セキュリティ
企業がクラウド・テクノロジーを採用し続ける中、セキュリティはあらゆる規模の組織にとって重要な考慮事項となっています。サイバー脅威とデータ侵害の増加に伴い、組織はクラウド・インフラストラクチャが安全でコンプライアンス要件を満たしていることを確認する必要があります。Oracle Cloud Infrastructure(OCI)は、資産を保護し、規制コンプライアンスを維持するのに役立つ様々なセキュリティ・ツールとサービスを提供します。
クラウド・インフラストラクチャが安全で信頼性が高く、コンプライアンスに準拠していることを確認するには、次のベストプラクティスを使用します。
アイデンティティおよびアクセス管理
絶えず進化するデジタル環境において、セキュリティは非常に重要です。組織がクラウド・コンピューティングに移行するにつれて、堅牢なセキュリティ・フレームワークを導入することが不可欠になります。OCIは、データとアプリケーションのセキュリティを確保するための包括的なツールとサービスを提供します。OCIのセキュリティ製品の基本的な側面の1つは、Identity and Access Management (IAM)です。
IAMはOCIのセキュリティ・アーキテクチャのバックボーンであり、管理者はOCI内のリソースに対するユーザーのアクセスおよび権限を管理できます。これにより、誰が何にアクセスできるかを制御でき、承認されたユーザーのみが重要なリソースにアクセスできるようになります。IAMは、コンピュート、ストレージ、ネットワーキング・サービスなどのOCIリソースへのアクセスを管理するための一元化されたプラットフォームを提供します。
システムのセキュリティを確保するために、最小権限アクセスや多要素認証などのIAMベスト・プラクティスを実装してください。最小権限アクセスにより、ユーザーにジョブ機能の実行に必要な最小レベルのアクセス権のみが付与され、機密リソースへの不正アクセスのリスクが軽減されます。マルチファクタ認証では、パスワードやトークンなど、複数の形式の認証をユーザーに要求することで、セキュリティ・レイヤーが追加されます。
OCIは、IAMに加えて、クラウド・ガードなどの他のセキュリティ・ツールとサービスを提供し、セキュリティ脅威に対する継続的な監視と自動修復を提供します。ジャスト・イン・タイム・アクセス(JIT)は、必要な場合にのみリソースへの一時的な期限付きアクセスを可能にし、攻撃対象領域を削減します。セキュリティ・リスト、ネットワーク・セキュリティ・グループ(NSG)、サブネット・ネットワーク・フィルタリングなどのネットワーク・セキュリティ・ツールを使用すると、ネットワーク内のトラフィック・フローを制御できます。
OCIは、業界の規制やデータ主権要件へのコンプライアンスを確保するために、データ・レジデンシー・コントロールなどの機能と、データが格納されている地理的な場所を選択する機能を提供しています。OCIのSIEM統合により、セキュリティ・ログを一元化し、セキュリティ・インシデントを分析できます。また、侵入検知および防止(IDP)により、悪意のあるアクティビティをリアルタイムで監視できます。SSL検査では、暗号化されたトラフィックで悪意のあるコンテンツを検査でき、VCN間サブネット・トラフィック検査およびVCN間トラフィック検査では、VCN間のトラフィック・フローをきめ細かく制御できます。
クラウド・ガード
OCIのクラウド・ガードは、クラウド・インフラストラクチャを保護するために継続的な脅威検出と自動修復を提供する重要なセキュリティ・ツールです。OCIリソースでセキュリティの脅威をリアルタイムで監視し、潜在的なリスクを管理者に通知するように設計されています。クラウド・ガードには、ポリシー違反の発生時にアクセス・キーの無効化やインスタンスの終了などの自動修復アクションを有効にする事前定義済ポリシーが付属しています。
たとえば、ネットワーク・セキュリティ・グループをモニターし、グループに加えられた変更を検出するポリシーを設定したとします。その場合、クラウド・ガードはセキュリティ・グループの変更を継続的に監視し、ポリシー違反があるかどうかを通知します。セキュリティ・グループへの不正な変更(新しいルールの追加など)を識別し、セキュリティ違反を防ぐための修正処理を実行できます。
