CIS 1.2レベル1のセキュリティ管理

次の情報では、OELZ v2に含まれるCenter for Internet Security、 Inc. (CIS)のセキュリティ制御について説明します。

推奨事項1.1: 特定のサービスのリソースを管理するためにサービス・レベル管理者が作成されるようにする(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone:次のIAMグループは、サービス・リソースを管理するためのポリシーに従って作成されたNetwork-Admins、Security-Admins、Platform-Admins、IAM-AdminsおよびOps-Adminsです。

推奨事項1.2: すべてのリソースに対する権限がテナンシ管理者グループにのみ付与されていることの確認(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone: 管理者グループのみがすべてのリソースに対する権限を持ちます。単一のアカウント break_glass_user_<number>が Administrators Groupに割り当てられます。

推奨事項1.3: IAM-Adminsはテナンシ管理者グループを更新できません(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone: IAM管理者は、グループ、動的グループおよびポリシーを管理できます。IAM管理者は、IDPを介してユーザーおよびグループ権限も管理できる必要があります。APIキーや認証トークン**などの資格証明を使用および管理できます。

推奨事項1.4: IAMパスワード・ポリシーによって14以上の最小長が要求されていることの確認(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone:パスワード長のカスタム・パスワード・ポリシー(最小)

推奨事項1.5: IAMパスワード・ポリシーでパスワードが365日以内に期限切れになることの確認(手動)

• レベル: 1
• 準拠:いいえ
• Oracle Enterprise Landing Zone:有効期限(日数)のカスタム・パスワード・ポリシーが必要です。使用可能なTerraformがありません。カスタム・パスワード・ポリシーが必要。
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  2. 作業するアイデンティティ・ドメインを選択し、「設定」をクリックします。
  3. 「パスワード・ポリシー」をクリックします。
  4. 変更するポリシーを選択します。「ポリシー詳細」ページで、「パスワード・ルールの編集」をクリックします。
  5. 「カスタム」をクリックします。
  6. 基準「期限切れまで(日)」を編集します。
  7. 入力 60 (推奨)。

推奨事項1.6: IAMパスワード・ポリシーによってパスワードの再利用が防止されるようにする(手動)

• レベル: 1
• 準拠:いいえ
• Oracle Enterprise Landing Zone:有効期限(日数)のカスタム・パスワード・ポリシーが必要です。使用可能なTerraformがありません。カスタム・パスワード・ポリシーが必要。
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
  2. 作業するアイデンティティ・ドメインを選択し、「設定」をクリックします。
  3. 「パスワード・ポリシー」をクリックします。
  4. 変更するポリシーを選択します。「ポリシー詳細」ページで、「パスワード・ルールの編集」をクリックします。
  5. 「カスタム」をクリックします。
  6. 入力 24 (推奨)。

推奨事項1.7: MFAがコンソール・パスワード(自動)を持つすべてのユーザーに対して有効になっていることの確認

• レベル: 1
• コンプライアンス:顧客
• Oracle Enterprise Landing Zone:顧客の職責

推奨事項1.8: ユーザーAPIキーが90日以下でローテーションしていることを確認します(自動)

• レベル: 1
• コンプライアンス:顧客
• Oracle Enterprise Landing Zone:顧客の職責

推奨1.9: ユーザー顧客秘密キーが90日以下でローテーションされていることを確認します(自動)

• レベル: 1
• コンプライアンス:顧客
• Oracle Enterprise Landing Zone:顧客の職責

推奨1.10: ユーザー認証トークンが90日以下でローテーションされていることを確認します(自動)

• レベル: 1
• コンプライアンス:顧客
• Oracle Enterprise Landing Zone:顧客の職責

推奨事項1.11: テナンシ管理者ユーザーのAPIキーが作成されていないこと(自動)

• レベル: 1
• コンプライアンス:顧客
• Oracle Enterprise Landing Zone:顧客の職責

推奨事項1.12: すべてのOCI IAMユーザー・アカウントに有効な現在の電子メール・アドレスがあることの確認(手動)

• レベル: 1
• コンプライアンス:顧客
• Oracle Enterprise Landing Zone:顧客の職責

推奨事項1.13: OCIインスタンス、OCIクラウド・データベースおよびOCI関数で動的グループを使用してOCIリソースにアクセスすることを確認します。(手動)

• レベル: 1
• コンプライアンス:顧客
• Oracle Enterprise Landing Zone:顧客の職責

推奨事項2.1: 0.0.0.0/0からポート22へのイングレスを許可するセキュリティ・リストがないことを確認します(自動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone:デフォルトのセキュリティ・リストはロック・ダウンされ、ポート22からのイングレスは許可されません

推奨事項2.2: 0.0.0.0/0からport 3389へのイングレスを許可するセキュリティ・リストがないことを確認します(自動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone:デフォルトのセキュリティ・リストはロックダウンされ、port 3389からのイングレスは許可されません

推奨事項2.3: 0.0.0.0/0からポート22へのイングレスを許可するネットワーク・セキュリティ・グループがないこと(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone: ポート22からのイングレスを許可するネットワーク・セキュリティ・グループがありません

推奨事項2.4: 0.0.0.0/0からport 3389へのイングレスを許可するネットワーク・セキュリティ・グループがないこと(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone: port 3389からのイングレスを許可するネットワーク・セキュリティ・グループがありません

推奨2.5: ICMP (自動)以外のすべてのトラフィックがすべてのVCNのデフォルト・セキュリティ・リストによって制限されていることを確認します

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone:すべてのVCNのデフォルト・セキュリティ・リストでは、ICMPを除くすべてのトラフィックが制限されます

