します。

• 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。

このページでは、セキュリティ権限について説明します。このページには、次の領域があります。

• アクセス制御: 可能なかぎり権限を制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
• 暗号化および機密保護:暗号化キーおよびシークレットを使用してデータを保護し、保護されたリソースに接続します。これらのキーを定期的にローテーションします。

このチェックリストを使用して、新しいOracle Cloud Infrastructureテナンシでブロック・ボリュームを保護するために実行するタスクを識別します。

ブロック・ボリュームの開始後、このチェックリストを使用して、定期的に実行することが推奨されるセキュリティ・タスクを識別します。

ポリシーを使用して、ブロック・ボリュームへのアクセスを制限します。

最小限のIAMユーザーおよびグループにDELETE権限を付与することをお薦めします。この演習では、認可されたユーザーまたは悪意のあるアクターによる不注意な削除によるデータの損失を最小限に抑えます。DELETE権限はテナンシ管理者にのみ付与します。

Oracle Cloud Infrastructureでは、ブロック・ボリュームとブート・ボリュームという2つのタイプのボリュームがサポートされています。ブロック・ボリュームを使用すると、インスタンス・ストレージ容量を動的に拡張できます。ブート・ボリュームには、コンピュート・インスタンスの起動に使用されるイメージが含まれます。IAMサービスによって、関連するボリューム・リソース・タイプがグループ化され、volume-familyと呼ばれる結合リソース・タイプになります。

IAMユーザーおよびグループの最小アクセス権限を、volume-familyのリソース・タイプに割り当てます。volume-familyのリソース・タイプは、volumes、volume-attachmentsおよびvolume-backupsです。

• volumesリソースは、インスタンス・ストレージ容量の動的拡張が可能で、インスタンスを起動するイメージを格納できる、デタッチ可能なブロック・ボリューム・デバイスです。
• volume-attachmentsリソースは、ボリュームとインスタンスの間のアタッチメントです。
• volume-backupsリソースは、ブロック・ボリュームの作成またはブロック・ボリュームのリカバリに使用できるボリュームのポイントインタイム・コピーです。

Allow group VolumeUsers to manage volumes in tenancy
 where request.permission!='VOLUME_DELETE' 
Allow group VolumeUsers to manage volume-backups in tenancy
 where request.permission!='VOLUME_BACKUP_DELETE'

Allow group VolumeUsers to manage volume-attachments in tenancy
 where request.permission!='VOLUME_ATTACHMENT_DELETE'

ブロック・ボリューム・ポリシーの詳細およびその他の例を表示するには、コア・サービスの詳細を参照してください。

クラウド・ガードを有効にし、それを使用して、ブロック・ボリュームのセキュリティ問題を検出して対応します。

問題の検出時に、クラウド・ガードによって修正アクションが提案されます。特定のアクションを自動的に実行するようにクラウド・ガードを構成することもできます。クラウド・ガードには、ブロック・ボリュームの次のディテクタ・ルールが含まれています。

• ブロック・ボリュームがOracle管理キーで暗号化されています
• ブロック・ボリュームがアタッチされていません

クラウド・ガードで使用可能なすべてのディテクタ・ルールのリストは、ディテクタ・レシピ・リファレンスを参照してください。

まだ行っていない場合は、クラウド・ガードを有効にし、リソースを含むコンパートメントをモニターするように構成します。クラウド・ガード・ターゲットを構成して、テナンシ全体(ルート・コンパートメントおよびすべてのサブコンパートメント)を調査するか、特定のコンパートメントのみをチェックできます。クラウド・ガードの開始を参照してください。

クラウド・ガードを有効にすると、検出されたセキュリティの問題を表示して解決できます。「報告された問題の処理」を参照してください。

セキュリティ・ゾーンを使用すると、ブロック・ボリュームのリソースがセキュリティのベスト・プラクティスに準拠していることが保証されます。

セキュリティ・ゾーンは、1つ以上のコンパートメントおよびセキュリティ・ゾーン・レシピに関連付けられます。セキュリティ・ゾーンのコンパートメントでリソースを作成および更新すると、Oracle Cloud Infrastructureでは、これらの操作がレシピのセキュリティ・ゾーン・ポリシーのリストに対して検証されます。レシピ内のポリシーに違反している場合、操作は拒否されます。次のセキュリティ・ゾーン・ポリシーは、ブロック・ボリュームのリソースに使用できます。

