Oracle Cloud Infrastructureドキュメント

セキュリティ・ゾーンの開始

IAMポリシーを作成してクラウド・ガードを有効にした後、コンパートメントのセキュリティ・ゾーンを作成し、セキュリティ・ゾーン・ポリシー違反を確認します。

IAMポリシーの作成

セキュリティ・ゾーンとクラウド・ガードを使用するには、コンソールを使用しているか、REST APIをSDK、CLIまたはその他のツールとともに使用するかにかかわらず、管理者が記述したIAMポリシー内で必要なタイプのアクセス権が付与されている必要があります。

テナンシの管理者でない場合は、これらのステップの実行を管理者に依頼してください。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「セキュリティ・ゾーン」で、「概要」をクリックします。
  2. 「概要」ページの「スタート・ガイド」セクションで、必要なIAMポリシー・ステートメントのリストをコピーします。 
    Allow group <group> to use cloud-guard-config in tenancy
Allow group <group> to read cloud-guard-targets in tenancy
Allow group <group> to inspect cloud-guard-problems in tenancy
Allow group <group> to manage security-zone in tenancy
  3. ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。
  4. テナンシのルート・コンパートメントを選択します。
  5. 「ポリシーの作成」をクリックします。
  6. ポリシーの「名前」および「説明」を入力します。

    例:

    • 名前: セキュリティ・ゾーン・ポリシー
    • 説明: セキュリティ・ゾーンの作成を有効にします
  7. 「手動エディタの表示」をクリックします。
  8. セキュリティ・ゾーン・コンソールからポリシー・ステートメントを貼り付けます。

    <group>を既存のグループの名前に置き換えます。

  9. 「作成」をクリックします。

セキュリティ・ゾーンおよびクラウド・ガーズのIAMポリシーについてさらに学習するには、クラウド、ガード・ポリシーを参照してください。

クラウド・ガードの有効化

セキュリティ・ゾーンの作成前に、テナンシでクラウド・ガードを有効にします。クラウド・ガードがすでに有効化されている場合は、このタスクをスキップできます。

クラウド・ガードは、構成、メトリックおよびログのセキュリティ弱点について、すべてのクラウド・リソースをモニターするための中央ダッシュボードを提供するOracle Cloud Infrastructureサービスです。問題が検出されると、クラウド・ガード構成に基づいて、修正処理を提案、支援または実行できます。

セキュリティ・ゾーンは、クラウド・ガードと連携して、既存のリソース内のセキュリティ・ゾーン・ポリシー違反を識別します。

クラウド・ガードの有効化には、次のタスクが含まれます。

  • クラウド・ガードでテナンシ内のリソースをモニターできるようにするIAMポリシーの作成
  • レポート・リージョンの選択
  • オプションで、クラウド・ガードでモニターするコンパートメントのターゲットの作成
  • オプションで、ターゲットのディテクタ・レシピの選択

クラウド・ガードを有効にするには、管理者権限が必要です。

ノート

同じコンパートメントのセキュリティ・ゾーンを作成する前に、コンパートメントのクラウド・ガード・ターゲットを作成する必要はありません。セキュリティ・ゾーンを作成すると、新しいクラウド・ガード・ターゲットが自動的に作成されます。

詳細な手順は、クラウド・ガードの開始を参照してください。

セキュリティ・ゾーン・レシピの作成(オプション)

セキュリティ・ゾーンには、使用可能なすべてののセキュリティ・ゾーン・ポリシーを適用する、最大セキュリティ・レシピと呼ばれるOracle管理のレシピが用意されています。特定のポリシーを無効にする場合は、このレシピをクローニングできます。

カスタム・セキュリティ・ゾーン・レシピを作成する前に、使用可能なセキュリティ・ゾーン・ポリシーを理解してください。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「セキュリティ・ゾーン」で、「レシピ」をクリックします。
  2. レシピの「最大セキュリティ・レシピ」「アクション」アイコンをクリックし、「クローン」を選択します。
  3. 新しいレシピの「名前」および「説明」を更新します。

    機密情報を入力しないでください。

  4. レシピを作成するコンパートメントを選択します。

    セキュリティ・ゾーン・レシピとセキュリティ・ゾーンは、異なるコンパートメントに作成できます。

  5. 「次へ」をクリックします。
  6. (オプション)「ポリシー」ページで、チェック・ボックスを選択してポリシーを有効にするか、チェック・ボックスのチェックを解除してポリシーを無効にします。

    ポリシーのリストは、特定のポリシー・タイプを選択してフィルタできます。また、ポリシーを名前で検索することもできます。

  7. 「次へ」をクリックします。
  8. 「確認」ページで、このレシピで有効化および無効化されているポリシーの数を確認し、「作成」をクリックします。

    「レシピ詳細」ページが表示されます。

セキュリティ・ゾーンの作成

すべての前提条件タスクが完了したら、既存のコンパートメントのセキュリティ・ゾーンを作成できます。

注意

柔軟性を最大限に高めるために、テナンシのルート・コンパートメントにセキュリティ・ゾーンを割り当てることは避けてください。ルート・コンパートメントに適用されるセキュリティ・ゾーンによって、テナンシ全体で可能なアクションが制限される場合があります。この構成は特定のユース・ケースに適している場合がありますが、ほとんどのユーザーにとって制限が大きすぎます。
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「セキュリティ・ゾーン」で、「概要」をクリックします。
  2. 「リスト・スコープ」で、セキュリティ・ゾーンで保護するコンパートメントを選択します。