推奨事項2.6: Oracle Integration Cloud (OIC)へのアクセスが許可されたソースに制限されていることを確認します。(手動)

• レベル: 1
• コンプライアンス:顧客
• Oracle Enterprise Landing Zone:顧客の職責

推奨事項2.7: Oracle Analytics Cloud (OAC)へのアクセスが許可されたソースに制限されていること、またはVirtual Cloud Network内にデプロイされていることを確認してください。(手動)

• レベル: 1
• コンプライアンス:顧客
• Oracle Enterprise Landing Zone:顧客の職責

推奨事項2.8: Oracle Autonomous Shared Databases (ADB)のアクセスが許可されたソースに制限されていること、またはVirtual Cloud Network (手動)内にデプロイされていることの確認

• レベル: 1
• コンプライアンス:顧客
• Oracle Enterprise Landing Zone:顧客の職責

推奨事項3.1: 監査ログの保存期間が365日(自動)に設定されていることを確認します。

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone:監査ログの保存変数が365日に設定されている

推奨3.2: リソースでデフォルト・タグが使用されていることを確認します(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone: Oracle Enterprise Landing Zoneには、テンプレート内で作成されるリソースに適用される一連のフリーフォーム・タグが含まれます。各リソースには、Descriptionタグにデフォルトで割り当てられた値が付与されます。Oracle Enterprise Landing Zoneスタックの作成時に定義する値は、CostCenterタグおよびGeoLocationタグに伝播されます。

推奨事項3.3: モニタリング・アラートを受信するための通知トピックとサブスクリプションを少なくとも1つ作成(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone:対応する管理グループによって監視アラートを受信するIAMおよびネットワーク通知およびサブスクリプション

推奨事項3.4: アイデンティティ・プロバイダの変更に対して通知が構成されていることの確認(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone: IAM通知は、すべてのIDP変更を含むIAM変更に対して有効です

推奨事項3.5: IdPグループ・マッピングの変更について通知が構成されていることの確認(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone: IAM通知は、すべてのグループ・マッピングの変更を含むIAMの変更に対して有効です

推奨事項3.6: IAMグループの変更に対して通知が構成されていることの確認(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone: IAM通知は、すべてのIAM変更(IAMグループ変更を含む)に対して有効です

推奨事項3.7: IAMポリシーの変更について通知が構成されていることの確認(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone: IAM通知は、すべてのIAM変更(IAMポリシー変更を含む)に対して有効です

推奨事項3.8: ユーザーの変更に対して通知が構成されていることの確認(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone: IAM通知は、すべてのユーザー変更を含むIAMの変更に対して有効です

推奨事項3.9: VCNの変更について通知が構成されていることの確認(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone:ネットワーク通知は、VCNの変更を含むすべてのネットワーク変更に対して有効になり、すべてのVCNサブネットがモニターされます

推奨事項3.10: 通知がルート表の変更について構成されていることを確認します(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone:ネットワーク通知は、すべてのネットワークの変更(ルート表の変更を含む)に対して有効です

推奨事項3.11: 通知がセキュリティ・リストの変更について構成されていることの確認(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone:ネットワーク通知は、すべてのネットワークの変更(セキュリティ・リストの変更を含む)に対して有効です

推奨事項3.12: 通知がネットワーク・セキュリティ・グループの変更について構成されていることの確認(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone:ネットワーク通知は、すべてのネットワークの変更(ネットワーク・セキュリティ・グループの変更を含む)に対して有効です

推奨事項3.13: 通知がネットワーク・ゲートウェイの変更について 構成されていることの確認(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone:ネットワーク通知は、すべてのネットワーク変更(ネットワーク・ゲートウェイの変更を含む)に対して有効です。

推奨事項3.14: VCNフロー・ロギングがすべてのサブネットに対して有効になっていることの確認(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone: VCNフロー・ロギングは、すべてのサブネットに対して有効です

推奨事項3.15: テナンシのルート・コンパートメントでクラウド・ガードが有効になっていることの確認(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone:クラウド・ガードは、テナンシ・ホーム・リージョンのルート・コンパートメントで有効になっています。注意 ブラウンフィールドのお客様の場合、クラウド・ガードはテナンシのホーム・リージョンにすでにデプロイされている可能性があり、Oracle Enterprise Landing Zoneはクラウド・ガードを再デプロイする必要はありません。

推奨事項3.16: 顧客が作成した顧客管理キー(CMK)が少なくとも年に1回ローテーションされていることの確認(手動)

• レベル: 1
• コンプライアンス:顧客
• Oracle Enterprise Landing Zone:顧客の職責

推奨事項4.1.1: オブジェクト・ストレージ・バケットがパブリックに表示されないようにする(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone: Oracle Enterprise Landing ZoneのObject Storageバケットのパブリック可視性は無効になっています

推奨事項5.1: テナンシに少なくとも1つのコンパートメントを作成してクラウド・リソースを格納する(手動)

• レベル: 1
• コンプライアンス:顧客
• Oracle Enterprise Landing Zone:コンパートメントが作成されます。たとえば、ネットワーク・コンパートメントとNetwork-Adminsグループには適切なアクセス権が割り当てられます。

推奨事項5.2: ルート・コンパートメントにリソースが作成されていないことの確認(手動)

• レベル: 1
• 準拠:はい
• Oracle Enterprise Landing Zone:コンピュート・インスタンス、ブロック・ボリューム・ストレージ、ネットワーク・サービスなどのクラウド・リソースは、Oracle Enterprise Landing Zonesによってルート・コンパートメントに作成されません