Oracle Cloud Infrastructureドキュメント

脆弱性スキャンの概要

Oracle Cloud Infrastructure Vulnerability Scanning Serviceは、ホストおよびコンテナ・イメージの潜在的な脆弱性を定期的にチェックすることで、セキュリティ状態を改善するのに役立ちます。このサービスは、開発者、運用部門およびセキュリティ管理者向けに、誤った構成のリソースまたは脆弱なリソースを包括的に可視化し、修正情報を含むこれらの脆弱性に関するメトリックおよび詳細を含むレポートを生成します。

ヒント

サービスの概要ビデオを視聴してください。

すべての脆弱性スキャン・リソースおよびレポートはリージョンですが、スキャン結果はクラウド・ガード・グローバル・レポート・リージョンの問題としても表示されます。

脆弱性スキャン・サービスでは、次のリソースの脆弱性が識別されます:

  • コンピュート・インスタンス(ホストとも呼ばれる)
  • コンテナ・レジストリ・イメージ

脆弱性スキャン・サービスでは、いくつかのタイプのセキュリティ問題を識別できます:

  • 意図せずに開いたままになっているポートは、クラウド・リソースへの潜在的な攻撃ベクトルになったり、ハッカーが他の脆弱性を悪用するために使用する可能性があります。
  • 脆弱性に対処するために更新およびパッチが必要なOSパッケージ
  • ハッカーが悪用する可能性のあるOS構成
  • Center for Internet Security (CIS)によって公開されている業界標準のベンチマーク。

    脆弱性スキャン・サービスは、Distribution Independent Linux用に定義されたセクション5 (アクセス、認証および認可)ベンチマークへの準拠についてホストをチェックします。

  • log4jspring4shellなどのサード・パーティ・アプリケーションの脆弱性。
ノート

Oracle Cloud Infrastructure Vulnerability Scanning Serviceは、脆弱性とエクスポージャを迅速に修正するのに役立ちますが、このサービスはPayment Card Industry (PCI)準拠のスキャナではありません。PCIコンプライアンス要件を満たすために脆弱性スキャン・サービスを使用しないでください。

脆弱性スキャン・サービスでは、サポートされているプラットフォーム・イメージから作成されたコンピュート・インスタンスまたはコンテナ・イメージのみがサポートされます。サポート終了というラベルが付いたイメージでは、スキャンは使用できません。

コンピュート・インスタンスをスキャンして脆弱性を検出するには、インスタンスでOracle Cloud Agentをサポートするイメージを使用する必要があります。インスタンスのパブリックIPアドレスでのポート・スキャンには、エージェントは必要ありません。

ノート

脆弱性スキャン・ホストおよびコンテナ・イメージ・スキャンでは、サポートされていない他のオペレーティング・システムからCVE結果が取得される場合があります。結果はNVDデータによってのみカバーされ、CVEがないか、その他の誤検出がある可能性があります。他のオペレーティング・システムはサポートしていないため、これらの結果は慎重に使用してください。

脆弱性スキャン・サービスは、次のプラットフォームで、次の脆弱性ソースを使用して脆弱性を検出します。

プラットフォーム National Vulnerability Database (NVD) Open Vulnerability and Assessment Language (OVAL) Center for Internet Security (CIS)
Oracle Linux はい はい はい
CentOS はい はい はい
Ubuntu はい はい はい
Windows はい いいえ いいえ
ノート

WindowsのスキャンにはVALデータが含まれていないため、Windowsインスタンスが最新かつセキュアであることを確認するためにOracle Cloud Infrastructure Vulnerability Scanning Serviceのみに依存することはお薦めしません。
ノート

脆弱性スキャン・サービスを使用して仮想マシンDBシステムの問題を識別し、各問題に対処するようにOSを変更することはお薦めしません。かわりに、DBシステムの更新の手順に従って、最新のセキュリティ更新をOSに適用します。
ノート

