Oracle Cloud Infrastructureドキュメント

VMwareソリューションの保護

このトピックでは、VMwareソリューションのセキュリティ情報および推奨事項について説明します

Oracle Cloud VMware Solutionでは、Oracle Cloud InfrastructureでVMware対応のソフトウェア定義データ・センター(SDDC)を作成および管理できます。詳細は、VMwareソリューション製品ドキュメントを参照してください。

セキュリティの責任

VMwareソリューションを安全に使用するには、セキュリティおよびコンプライアンスの職責について学習します。

通常、Oracleはクラウド・インフラストラクチャおよび操作のセキュリティ(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティ・パッチ適用など)を提供します。クラウド・リソースをセキュアに構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは、次のセキュリティ要件に対して責任を負います:

  • 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。

お客様のセキュリティの責任についてこのページで説明します。次のような領域があります:

  • アクセス制御: 可能なかぎり権限を制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
  • 機密性: VMware SDDCおよびESXiホスト内の機密情報へのアクセスを管理および制御します。
  • パッチ適用: vSphere、NSX-T、vSANおよびHCXソフトウェアを最新の状態に保ち、脆弱性を防ぎます。

初期セキュリティ・タスク

このチェックリストを使用して、新しいOracle Cloud InfrastructureテナンシでVMwareソリューションを保護するために実行するタスクを識別します。

タスク 詳細情報
IAMポリシーを使用したユーザーおよびリソースへのアクセス権の付与 IAMポリシー
リソースへのネットワーク・アクセスの保護 ネットワーク・セキュリティ

定期的なセキュリティ・タスク

VMwareソリューションの開始後、このチェックリストを使用して、定期的に実行することが推奨されるセキュリティ・タスクを識別します。

タスク 詳細情報
最新のセキュリティ・パッチの適用 パッチ適用中
セキュリティ監査を実行します 監査

IAMポリシー

VMwareソリューションへのアクセスは、ポリシーを使用して制限します。

ポリシーは、Oracle Cloud Infrastructureリソースに誰がどのようにアクセスできるかを指定します。詳細は、ポリシーの仕組みを参照してください。

グループに、その職責を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループに許可されるアクションを記述する動詞があります。使用可能な動詞は、アクセス・レベルが低い方から順にinspectreadusemanageです。

IAMユーザーおよびグループの最小セットにDELETE権限を付与することをお薦めします。この演習では、認可されたユーザーまたは悪意のあるアクターによる不注意な削除によるデータの損失を最小限に抑えます。

SDDCの作成

管理者のグループがSDDCを作成できるようにします。

Allow group SDDC_Admins to manage sddcs in tenancy

VMwareソリューション・ポリシーの詳細およびその他の例については、Oracle Cloud VMware Solutionの詳細を参照してください。

ネットワーク・セキュリティ

VMwareソリューションでリソースへのネットワーク・アクセスを保護

セキュリティ・リストネットワーク・セキュリティ・グループ、またはこの両方の組合せを使用して、VCN (仮想クラウド・ネットワーク)のリソース内外のパケット・レベルのトラフィックを制御します。アクセスとセキュリティを参照してください。

VCNにサブネットを作成すると、デフォルトでサブネットはパブリックとみなされ、インターネット通信が許可されます。プライベート・サブネットを使用して、インターネット・アクセスを必要としないリソースをホストします。VCN内のサービス・ゲートウェイを構成して、プライベート・サブネット上のリソースが他のクラウド・サービスにアクセスできるようにすることもできます。Connectivity Choicesを参照してください。

Oracleでは、SDDCの作成ワークフローを使用して、SDDCリソースで使用されるVLANをVCN内に作成することをお薦めします。ワークフローにより、各VLANへのアクセスを制御するルート表およびセキュリティ・グループが自動的に作成されます。SDDCの作成後、ルート表およびセキュリティ・グループを確認し、目的のトラフィックのみがSDDCリソースにアクセスできることを確認します。

要塞サービスは、パブリック・エンドポイントがないターゲット・リソースへの制限および時間制限付きのアクセスを提供します。要塞を使用すると、認可されたユーザーがSecure Shell (SSH)セッションを介してプライベート・エンドポイントのターゲット・リソースに接続できます。接続したユーザーは、SSHでサポートされている任意のソフトウェアまたはプロトコルを使用してターゲット・リソースとやり取りできます。要塞の管理を参照してください。

要塞を使用して、EXSiホストへのアクセスを制限します。

Web Application Firewall (WAF)を使用して、クロスサイト・スクリプティング(XSS)、SQLインジェクションおよびその他のOWASP定義の脆弱性を含むインターネット脅威の保護ルールを作成および管理します。必要なボットが入ることは許可されていますが、不要なボットは軽減できます。WAFは、Webアプリケーションへのトラフィックを経時的に監視し、構成するための新しいルールを推奨します。「エッジ・ポリシーの開始」を参照してください。

監査中

VMwareソリューションのアクセス・ログおよびその他のセキュリティ・データの検索

Auditサービスは、Oracle Cloud Infrastructureリソースに対するすべてのAPIコールを自動的に記録します。Auditサービスを使用してテナンシ内のすべてのユーザー・アクティビティを監視することで、セキュリティおよびコンプライアンスの目標を達成できます。コンソール、SDKおよびコマンドライン(CLI)のコールはすべてAPIを経由するため、これらのソースからのすべてのアクティビティが含まれます。監査レコードは、認証済でフィルタ可能な問合せAPIから利用できます。また、オブジェクト・ストレージからバッチ・ファイルとして取得できます。監査ログの内容には、発生したアクティビティ、アクティビティを開始したユーザー、リクエストの日時、リクエストのソースIP、ユーザー・エージェントおよびHTTPヘッダーが含まれます。監査ログ・イベントの表示を参照してください。