Cloud GuardはSIEMプラットフォームと統合されているため、セキュリティ・イベントおよびログをサードパーティ・プラットフォームにエクスポートして、可視性と脅威検出機能を強化できます。SIEMとCloud Guardの統合を活用することで、セキュリティ・イベントを一元化し、より効率的に管理し、OCIリソースに対する包括的なセキュリティ・インサイトを提供できます。
時間内アクセス
OCIは、管理者がクラウド環境の特定のリソースへの一時的なアクセス権を付与できるジャストインタイム(JIT)アクセスを提供します。これにより、アクセス期間を制限することで、リソースへの不正アクセスのリスクを低減するためのセキュリティ・レイヤーが追加されます。JIT Accessは、Identity and Access Management (IAM)およびLeast Privilege Accessとともに使用して、クラウド・インフラストラクチャのセキュリティをさらに強化できます。
たとえば、管理者は、トラブルシューティングの目的でインスタンスへの一時的なアクセスを必要とする開発者のJITアクセスを構成できます。管理者は、アクセスの期間、ユーザーのロールおよびインスタンスへのアクセスに必要な権限を指定できます。指定した期間が経過すると、インスタンスへのユーザーのアクセスが自動的に取り消され、不正アクセスのリスクが軽減されます。
JITアクセスは、OCIコンソール、CLIまたはREST APIを使用して構成できます。
仮想テスト・アクセス・ポイント
仮想テスト・アクセス・ポイント(VTAP)は、ネットワーク・トラフィックのパケット取得を提供し、ネットワーク分析用のデータを収集するOCIが提供するセキュリティ機能です。VTAPを使用すると、ネットワーク管理者は確認および分析のためにネットワーク・トラフィックを取得することで、セキュリティの脅威を検出および防止できます。
パケット・キャプチャは、セキュリティの脅威を検出するために不可欠な、確認および分析のためにネットワーク・トラフィックを取得するプロセスです。VTAPにより、OCIは完全なネットワーク取得および分析のためのネイティブ・サービスを提供し、クラウド環境のセキュリティ強化を支援します。
OCIでは、ソースVTAPは取得フィルタに基づいてトラフィックを取得し、VXLANプロトコルでカプセル化して、指定されたターゲットにミラー化します。これにより、標準のトラフィック分析ツールを使用して、ミラー化されたトラフィックをリアルタイムで監視および分析できます。また、管理者は、後でより包括的なフォレンジック分析のためにトラフィックを格納できます。
VTAPは、サブネット内の単一コンピュート・インスタンスVNIC、サービスとしてのロード・バランサ(LBaaS)、OCIデータベース、Exadata VMクラスタ、プライベート・エンドポイントを介したAutonomous Data Warehouseなど、様々なソースからのトラフィックをミラー化できます。
セキュリティ・リストおよびネットワーク・セキュリティ・グループ
セキュリティ・リストおよびネットワーク・セキュリティ・グループ(NSG)は、OCIのネットワーク・セキュリティ・オファリングの重要なコンポーネントです。セキュリティ・リストは、管理者がIPアドレスのリストを作成し、特定のリソースに適用する簡単な方法を提供します。これにより、これらのリソースとの間のネットワーク・トラフィックを制限できます。たとえば、管理者は、特定のIP範囲からのトラフィックのみがOCIでホストされているWebアプリケーションにアクセスできるようにするセキュリティ・リストを作成できます。
NSGを使用すると、管理者はリソース間のネットワーク・トラフィックを規制するルールを定義できます。これにより、相互に通信できるリソースと、許可されるトラフィックのタイプを制御できます。たとえば、管理者は、特定のIP範囲からOCIのコンピュート・インスタンスへのSSHトラフィックのみを許可するNSGルールを作成できます。
