Oracle Cloud Infrastructureドキュメント

脆弱性スキャンの保護

このトピックでは、Oracle Cloud Infrastructure Vulnerability Scanning Serviceのセキュリティ情報および推奨事項について説明します。

脆弱性スキャンは、ホストが潜在的な脆弱性がないか定期的にチェックすることで、Oracle Cloudのセキュリティ対策を改善するのに役立ちます。

セキュリティの責任

脆弱性スキャンを安全に使用するには、セキュリティおよびコンプライアンスの責任について学習します。

通常、Oracleは、クラウド・オペレータ・アクセス制御やインフラストラクチャ・セキュリティ・パッチ適用などのクラウド・インフラストラクチャおよび操作のセキュリティを提供します。クラウド・リソースを安全に構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは次のセキュリティ要件を担当します。

  • 物理セキュリティ: Oracle Cloud Infrastructureで提供するすべてのサービスを実行するグローバル・インフラストラクチャの保護はOracleが担当します。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
  • データベース・セキュリティ: Oracleは、スキャン・レシピ、スキャン・ターゲット、スキャン結果など、脆弱性スキャン・リソースの格納に使用されるデータベースの保護およびパッチ適用を担当します。

セキュリティの責任については、このページで説明します。このページには、次の領域が含まれています。

  • アクセス制御:権限はできるかぎり制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。

初期セキュリティ・タスク

Use this checklist to identify the tasks you perform to secure Vulnerability Scanning in a new Oracle Cloud Infrastructure tenancy.

タスク 詳細情報
IAMポリシーを使用して、脆弱性スキャンを構成できるユーザーや、スキャン結果を表示できるユーザーを制御します。 IAMポリシー
パブリックIPアドレスを持たないコンピュート・インスタンスをスキャンするようにサービス・ゲートウェイを構成します。 ネットワーク・セキュリティ

IAMポリシー

ポリシーを使用して、脆弱性スキャンへのアクセスを制限します。

ポリシーは、Oracle Cloud Infrastructureリソースにアクセスできるユーザーとその方法を指定します。詳細は、ポリシーの仕組みを参照してください。

グループに、その責任を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループが許可されるアクションを説明する動詞があります。最もアクセスの少ない量から、使用可能な動詞はinspectreaduseおよびmanageです。

脆弱性スキャンのポリシーを作成する場合は、次の組織上の質問を考慮してください。

  • すべてのコンパートメントのリソース間で脆弱性スキャンを構成する専用グループはありますか。
  • コンパートメント管理者は、個々のコンパートメント内のリソースに対する脆弱性スキャンの構成を担当していますか。
  • すべてのコンパートメント内のリソースのスキャン結果を監視し、これらの結果をコンパートメント所有者またはリソース所有者に伝える専用グループがありますか。
  • コンパートメント管理者は、個々のコンパートメント内のリソースのスキャン結果を監視し、これらの結果をリソース所有者に通知しますか。
  • リソース所有者はスキャン結果にアクセスする必要がありますか。

コンピュート・インスタンス(ホスト)にエージェントベースのスキャンを使用するには、Oracle Cloud Agentをターゲット・インスタンスにデプロイするための脆弱性スキャン・サービス権限を付与する必要もあります。

最小限のIAMユーザーおよびグループ・セットにDELETE権限を付与することをお薦めします。この演習では、権限のあるユーザーによる不注意な削除または悪意のあるアクターからのデータの損失を最小限に抑えます。DELETE権限はテナンシ管理者およびコンパートメント管理者にのみ付与します。

グループSecurityAdminsのユーザーがテナンシ全体のリソースをスキャンすることを許可します

専用グループは、すべてのコンパートメントのリソース間で脆弱性スキャンを構成します。

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy
グループSalesAdminsのユーザーがコンパートメントSalesApps内のリソースをスキャンすることを許可します

コンパートメント管理者は、個々のコンパートメント内のリソースに対する脆弱性スキャンの構成を担当します。

Allow group SalesAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesApps
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesApps
グループSecurityAuditorsのユーザーがテナンシ全体のスキャン結果を表示することを許可します

専用グループは、すべてのコンパートメントのリソースについて脆弱性スキャンの結果を監視します。

Allow group SecurityAuditors to read vss-family in tenancy
グループSalesAuditorsのユーザーがコンパートメントSalesAppsのスキャン結果を表示することを許可します

コンパートメント管理者は、個々のコンパートメント内のリソースのスキャン結果を監視します。

Allow group SalesAuditors to read vss-family in compartment SalesApps

脆弱性スキャン・ポリシーの詳細および例は、IAMポリシーのスキャンを参照してください。

ネットワーク・セキュリティ

脆弱性スキャンを使用して、プライベート・サブネット上にあるリソースをスキャンするか、パブリックIPアドレスを持たないリソースをスキャンします。

A Compute instance is associated with a VCN (virtual cloud network)  and a subnet . When you create a subnet in a VCN, by default the subnet is considered public and internet communication is permitted. If an instance you want to scan is on a private subnet  or has no public IP address, the VCN must include a service gateway  and a route rule for the service gateway. See Access to Oracle Services: Service Gateway.

監査

アクセス・ログおよびその他のセキュリティ・データを脆弱性スキャンで検索します。

監査サービスは、Oracle Cloud Infrastructureリソースに対するすべてのAPIコールを自動的に記録します。監査サービスを使用してテナンシ内のすべてのユーザー・アクティビティをモニターすることで、セキュリティおよびコンプライアンスの目標を達成できます。コンソール、SDKおよびコマンドライン(CLI)のコールはすべてAPIを経由するため、これらのソースからのすべてのアクティビティが含まれます。監査レコードは、認証されたフィルタ可能な問合せAPIを介して使用可能であるか、オブジェクト・ストレージからバッチ・ファイルとして取得できます。監査ログの内容には、発生したアクティビティ、アクティビティを開始したユーザー、リクエストの日時、リクエストのソースIP、ユーザー・エージェントおよびHTTPヘッダーが含まれます。監査ログ・イベントの表示を参照してください。

たとえば、スキャン・ターゲットの作成、更新および削除に関連するすべてのAPIアクティビティを定期的に監査できます。監査サービスでは、次のイベントを検索できます。

  • CreateHostScanTarget
  • UpdateHostScanTarget
  • DeleteHostScanTarget
監査ログの例

監査サービスのCreateHostScanTargetイベントの抜粋。

{
  "eventType": "com.oraclecloud.vulnerabilityScanning.CreateHostScanTarget.begin",
  "cloudEventsVersion": "0.1",
  "eventTypeVersion": "2.0",
  "source": "vulnerabilityScanning",
  "eventId": "<unique_ID>",
  "eventTime": "2021-09-20T13:19:20.046Z",
  "contentType": "application/json",
  "data": {
    "eventGroupingId": "<unique_ID>",
    "eventName": "CreateHostScanTarget",
    "compartmentId": "<unique_ID>",
    "compartmentName": "MyCompartment",
    "resourceName": "MyScanTarget",
    "resourceId": "<unique_ID>",
    "availabilityDomain": "AD3",
    "freeformTags": {},
    "definedTags": {},
    "identity": {
      "principalName": "myuser",
      "principalId": "<unique_ID>",
      "authType": "natv",
      "callerName": null,
      "callerId": null,
      "tenantId": "<unique_ID>",
      "ipAddress": "<IP_address>",
      "credentials": "<credentials>",
      "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36",
      "consoleSessionId": "<unique_ID>"
    },
    ...
  }
}

すべての脆弱性スキャン・イベントのリストは、イベントのスキャンを参照してください。