脆弱性スキャン・サービスは、Exadata Database Service on Dedicated Infrastructureやデータベース・サービスなどのコンピュート・サービスで直接作成されなかったホストでは使用できません。これらのサービスに用意されている機能を使用して、ホストに最新のセキュリティ更新があることを確認します。

脆弱性スキャン・サービスでは、次のターゲット・オプションがサポートされています:

  • 個々のコンピュート・インスタンス
  • コンパートメントおよびそのサブコンパートメント内のすべてのコンピュート・インスタンス。

    ルート・コンパートメントで脆弱性スキャン・サービスを構成すると、テナンシ全体のすべてのコンピュート・インスタンスがスキャンされます。

  • コンテナ・レジストリ・リポジトリ内のイメージ

概念

脆弱性スキャン・サービスに関連する主な概念およびコンポーネントを理解します。

次の図は、サービスの概要を示しています。


コンピュート・インスタンスやコンテナ・レジストリ・リポジトリなどの1つ以上のターゲットにスキャン・レシピが関連付けられています。プライベート・サブネットのインスタンスにアクセスするには、サービス・ゲートウェイが必要です。脆弱性スキャン・サービスは、これらのターゲットをスキャンし、レポート、イベントおよびログを生成します。クラウド・ガードを使用して、スキャンの問題を表示することもできます。
スキャン・レシピ
クラウド・リソース・タイプのスキャン・パラメータ(調査する情報や頻度など)。
ターゲット
特定のレシピを使用してスキャンする1つ以上のクラウド・リソース。ターゲット内のリソースは、コンピュート・インスタンスなどの同じタイプです。
ホスト・スキャン
スキャンされた特定のコンピュート・インスタンスに関するメトリック(脆弱性、リスク・レベル、CISベンチマーク・コンプライアンスなど)。

脆弱性スキャン・サービスは、ホスト・エージェントを使用してこれらの脆弱性を検出します。

ポート・スキャン
スキャンされた特定のコンピュート・インスタンスで検出されたオープン・ポート。

脆弱性スキャン・サービスは、ホスト・エージェントを使用するか、パブリックIPアドレスを検索するネットワーク・マッパーを使用して、オープン・ポートを検出できます。

コンテナ・イメージ・スキャン
スキャンされた特定のコンテナ・レジストリ・イメージに関するメトリック(検出された脆弱性、リスク・レベルなど)。
脆弱性レポート
1つ以上のターゲットで検出された特定のタイプの脆弱性に関する情報(OSパッケージの更新の欠落など)。

クラウド・ガードとの統合

脆弱性スキャン・サービスで識別されるセキュリティ脆弱性は、Oracle Cloud Guardで表示できます。

クラウド・ガードは、構成、メトリックおよびログのセキュリティ脆弱性について、すべてのクラウド・リソースをモニターするための中央ダッシュボードを提供するOracle Cloud Infrastructureサービスです。問題が検出されると、クラウド・ガード構成に基づいて、提案、支援または修正処理を実行できます。

脆弱性スキャン・サービスと同様に、クラウド・ガードではレシピとターゲットが使用されます。

  • クラウド・ガードでレポートする問題のタイプを定義するレシピ
  • ターゲットは、クラウド・ガードでモニターするコンパートメントを定義し、レシピに関連付けられます。

構成ディテクタ・レシピは、ディテクタ・ルールで構成されます。デフォルトのクラウド・ガード構成ディテクタ・レシピには、脆弱性および脆弱性スキャン・サービスで検出されたオープン・ポートをチェックするルールが含まれています。

詳細は、クラウド・ガードを使用したスキャンを参照してください。

リソース識別子

脆弱性スキャン・リソースには、Oracle Cloud Infrastructureのほとんどのタイプのリソースと同様に、Oracle Cloud ID (OCID)と呼ばれる、Oracle割当ての一意の識別子があります。