管理者は、セキュリティ・リストおよびNSGを使用して、リソースへの不正アクセスのリスクを大幅に削減できます。これにより、ネットワーク・トラフィックをきめ細かく制御でき、管理者は、基本的なセキュリティのベスト・プラクティスである最小権限の原則を適用できます。
サブネット・ネットワーク・フィルタリングおよびファイアウォール
OCIは、外部の脅威や不正アクセスからリソースを保護するためのネットワーク・セキュリティ機能を提供します。サブネット・ネットワーク・フィルタリングおよびファイアウォール機能が連携して、セキュアなネットワーク環境を提供します。
サブネット・ネットワーク・フィルタリングは、管理者がIPアドレスまたはポートに基づいてネットワーク・トラフィックをフィルタできるようにするツールです。これにより、サブネットのアクセス制御ルールを作成できます。このルールは、特定の基準に基づいてトラフィックをブロックまたは許可するために使用できます。サブネット・レベルでトラフィックをフィルタリングすることで、不正アクセスのリスクを減らし、外部の脅威から保護できます。
ファイアウォールは、OCIが提供する別のセキュリティ機能であり、特定のネットワーク・トラフィックをブロックまたは許可するルールを作成できます。OCIでは、ソースIPアドレス、宛先IPアドレス、プロトコルおよびポート番号に基づいてリソースへのアクセスを制御するファイアウォール・ルールを作成できます。特定のファイアウォール・ルールを作成することで、ネットワークのセキュリティをさらに強化し、リソースへの不正アクセスのリスクを軽減できます。
たとえば、サブネット・ネットワーク・フィルタリングを使用して、特定のIPアドレス範囲からのすべてのトラフィックをブロックしてから、ファイアウォールを使用して特定のIPアドレスまたはポートからのトラフィックのみを許可できます。ネットワーク・セキュリティに対するこの階層化されたアプローチにより、不正アクセスのリスクを大幅に軽減し、外部の脅威からリソースを保護できます。
Gateway
インターネット・ゲートウェイ、NAT Gatewayおよびサービス・ゲートウェイは、セキュアで堅牢なネットワーク・インフラストラクチャの維持に重要な役割を果たすOCIが提供するネットワーク機能です。
インターネット・ゲートウェイは、仮想クラウド・ネットワーク(VCN)内からパブリック・インターネットへのアクセスを提供するサービスです。インターネット・ゲートウェイによって、VCNとインターネット内のインスタンス間のトラフィックが有効になり、Webサイトのホスト、インターネット・アクセスを必要とするアプリケーションの実行、および他のクラウド・サービスへの接続が可能になります。
インターネット・ゲートウェイの利便性により、セキュリティ・リスクが増加します。不要なトラフィックや潜在的な攻撃がインターネットを介して発生する可能性があります。このゲートウェイで共有される通信およびデータを保護することが不可欠です。SSL/TLS暗号化プロトコルの使用は、この方法に最適な方法です。
NAT Gatewayでは、セキュアな状態を維持しながら、VCN内のプライベート・インスタンスがインターネットにアクセスできます。NAT Gatewayは、パブリックIPアドレスが割り当てられていないプライベート・インスタンスにアウトバウンド・インターネット接続を提供します。プライベートIPアドレスをパブリックIPアドレスに変換することで、インターネットとVCNの間のゲートキーパーとして機能します。NAT Gatewayは、内部ネットワークを外部の脅威にさらすことなく、安全で制御されたインターネットへのアクセス方法を提供します。
サービス・ゲートウェイを使用すると、オンプレミス・インフラストラクチャまたは他のクラウド・プロバイダからOCIサービスにアクセスできます。これにより、インターネット・ゲートウェイを必要とせずに、VCNと他のクラウド・サービスまたはオンプレミス・インフラストラクチャ間の安全な接続が可能になります。サービス・ゲートウェイは、インターネットベースの接続のかわりであり、他のクラウド・プロバイダまたはオンプレミス・インフラストラクチャに接続するためのセキュアでプライベートな方法を提供します。
