テナンシの保護

Oracle Cloud Infrastructureテナンシの保護を開始する方法について学習します。

始める前に、Oracle Cloud Infrastructureのセキュリティの概念と機能を理解しておいてください。次を参照してください。

共有のマルチテナント・コンピュート環境では、Oracleは基礎となるクラウド・インフラストラクチャ(データ・センター設備やハードウェアおよびソフトウェア・システムなど)のセキュリティを担当します。ワークロードを保護し、サービス(コンピュート、ネットワーク、ストレージ、データベースなど)のセキュリティを構成する必要があります。

Oracle Cloud Infrastructureテナンシのセキュリティは、複数の要素の組合せに基づいており、すべてを十分に検討して安全に構成する必要があります。セキュリティ構成の階層ビューを取得します。基本的なセキュリティの問題に対処することから始めて、特定のインフラストラクチャ・リソースのセキュリティに対処します。次のステップでは、テナンシのセキュリティを構成するための高レベルのロードマップを示します。

  1. テナンシのワークロード要件を満たすセキュリティ・モデルを定義します。
    • コンパートメントの数
    • 管理権限を持つユーザーの数
    • 管理ロールおよび権限
  2. IAMサービスのユーザー、グループ、コンパートメントおよびポリシーをプロビジョニングします。

    ユーザーを認証し、最小限の権限でのテナンシ・リソースへのアクセスを許可するメカニズムを作成します。

    IAMの保護を参照してください。

  3. (オプション) Oracleのセキュリティ・ベスト・プラクティスに準拠する必要があるクラウド・リソースをホストするためのセキュリティ・ゾーンをプロビジョニングします。

    ユーザーがセキュリティ・ゾーン内のリソースを作成または更新しようとしたときに、この操作がセキュリティ・ゾーン・ポリシーに違反している場合、そのアクションは拒否されます。

    セキュリティ・ゾーンを参照してください。

  4. (オプション) Cloud Guardが一般的なセキュリティの問題を検出して対応できるようにします。

    クラウド・ガードを参照してください。

  5. マスター暗号化キーおよびシークレット資格証明をプロビジョニングします。

    ボールトを参照してください。

  6. クラウド・ネットワークをプロビジョニングおよび保護します。

    セキュリティ・リストネットワーク・セキュリティ・グループ、またはその両方の組合せを使用して、VCN (仮想クラウド・ネットワーク)内のリソースとの間のパケットレベル・トラフィックを制御しますプライベート・サブネットを使用して、インターネット・アクセスを必要としないリソースをホストします。

    ネットワーキングの保護: VCN、ロード・バランサおよびDNSを参照してください。

  7. クラウド・ストレージをプロビジョニングおよび保護します。

    データ記憶域要件に応じて、オプションには「データベース」、「ブロック・ボリューム」、「オブジェクト・ストレージ」および「ファイル・ストレージ」があります。

    コンプライアンスと規制の要件は、適切なデータ・ストレージ・セキュリティ・アーキテクチャを判断する際の重要な要素です。

    Security Best Practicesの特定のサービスを参照してください。

  8. 組織が必要とするテナンシ内の他のサービスをプロビジョニングおよび保護します。

    たとえば、ComputeContainer Engine for Kubernetesなどです。

    Security Best Practicesの特定のサービスを参照してください。

  9. 監査ログを定期的に確認して、ユーザー・アクションが初期セキュリティ構成に従っていることを確認します。

    監査」を参照してください。

    Cloud Guardを有効にした場合は、検出されたセキュリティ問題についても通知されます。