セキュリティ・ゾーン・ポリシー
セキュリティ・ゾーンでリソースを作成および更新すると、Oracle Cloud Infrastructureでは、これらの操作がセキュリティ・ゾーン内のポリシーに対して検証されます。ポリシーに違反している場合、操作は拒否されます。
セキュリティ・ゾーンを作成するときは、セキュリティ・ゾーン・ポリシーの集合であるレシピを割り当てます。
テナンシには、「最大セキュリティ・レシピ」という名前の事前定義済レシピがあり、これには多数の厳選されたセキュリティ・ゾーン・ポリシーが含まれます。このレシピはOracleによって管理され、ユーザーは変更できません。ただし、特定のセキュリティ要件を満たす独自のレシピを作成することもできます。
セキュリティ・ゾーンでは、「リソース移動の制限」などのセキュリティ原則によってポリシーを分類します。各ポリシーは、コンピュート、ネットワーキング、オブジェクト・ストレージ、データベース・リソースなどの1つ以上のクラウド・リソースに影響します。
リソース移動の制限
データの整合性が確保するため、セキュリティ・ゾーン内の特定のリソースは、安全性が低い可能性があるため、セキュリティ・ゾーンの外部にあるコンパートメントに移動できません。移動するとセキュリティは低下する可能性があるためです。また、既存のリソースをセキュリティ・ゾーン内のすべてのポリシーが満たされないかぎり、セキュリティ・ゾーン内のコンパートメントに移動できません。
次の表では、リソースの移動を制限するセキュリティ・ゾーン・ポリシーについて説明します。
| ポリシー | リソース・タイプ | 説明 |
|---|---|---|
deny attached_boot_volume_not_in_security_zone_move_to_compartment_in_security_zone |
ブロック・ストレージ | セキュリティ・ゾーン内にないアタッチされたブート・ボリュームをセキュリティ・ゾーンにあるコンパートメントに移動することはできません。 |
deny block_volume_in_security_zone_move_to_compartment_not_in_security_zone |
ブロック・ストレージ | セキュリティ・ゾーンにあるブロック・ボリュームを、同じセキュリティ・ゾーン内にないコンパートメントに移動することはできません。 |
deny boot_volume_in_security_zone_move_to_compartment_not_in_security_zone |
ブロック・ストレージ | セキュリティ・ゾーン内のブート・ボリュームを、同じセキュリティ・ゾーン内にないコンパートメントに移動することはできません。 |
deny instance_in_security_zone_move_to_compartment_not_in_security_zone |
コンピュート | セキュリティ・ゾーン内のインスタンスは、同じセキュリティ・ゾーンにないコンパートメントに移動することはできません。 |
deny instance_not_in_security_zone_move_to_compartment_in_security_zone |
コンピュート | 同じセキュリティ・ゾーンのないコンパートメントからセキュリティ・ゾーンにインスタンスを移動することはできません。 |
deny db_instance_move_to_compartment_not_in_security_zone |
データベース(すべてのタイプ) | セキュリティ・ゾーン内のデータベースは、同じセキュリティ・ゾーンにないコンパートメントに移動することはできません。 |
deny database_with_dataguard_association_move_to_compartment_in_security_zone |
データベース(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム) | Data Guardアソシエーションが同じセキュリティ・ゾーン内にない場合、データベースをセキュリティ・ゾーンに移動することはできません。 |
deny file_system_in_security_zone_move_to_compartment_not_in_security_zone |
ファイル・ストレージ | セキュリティ・ゾーン内のファイル・システムを、同じセキュリティ・ゾーンにないコンパートメントに移動することはできません。 |
deny mount_target_in_security_zone_move_to_compartment_not_in_security_zone |
ファイル・ストレージ | セキュリティ・ゾーン内のマウント・ターゲット(ファイル・ストレージ)を、同じセキュリティ・ゾーンにないコンパートメントに移動することはできません。 |
deny bucket_in_security_zone_move_to_compartment_not_in_security_zone |
オブジェクト・ストレージ | セキュリティ・ゾーン内のバケットを、同じセキュリティ・ゾーンにないコンパートメントに移動することはできません。 |
deny LPG_gateway |
VCN | セキュリティ・ゾーンのVCNにローカル・ピアリング・ゲートウェイを追加できず、ローカル・ピアリング・ゲートウェイをセキュリティ・ゾーンに移動できません。 |
deny subnet_in_security_zone_move_to_compartment_not_in_security_zone |
VCN | セキュリティ・ゾーン内のサブネットを、同じセキュリティ・ゾーンにないコンパートメントに移動することはできません。 |
リソース・アソシエーションの制限
セキュリティ・ゾーンのリソースに必要なすべてのコンポーネントも同じセキュリティ・ゾーンに配置されている必要があります。セキュリティ・ゾーンにありませんリソースは脆弱で、別のセキュリティ・ゾーンのリソースはセキュリティ・ポスチャが低い可能性があります。
次の表では、リソース・アソシエーションを制限するセキュリティ・ゾーン・ポリシーについて説明します。
| ポリシー | リソース・タイプ | 説明 |
|---|---|---|
deny attached_block_volume_not_in_security_zone_move_to_compartment_in_security_zone |
ブロック・ストレージ | ブロック・ボリュームは、同じセキュリティ・ゾーンにないコンピューティング・インスタンスにアタッチされている場合、セキュリティ・ゾーンに移動できません。 |
deny block_volume_in_security_zone_attach_to_instance_not_in_security_zone |
コンピュート | セキュリティ・ゾーン内のブロック・ストレージ・ボリュームを、同じセキュリティ・ゾーンにないコンピューティング・インスタンスにアタッチすることはできません。 |