インターネット・ゲートウェイ、NAT Gateway、およびサービス・ゲートウェイは、安全な姿勢を維持しながらインターネットやその他のクラウド・プロバイダへの接続を可能にするOCIの重要なネットワーキング機能です。不正アクセスを防止し、データを保護するために、SSL/TLS暗号化などの適切なセキュリティ対策を確実に実施することが重要です。
プライベート・アクセス
プライベート・アクセスにより、仮想クラウド・ネットワーク(VCN)内のリソース間、またはインターネットを経由せずにオンプレミス・ネットワークからのリソース間のセキュアな通信が可能になります。これにより、高レベルのセキュリティを維持し、クラウド環境を制御できます。
プライベート・アクセスは、インターネットからのリソースへの不正アクセスを防止することで、セキュリティを維持するのに役立ちます。これにより、サイバー攻撃やデータ侵害のリスクが軽減されます。プライベート・アクセスにより、ネットワーク・トラフィックが組織のネットワーク内にとどまり、パブリック・インターネットに公開されないことも保証されます。
たとえば、プライベート・サブネットに、同じVCNまたはオンプレミス・ネットワーク内の特定のインスタンスからのみアクセスできるデータベース・インスタンスがあるとします。プライベート・アクセスを使用すると、データベースがパブリック・インターネットに公開されず、認可されたユーザーおよびアプリケーションのみがアクセスできるようにすることができます。
また、プライベート・アクセスは、一般データ保護規則(GDPR)や医療保険の相互運用性と説明責任に関する法律(HIPAA)など、データを安全に保存および送信する必要がある規制に準拠するのに役立ちます。
APIゲートウェイ
APIゲートウェイは、OCIが提供するサービスであり、組織のセキュリティ体制を維持する上で重要な役割を果たします。これにより、ネットワーク内からアクセスできるプライベート・エンドポイントを使用してAPIを公開できるため、インターネット・トラフィックの必要性が軽減されます。APIへのこのプライベート・アクセスは、不正アクセスや潜在的なセキュリティ侵害から保護するのに役立ちます。
APIゲートウェイ・サービスには、API検証、リクエストとレスポンスの変換、Cross-Origin Resource Sharing (CORS)、認証と認可、リクエスト制限など、様々なセキュリティ機能もあります。これらの機能は、認可されたユーザーおよびデバイスのみがAPIエンドポイントにアクセスできるようにすることで、APIエンドポイントを保護するのに役立ちます。API Gatewayは、ネイティブのOCI Identity and Access Management (IAM)機能による簡単な認証を提供します。これにより、管理者はOCI内のリソースに対するユーザーのアクセスと権限を管理できます。
APIゲートウェイ・サービスを使用すると、APIクライアントからのトラフィックを処理し、バックエンド・サービスにルーティングするために、リージョン別サブネットに1つ以上のAPIゲートウェイを作成できます。このサービスは、ロード・バランサ、コンピュート・インスタンス、OCI Functionsなどの複数のバックエンド・サービスを単一の統合APIエンドポイントにリンクできるため、管理と保護が容易になります。
たとえば、APIゲートウェイ・サービスを使用して、顧客がモバイル・デバイスからアカウント情報などの特定のデータおよびサービスにアクセスできるようにするRESTful APIを安全に公開できます。APIゲートウェイは、認可されたユーザーのみがデータおよびサービスにアクセスできるように構成でき、データを検証および変換して、必要な標準を満たしていることを確認できます。
ゼロ・トラスト
OCIは、ソースに関係なくすべてのネットワーク・トラフィックが信頼されないと想定するゼロトラスト・セキュリティ・アプローチをサポートしています。リソースへのアクセスは、知っておく必要があり、適切な権限がある認可されたユーザーにのみ付与されます。このアプローチでは、リソースへのアクセス権を付与する前に、デバイスおよびユーザーのアイデンティティおよびセキュリティ状態を継続的に検証します。