OCIDのフォーマットおよびその他のリソース識別方法の詳細は、リソース識別子を参照してください。

脆弱性スキャンへのアクセス方法

脆弱性スキャンには、コンソール(ブラウザベースのインタフェース)、コマンドライン・インタフェース(CLI)またはREST APIを使用してアクセスできます。コンソール、CLIおよびAPIに関する手順は、このガイド全体のトピックに記載されています。

コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。のサインイン・ページに移動するには、このページの上部にあるナビゲーション・メニューを開き、「インフラストラクチャ」を選択します。クラウド・テナント、ユーザー名およびパスワードを入力するように求められます。

使用可能なSDKのリストは、SDKおよびCLIを参照してください。APIの使用に関する一般情報は、REST APIのドキュメントを参照してください。

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)で、認証および認可のためにIAMと統合されます。

組織の管理者は、グループ、コンパートメントおよびポリシーを設定して、どのユーザーがどのサービスおよびリソースにアクセスできるかと、そのアクセス権のタイプを制御する必要があります。たとえば、ポリシーは、ユーザーの作成、VCN (仮想クラウド・ネットワーク)の作成と管理、インスタンスの起動、およびバケットの作成を実行できるユーザーを制御します。

セキュリティ

IAMポリシーの作成に加えて、脆弱性スキャンに関するその他のタスクがあります。

例:

  • パブリックIPアドレスのないホストをスキャンできるようにサービス・ゲートウェイを構成します
  • スキャン操作のセキュリティ監査を実行します

脆弱性スキャンの保護を参照してください。

モニタリング

スキャン・アクティビティをモニターするために、脆弱性スキャンは、Oracle Cloud Infrastructureの他のサービスと統合されます。

  • 監査サービスでは、すべてのパブリック脆弱性スキャンAPIエンドポイントへのコールがログ・エントリとして自動的に記録されます。監査の概要を参照してください。
  • モニタリング・サービスでは、メトリックおよびアラームを使用して脆弱性スキャン・リソースをモニターできます。スキャン・メトリックを参照してください。
  • イベント・サービスでは、脆弱性スキャン・リソースの状態が変化したときに開発チームが自動的に対応できます。スキャン・イベントを参照してください。

制限および割当て

Oracle Cloud Infrastructureは、テナンシ内の脆弱性スキャン・リソースの最大数を制限します。割当てを使用して、特定のコンパートメントに制限を設定することもできます。

脆弱性スキャンの制限および脆弱性スキャンの割当てを参照してください。

サービス制限の引上げをリクエストするには、サービス制限を参照してください。

開始

脆弱性スキャン・サービスを使用して、単一のコンパートメントのコンピュート・インスタンスでセキュリティ脆弱性をチェックします。

  1. 脆弱性スキャンIAMポリシーを作成します。

    管理者でない場合は、管理者が記述したポリシー(IAM)で、脆弱性スキャン・サービスにアクセスできる必要があります。

  2. コンピュート・スキャン・レシピに必要なIAMポリシーを作成します。

    管理者は、ターゲット・コンピュート・インスタンスで脆弱性スキャン・エージェントをアクティブ化する脆弱性スキャン・サービス権限を付与する必要があります。

  3. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「スキャン」を選択します。
  4. 「スキャン・レシピの作成」を選択します。

    コンピュート・スキャン・レシピの作成を参照してください。

  5. 「ターゲットの作成」を選択します。

    「ターゲット・コンパートメント」で、スキャンするコンピュート・インスタンスを含むコンパートメントを選択します。

    コンピュート・ターゲットの作成を参照してください。

  6. 「スキャン結果の表示」を選択します。

    通常、結果はターゲットを作成してから15分後に使用できますが、最大で24時間かかる場合があります。

    ホスト・スキャンのリストを参照してください。

  7. (オプション)クラウド・ガードを使用したスキャン

問題が発生した場合は、脆弱性スキャン・サービスのトラブルシューティングを参照してください。