セキュリティ・ゾーンの保護
このトピックでは、セキュリティ・ゾーンのセキュリティ情報および推奨事項について説明します。
セキュリティ・ゾーンを使用すると、Oracle Cloud Infrastructureのリソース(コンピュート、ネットワーキング、オブジェクト・ストレージおよびデータベース・リソースを含む)がセキュリティ・ポリシーに準拠していることを確認できます。
セキュリティ権限
通常、Oracleは、クラウド・オペレータ・アクセス制御やインフラストラクチャ・セキュリティ・パッチ適用などのクラウド・インフラストラクチャおよび操作のセキュリティを提供します。クラウド・リソースを安全に構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。
Oracleは、次のセキュリティ要件を担当します。
- 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供するすべてのサービスを実行するグローバル・インフラストラクチャの保護に責任を持ちます。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
- セキュリティ・ポリシー: Oracleは、セキュリティ・ゾーン・ポリシーの定義を担当します。これらのポリシーでは、本番アプリケーションなど、最大限のセキュリティを必要とする顧客リソースに対してセキュリティ制御とベスト・プラクティスを実装します。
このページには、次の領域を含むセキュリティ職責が記載されています。
- アクセス制御:権限はできるだけ制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
- セキュリティ・ポリシー:セキュリティ要件に一致するセキュリティ・ゾーン・ポリシーを有効化し、ゾーンでポリシーを無効にする場合は注意が必要です。コンプライアンスを維持するために、既存のリソース内のポリシー違反に対処します。
初期セキュリティ・タスク
このチェックリストを使用して、新しいOracle Cloud Infrastructureテナンシで セキュリティ・ゾーン を保護するために実行するタスクを識別します。
タスク | 詳細情報 |
---|---|
IAMポリシーを使用して、ユーザーおよびリソースへのアクセス権を付与します | IAMポリシー |
コンパートメントおよびセキュリティ・ゾーンの作成 | セキュリティ・ポリシー |
定期的なセキュリティ・タスク
セキュリティ・ゾーン を開始した後は、このチェックリストを使用して、定期的に実行することを推奨するセキュリティ・タスクを識別します。
タスク | 詳細情報 |
---|---|
新しいセキュリティ・ゾーン・ポリシーを評価して有効化します | セキュリティ・ポリシー |
セキュリティ監査の実行 | 監査 |
IAMポリシー
IAMポリシーを使用して、セキュリティ・ゾーンへの管理アクセスを制限します。
ポリシーは、Oracle Cloud Infrastructureリソースにアクセスできるユーザーとその方法を指定します。詳細は、ポリシーの仕組みを参照してください。
職責を実行するために必要な最小限の権限をグループに割り当てます。各ポリシーには、グループが実行できるアクションを記述する動詞があります。最も少ないアクセス量から使用可能な動詞は、inspect
、read
、use
およびmanage
です。
セキュリティ・ゾーン・ポリシーは、次の点でIAMポリシーとは異なります:
- セキュリティ・ゾーン・ポリシーは、どのユーザーが操作を実行しているかに関係なく検証されます。
- セキュリティ・ゾーン・ポリシーは、特定のアクションを拒否しますが、権限を付与しません。
最小限のIAMユーザーおよびグループにDELETE
権限を付与することをお薦めします。この演習では、認可されたユーザーまたは悪意のあるアクターによる不注意な削除からのデータの損失を最小限に抑えます。DELETE
権限はテナンシ管理者およびコンパートメント管理者にのみ付与します。
DELETE
権限を制限する方法は、特にセキュリティ・ゾーンに重要です。ゾーンを削除すると、ゾーンのコンパートメント内のリソースに対するすべてのセキュリティーゾーンポリシーが無効になるため、セキュリティー状態が劇的に変更されます。
IAMポリシーの例:
グループSecurityAdmins
内のユーザーがテナンシ全体のすべてのセキュリティ・ゾーンおよびレシピを作成、更新および削除できるようにします:
Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancy
グループSecurityAdmins
内のユーザーがコンパートメントSecurityApps
内のすべてのレシピを作成、更新および削除できるようにします:
Allow group SecurityAdmins to manage security-recipe in compartment SecurityApps
グループSecurityAuditors
内のユーザーがコンパートメントSecurityArtifacts
内のセキュリティ・ゾーンおよびレシピを表示することを許可します:
Allow group SecurityAuditors to read security-zone in compartment SecurityArtifacts
Allow group SecurityAuditors to read security-recipe in compartment SecurityArtifacts
セキュリティ・ゾーンの個々のリソース・タイプは、集計タイプcloud-guard-family
に含まれています。cloud-guard-family
に権限を付与するポリシーは、セキュリティ・ゾーンにも同じ権限を付与します。詳細は、クラウド・ガード・ポリシーを参照してください。
セキュリティ・ポリシー
セキュリティ・ゾーン・ポリシーを評価して有効化し、Oracle Cloud Infrastructureで強力なセキュリティ状態を維持します。
レシピとは、セキュリティ・ゾーンに割り当てることができるセキュリティ・ゾーン・ポリシーの集合です。レシピでポリシーを有効にすると、レシピを使用するゾーンのユーザー・アクションおよびポリシーに違反するユーザー・アクションは拒否されます。
最大セキュリティ・レシピは、使用可能なすべてのセキュリティ・ゾーン・ポリシーを有効化し、変更できません。このレシピを新しいセキュリティ・ゾーンに割り当てて、最大限のセキュリティ状態にします。必要に応じて、ゾーンをいつでも変更し、すべてのポリシーを有効にしないカスタム・レシピを選択できます。
新しいセキュリティ・ゾーン・ポリシーを識別するには、最大セキュリティ・レシピおよびリリース・ノートを定期的に確認してください。セキュリティ状態を経時的に改善するには、新しい各ポリシーを評価し、必要に応じてカスタム・レシピでポリシーを有効にします。
監査
セキュリティ・ゾーンでポリシー違反をモニターします。セキュリティ・ゾーンのアクセス・ログおよびその他のセキュリティ・データを特定します。
コンパートメントのセキュリティ・ゾーンを作成すると、セキュリティ・ゾーンのポリシーに違反するリソースの作成や変更などの操作が自動的に防止されます。ただし、セキュリティーゾーンの前に作成された既存のリソースもポリシーに違反することがあります。セキュリティ・ゾーンはクラウド・ガードと統合され、既存のリソースのポリシー違反を識別します。セキュリティ・ゾーンを定期的に監視して識別し、ゾーン内のポリシー違反を解決します。Managing Security Zonesを参照してください。
監査サービスは、Oracle Cloud Infrastructureリソースに対するすべてのAPIコールを自動的に記録します。監査サービスを使用してテナンシ内のすべてのユーザー・アクティビティをモニターすることで、セキュリティおよびコンプライアンスの目標を達成できます。コンソール、SDKおよびコマンドライン(CLI)のコールはすべてAPIを経由するため、これらのソースからのすべてのアクティビティが含まれます。監査レコードは、認証されたフィルタ可能な問合せAPIを介して使用可能であるか、オブジェクト・ストレージからバッチ・ファイルとして取得できます。監査ログの内容には、発生したアクティビティ、アクティビティを開始したユーザー、リクエストの日時、リクエストのソースIP、ユーザー・エージェントおよびHTTPヘッダーが含まれます。監査ログ・イベントの表示を参照してください。