たとえば、OCIのIdentity and Access Management (IAM)サービスでは、最小限の権限アクセス制御ポリシーの適用、多要素認証(MFA)の実装、リソースへのアクセスのリアルタイム監視を行うことができます。また、FastConnectやVPN接続などのVPNおよびプライベート・アクセス・オプションを使用すると、ネットワーク・トラフィックを保護し、不正アクセスに対する保護の追加レイヤーが提供されます。
CrowdStrikeやCheck Pointなどのセキュリティ・パートナーとのOCIの統合も、脅威の検出と対応機能を提供することでセキュリティを強化します。
侵入検知・防止・SSL検査
OCIには、侵入検知および防止(IDP)やSSL検査など、ネットワークの脅威から保護するためのいくつかのセキュリティ機能が用意されています。IDPを使用すると、管理者はネットワークトラフィックをリアルタイムで監視し、疑わしいアクティビティが検出されたときにアラートを受信できます。さらに、IDPは、識別された脅威が害を及ぼすのを防ぐために、自動的にアクションを実行できます。SSL検査では、管理者は暗号化されたトラフィックを検査して、マルウェアやその他の悪意のあるコンテンツの配布に使用されていないことを確認できます。これらの機能は、クラウド環境のセキュリティ体制を維持し、潜在的な脅威に対して追加の保護レイヤーを提供するのに役立ちます。
たとえば、IDPを構成して、クラウド・リソースに対する総当たり攻撃を検出および防止するとともに、SSL検査を使用して機密データベースとの間で送受信される暗号化されたトラフィックを監視できます。
VCN間サブネット・トラフィックの検査およびVCN間トラフィックの検査
OCIには、VCN間サブネット・トラフィック検査とVCN間トラフィック検査という2つの強力なセキュリティ機能があり、管理者はVirtual Cloud Networks (VCN)間のトラフィックを監視および検査できます。VCN間サブネット・トラフィック検査では、同じVCN内のサブネット間のトラフィックの監視および検査が可能ですが、VCN間トラフィック検査では、VCN間でトラフィックの移動に同じ機能が提供されます。これらの機能により、ネットワーク・トラフィック・フローを詳細に可視化できるため、潜在的な脅威を特定し、脅威を防止するためのアクションを実行できます。VCN間トラフィックの検査およびVCN間サブネット・トラフィックの検査は、不正アクセスの試行を検出してブロックすることで、クラウド環境のセキュリティ状態を維持するのに役立ちます。
たとえば、OCI環境内に複数のSCNがあり、それぞれに異なるリソースとアプリケーションが含まれているとします。VCN間トラフィック検査を使用すると、これらのVCN間のトラフィックが検査され、悪意のあるアクティビティが検出されて防止されていることを確認できます。
この機能は、1つのVCNに機密データまたはアプリケーションが含まれており、不正なアクセスから保護するために追加のセキュリティ対策が必要な場合に特に役立ちます。
データ・レジデンシーと独立性
複数の国で事業を展開する企業にとって、データ・レジデンシーと主権はセキュリティにとって不可欠です。データ・プライバシと保護に関する規制は、リージョンごとに異なる場合があり、機密データのセキュリティを維持するためにコンプライアンスを遵守することが重要です。OCIには、規制要件を満たすために特定の地域または国にデータを格納できるデータ・レジデンシ・オプションが用意されています。これにより、ローカル・データ保護法に準拠し、違反によるデータ漏洩や不正アクセスのリスクを低減できます。また、OCIのデータ・レジデンシー・オプションは、保存中および転送中の暗号化、アクセス制御、ネットワーク・セキュリティ機能などの堅牢なセキュリティ制御によって支えられ、データを保存および処理するためのセキュアな環境を提供します。
ロギングおよび検出の制御