    セキュリティ・ゾーンとまだ関連付けられていないコンパートメントを選択します。

    セキュリティ・ゾーン・リソースは、選択したコンパートメントに作成されます。

    デフォルトでは、すべてのサブコンパートメントには親コンパートメントと同じセキュリティ・ゾーンが割り当てられます。

  3. 「セキュリティ・ゾーンの作成」を選択します。

    選択したコンパートメントがすでにセキュリティ・ゾーンに関連付けられている場合は、このボタンの無効化になります。

  4. 「セキュリティ・ゾーン・レシピ」を選択します。
    • Oracle管理: 顧客管理のレシピを作成していない場合は、このオプションを選択します。セキュリティ・ゾーンでは、最大セキュリティ・レシピが使用されます。
    • 顧客管理: カスタム・レシピを選択します。

    レシピが別のコンパートメントにある場合は、「コンパートメントの変更」をクリックします。

  5. セキュリティ・ゾーンの名前および説明を入力します。

    セキュリティ・ゾーンの命名または記述時に機密情報を表示しないようにします。

    セキュリティ・ゾーンの名前は、作成後に変更することはできません。

  6. 「セキュリティ・ゾーンの作成」を選択します。

    選択したコンパートメントがすでにセキュリティ・ゾーンに関連付けられている場合は、このボタンの無効化になります。

コンパートメントのセキュリティ・ゾーンを作成すると、クラウド・ガードは次のタスクを完了します:
  • コンパートメントおよび子コンパートメントの既存のクラウド・ガード・ターゲットをすべて削除する
  • コンパートメントのセキュリティ・ゾーン・ターゲットを作成します
  • セキュリティ・ゾーン・ターゲットへのデフォルトのOracle管理ディテクタ・レシピを追加します

親コンパートメントがすでにセキュリティ・ゾーン内にあるサブコンパートメントのセキュリティ・ゾーンを作成する場合、クラウド・ガードはサブコンパートメントに対して個別のセキュリティ・ゾーン・ターゲットを作成します。親コンパートメントの既存のターゲットは変更されません。

セキュリティ・ゾーン・ポリシー違反の表示

セキュリティ・ゾーンのコンパートメントに既存のリソースがある場合、セキュリティ・ゾーンのポリシーに違反するリソースを識別し、修正アクションを実行できます。

クラウド・ガードは、セキュリティ・ゾーン内のリソースを定期的にスキャンしてポリシー違反がないかどうか確認します。各ポリシー違反は、クラウド・ガードで問題として記録されます。新しいセキュリティ・ゾーンでは、違反が検出されるまで最大3時間かかる場合があります。

  1. 「概要」ページで、新しいセキュリティ・ゾーンをクリックします。
    「セキュリティ・ゾーンの詳細」ページが表示されます。
  2. 「関連付けられたコンパートメント」の下の「詳細」ページで、現在のコンパートメントを展開して、セキュリティ・ゾーンにも存在するサブコンパートメントを表示します。
  3. コンパートメントまたはサブコンパートメントにポリシー違反がある場合は、「クラウド・ガードの詳細の表示」を選択します。

    クラウド・ガードの「問題」ページが開き、このセキュリティ・ゾーンでのみ検出された問題が表示されます。

  4. 次の詳細を表示する問題を選択してください:
    • セキュリティ・ゾーン・ポリシーの説明
    • ポリシーに違反するリソースの名前および場所
    • ポリシー違反の相対リスク・レベル(クリティカル、メジャー、マイナーなど)
    • 問題を修正するための推奨アクション

使用可能なすべてのポリシーの説明は、セキュリティ・ゾーン・ポリシーを参照してください。

次のステップ

クラウド・ガードを有効にして最初のセキュリティ・ゾーンを作成した後、ゾーンのテスト、ゾーンのカスタマイズまたは他のゾーンの作成を行うことができます。

タスク 詳細情報
ゾーンのポリシーのいずれかに違反することを試みてゾーンをテストする

ゾーンのレシピで有効になっているセキュリティ・ゾーン・ポリシーを選択します。

たとえば、パブリック・サブネットまたはパブリック・オブジェクト・ストレージ・バケットを作成できないことを確認します。セキュリティ・ゾーン・ポリシーを参照してください。
サブコンパートメント内に個別のゾーンを作成する セキュリティ・ゾーンの作成
ゾーンからサブコンパートメントを削除する セキュリティ・ゾーンからのサブ・コンパートメントの削除
ゾーンを削除する セキュリティ・ゾーンの削除
セキュリティ・ゾーン・ターゲット内のクラウド・ガード・ディテクタ・レシピのカスタマイズ クラウド・ガード構成のカスタマイズ
クラウド・ガードによって検出されたその他のセキュリティの問題を確認する 報告された問題の処理
他のグループがセキュリティ・ゾーンを管理できるように、IAMポリシーを作成します クラウド・ガード・ポリシー

セキュリティ・ゾーンを正常に作成またはテストできない場合は、セキュリティ・ゾーンのトラブルシューティングを参照してください。