• deny block_volume_not_in_security_​zone_attach_to_instance_​in_security_zone
• deny block_volume_in_security_​zone_attach_to_instance_​not_in_security_zone
• deny boot_volume_not_in_security_​zone_attach_to_instance_​in_security_zone
• deny boot_volume_in_security_​zone_attach_to_instance_​not_in_security_zone
• deny attached_block_volume_not_​in_security_zone_move_to_​compartment_in_security_zone
• deny attached_boot_volume_not_in_​security_zone_move_to_​compartment_in_security_zone
• deny block_volume_without_​vault_key
• deny boot_volume_without_​vault_key

すべてのセキュリティ・ゾーン・ポリシーのリストは、セキュリティ・ゾーン・ポリシーを参照してください。

既存のリソースをセキュリティ・ゾーン内のコンパートメントに移動するには、リソースがゾーンのレシピ内のすべてのセキュリティ・ゾーン・ポリシーに準拠している必要があります。同様に、セキュリティ・ゾーンの外部のコンパートメントは安全性が低い可能性があるため、セキュリティ・ゾーン内のリソースは移動できません。セキュリティ・ゾーンの管理を参照してください。

ブロック・ボリューム・サービスは、256ビット暗号化によるAdvanced Encryption Standard (AES)アルゴリズムを使用して、すべてのブロック・ボリューム、ブート・ボリュームおよび保存ボリューム・バックアップを常に暗号化します。Vaultサービスでは、Oracle提供の暗号化キーまたはカスタム・キーを使用できます。dm-crypt、veracrypt、Bit-Lockerなどのツールを使用してデータ・ボリュームを暗号化することもできます。

デフォルトでは、すべてのボリュームとそのバックアップは、Oracle提供の暗号化キーを使用して暗号化されます。ボリュームがバックアップからクローニングまたはリストアされるたびに、ボリュームに新しい一意の暗号化キーが割り当てられます。

ブロック・ボリュームでデータの定期的なバックアップを実行します。バックアップを削除する最小限のユーザーおよびグループ・セット権限を付与することをお薦めします。

削除や破損によるデータ損失を最小限に抑えるために、ボリュームの定期的なバックアップをお勧めします。Oracle Cloud Infrastructureでは、スケジュール済バックアップを自動的に実行できます。スケジュール済バックアップの詳細は、ポリシーベースのバックアップを参照してください。

認可されたユーザーによる不注意な削除または悪意のある削除によるデータの損失を最小限に抑えるために、VOLUME_DELETE、VOLUME_ATTACHMENT_DELETEおよびVOLUME_BACKUP_DELETE権限をIAMユーザーおよびグループの最小セットに付与することをお薦めします。DELETE権限はテナンシ管理者およびコンパートメント管理者にのみ付与します。

ブロック・ボリュームのアクセス・ログおよびその他のセキュリティ・データを検索します。

監査サービスでは、Oracle Cloud InfrastructureリソースへのすべてのAPIコールが自動的に記録されます。監査サービスを使用してテナンシ内のすべてのユーザー・アクティビティを監視することで、セキュリティおよびコンプライアンスの目標を達成できます。コンソール、SDKおよびコマンドライン(CLI)のコールはすべてAPIを経由するため、これらのソースからのすべてのアクティビティが含まれます。監査レコードは、認証済でフィルタ可能な問合せAPIから利用できます。また、オブジェクト・ストレージからバッチ・ファイルとして取得できます。監査ログの内容には、発生したアクティビティ、アクティビティを開始したユーザー、リクエストの日時、リクエストのソースIP、ユーザー・エージェントおよびHTTPヘッダーが含まれます。監査ログ・イベントの表示を参照してください。