ロギングおよび検出制御は、管理者がコンプライアンスの目的でOCI内のログを効果的に監視および管理できるようにする重要なセキュリティ・ツールです。この機能を使用すると、構成の変更、認証と認可の試行、ネットワークトラフィックなどのユーザーアクティビティーを追跡および分析し、システム全体のセキュリティー状態を包括的に把握できます。
OCIのロギングおよび検出制御機能には、潜在的なセキュリティの脅威を迅速に識別して対応できる事前構成済のロギング・ポリシーが含まれています。これらのポリシーは、要件を満たすようにカスタマイズし、リスクの高いイベントに対して自動アラートを有効にできます。Logging and Detection Controlによって生成されたログは、サードパーティのセキュリティ情報およびイベント管理(SIEM)システムと統合して、さらに包括的なセキュリティ分析を提供できます。
たとえば、OCIのLogging and Detection Controlを使用して、コンピュート・インスタンス、ロード・バランサ、データベースなど、複数のリソースにわたる脅威を監視および検出できます。潜在的なセキュリティ・インシデントが発生した場合、脅威に迅速に対応し、システムのセキュリティを維持するために、アクセスの取消しや構成の変更などの適切なアクションを実行できます。
共有責任
クラウド・セキュリティは、クラウド・サービス・プロバイダと顧客の両方がリソースのセキュリティを確保する役割を担う共有責任モデルです。クラウド・サービス・プロバイダは、基礎となるクラウド・インフラストラクチャのセキュリティを担当し、お客様は、クラウドにデプロイするアプリケーションとデータの保護を担当します。
たとえば、OCIでは、Oracleはデータ・センターの物理的なセキュリティ、ネットワークのセキュリティおよびインフラストラクチャの可用性を担当します。クラウド・アプリケーション、仮想マシンおよびデータの保護はお客様の責任で行ってください。セキュリティ・グループとネットワーク・セキュリティ・ルールを適切に構成して、不正アクセスを防止してください。
送受信の暗号化
OCIは、SSL/TLS暗号化やOracle Key Managementなどの重要なツールとサービスを提供し、包括的なセキュリティ戦略の重要な要素である転送中および保存中の暗号化を保証します。暗号化は、機密データを不正アクセスから保護し、送信中および保存中のデータの機密性と整合性を維持するのに役立ちます。
たとえば、SSL/TLS暗号化を使用して、クライアントとサービス間のネットワーク・トラフィックを保護し、クライアント間で交換されるデータが暗号化され、安全であることが保証されます。
同様に、Oracle Key Managementは、OCIでデータを保護するために使用される暗号化キーを管理および保護できる、セキュアで一元化されたキー管理ソリューションを提供します。
マルチファクタ認証
マルチファクタ認証(MFA)は、ユーザーがシステムまたはアプリケーションにアクセスする前に、2つ以上の形式の認証を提供する必要があるセキュリティ・プラクティスです。これにより、ユーザーのパスワードが漏洩した場合でも、機密データおよびリソースへの不正アクセスを防止できます。MFAは、特にクラウドにおいて、リモートの場所からデータやアプリケーションにアクセスすることが多いセキュリティ戦略の重要な部分です。
OCIは、セキュリティ体制を強化するための機能としてMFAを提供します。MFAでは、ユーザーは、ユーザー名とパスワードに加えて、ワンタイム・パスワードや生体認証情報などの2番目の形式の認証を提供する必要があります。つまり、ユーザーのパスワードが盗まれたり推測されたりしても、攻撃者は自分のアカウントにアクセスするために、ユーザーの電話またはその他の物理デバイスにアクセスできる必要があります。
MFAは、セキュリティの強化に加えて、業界の規制や標準への準拠にも役立ちます。たとえば、Payment Card Industry Data Security Standard (PCI DSS)では、カード所有者データへのすべてのリモート・アクセスにMFAが必要です。クラウド環境にMFAを実装することで、これらの要件を満たし、潜在的な罰金やその他の罰金を回避できます。