{
  "datetime": 1642993213028,
  "logContent": {
    "data": {
      "additionalDetails": {
        "X-Real-Port": 55984
      },
      "availabilityDomain": "AD3",
      "compartmentId": "ocid1.compartment.oc1..<unique_ID>",
      "compartmentName": "mycompartment",
      "definedTags": null,
      "eventGroupingId": "<unique_ID>",
      "eventName": "ListBootVolumes",
      "freeformTags": null,
      "identity": {
        "authType": null,
        "callerId": null,
        "callerName": null,
        "consoleSessionId": null,
        "credentials": "<key>",
        "ipAddress": "<IP_address>",
        "principalId": "<user_ID>",
        "principalName": "<user_name>",
        "tenantId": "ocid1.tenancy.oc1..<unique_ID>",
        "userAgent": "Oracle-JavaSDK/1.37.1 (Linux/4.14.35-2047.510.4.1.el7uek.x86_64; Java/1.8.0_301; Java HotSpot(TM) 64-Bit Server VM GraalVM EE 20.3.3/25.301-b09-jvmci-20.3-b18)"
      },
      "message": "ListBootVolumes succeeded",
      "request": {
        "action": "GET",
        "headers": {
          "Accept": [
            "application/json"
          ],
          "Authorization": [
            "Signature headers=\"date (request-target) host\",keyId=<key>"
          ],
          "Connection": [
            "keep-alive"
          ],
          "Date": [
            "Mon, 24 Jan 2022 03:00:12 GMT"
          ],
          "User-Agent": [
            "Oracle-JavaSDK/1.37.1 (Linux/4.14.35-2047.510.4.1.el7uek.x86_64; Java/1.8.0_301; Java HotSpot(TM) 64-Bit Server VM GraalVM EE 20.3.3/25.301-b09-jvmci-20.3-b18)"
          ],
          "opc-client-info": [
            "Oracle-JavaSDK/1.37.1"
          ],
          "opc-request-id": [
            "<unique_ID>"
          ]
        },
        "id": "<unique_ID>",
        "parameters": {
          "availabilityDomain": [
            "EMIr:PHX-AD-3"
          ],
          "compartmentId": [
            "ocid1.compartment.oc1..<unique_ID>"
          ],
          "limit": [
            "1000"
          ]
        },
        "path": "/20160918/bootVolumes"
      },
      "resourceId": null,
      "response": {
        "headers": {
          "Connection": [
            "close"
          ],
          "Content-Length": [
            "2"
          ],
          "Content-Type": [
            "application/json"
          ],
          "Date": [
            "Mon, 24 Jan 2022 03:00:13 GMT"
          ],
          "X-Content-Type-Options": [
            "nosniff"
          ],
          "opc-request-id": [
            "<unique_ID>"
          ]
        },
        "message": null,
        "payload": {},
        "responseTime": "2022-01-24T03:00:13.028Z",
        "status": "200"
      },
      "stateChange": {
        "current": null,
        "previous": null
      }
    },
    "dataschema": "2.0",
    "id": "<unique_ID>",
    "oracle": {
      "compartmentid": "ocid1.compartment.oc1..<unique_ID>",
      "ingestedtime": "2022-01-24T03:00:45.483Z",
      "loggroupid": "_Audit",
      "tenantid": "ocid1.tenancy.oc1..<unique_ID>"
    },
    "source": "",
    "specversion": "1.0",
    "time": "2022-01-24T03:00:13.028Z",
    "type": "com.oraclecloud.BlockVolumes.ListBootVolumes"
  }
}

テナンシでクラウド・ガードを有効にした場合、潜在的なセキュリティ上の懸念があるユーザー・アクティビティがレポートされます。問題を検出すると、クラウド・ガードによって修正アクションが提案されます。特定のアクションを自動的に実行するようにクラウド・ガードを構成することもできます。クラウド・ガードの開始およびレポートされた問題の処理を参照してください。