deny block_volume_not_in_security_zone_attach_to_instance_in_security_zone |
コンピュート | ブロック・ストレージ・ボリュームは、ボリュームが同じセキュリティ・ゾーンのコンピュート・インスタンスにアタッチできません。 |
deny boot_volume_not_in_security_zone_attach_to_instance_in_security_zone |
コンピュート | ブート・ボリュームは同じセキュリティ・ゾーンにないと、セキュリティ・ゾーン内のコンピューティング・インスタンスにアタッチできません。 |
deny boot_volume_in_security_zone_attach_to_instance_not_in_security_zone |
コンピュート | セキュリティ・ゾーン内のブート・ボリュームは、同じセキュリティ・ゾーンにないコンピュートインスタンスにアタッチすることはできません。 |
deny instance_in_security_zone_launch_from_boot_volume_not_in_security_zone |
コンピュート、コンピュート管理 | ブート・ボリュームが同じセキュリティ・ゾーンにない場合、セキュリティ・ゾーンでコンピュート・インスタンスを起動できません。 |
deny instance_not_in_security_zone_launch_from_boot_volume_in_security_zone |
コンピュート、コンピュート管理 | コンピュート・インスタンスは、同じセキュリティ・ゾーンにインスタンスがない場合、セキュリティ・ゾーン内のブート・ボリュームを使用して起動できません。 |
deny instance_in_security_zone_in_subnet_not_in_security_zone |
コンピュート、コンピュート管理 | セキュリティ・ゾーンのコンピュート・インスタンスは、同じセキュリティ・ゾーン内にないサブネットを使用できません。 |
deny dataguard_association_with_db_instances_not_in_security_zones |
データベース(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム) | セキュリティ・ゾーン内のデータベースは、同じセキュリティ・ゾーンにない別のデータベース(プライマリ/スタンバイ)とのData Guardアソシエーションを持つことはできません。 |
deny db_instance_subnet_not_in_security_zone |
データベース(すべてのタイプ) | セキュリティ・ゾーン内のデータベースは、同じセキュリティ・ゾーンにないサブネットを使用できません。 |
deny db_resource_association_not_in_security_zone |
データベース(Exadata DBシステム) |
セキュリティ・ゾーン内のExadataインフラストラクチャ・リソースは、同じセキュリティ・ゾーンにないコンテナ・データベースまたはVMクラスタに関連付けることはできません。 |
deny mount_target_in_security_zone_created_with_subnet_not_in_security_zone |
ファイル・ストレージ | セキュリティ・ゾーン内のマウント・ターゲット(ファイル・ストレージ)は、同じセキュリティ・ゾーンにないサブネットを使用できません。 |
deny mount_target_not_in_security_zone_create_with_subnet_in_security_zone |
ファイル・ストレージ | セキュリティ・ゾーン内のサブネットを使用するマウント・ターゲット(ファイル・ストレージ)は、マウント・ターゲットが同じセキュリティ・ゾーンにないと作成できません。 |
deny file_system_in_security_zone_export_via_mount_target_not_in_security_zone |
ファイル・ストレージ | セキュリティ・ゾーン内のファイル・システムは、同じセキュリティ・ゾーンにないマウント・ターゲット(ファイル・ストレージ)を介してエクスポートできません。 |
deny file_system_not_in_security_zone_export_via_mount_target_in_security_zone |
ファイル・ストレージ | ファイル・システムが同じセキュリティ・ゾーンにない場合は、マウント・ターゲット(ファイル・ストレージ)を介してファイル・システムをエクスポートできません。 |
パブリック・アクセスの拒否
セキュリティ・ゾーン内のリソースは、パブリック・インターネットからアクセスできない必要があります。
プライベート・サブネットを作成する場合、そのサブネットで起動したコンピュート・インスタンスは、パブリックIPアドレスを持つことができません。この制限により、サブネットのコンピュート・インスタンスにインターネット・アクセスできないことが保証されています。プライベート・サブネット内のコンピュート・インスタンスの場合、サービス・ゲートウェイによって、オブジェクト・ストレージなどのパブリック・サービスへのプライベート・アクセスが可能になります。ネットワーキングの概要を参照してください。
次の表では、ネットワーク・アクセスを制限するセキュリティ・ゾーン・ポリシーについて説明します。
| ポリシー | リソース・タイプ | 説明 |
|---|---|---|
deny cloud_shell_public_network |
Cloud Shell | セキュリティ・ゾーン内のクラウド・シェル・ホストは、パブリック・ネットワーク・アクセスを持つことができません。 |
deny db_instance_public_access |
データベース(すべてのタイプ) | セキュリティ・ゾーン内のデータベースをパブリック・サブネットに割り当てることはできません。プライベート・サブネットを使用する必要があります。 |
deny public_load_balancer |
ロード・バランサ | セキュリティ・ゾーン内のロード・バランサはパブリックにできません。すべてのロード・バランサはプライベートである必要があります。 |
deny public_buckets |
オブジェクト・ストレージ | セキュリティ・ゾーン内のオブジェクト・ストレージ・バケットは、パブリックにできません。 |
deny DRG_gateway |
VCN | セキュリティ・ゾーンのVCNにDRG (Dynamic Routing Gateway)を追加することはできません。 |
deny internet_gateway |
VCN | セキュリティ・ゾーン内のインターネット・ゲートウェイをVCN (仮想クラウド・ネットワーク)に追加することはできません。 |
deny LPG_gateway |
VCN | セキュリティ・ゾーンのVCNにローカル・ピアリング・ゲートウェイを追加できず、ローカル・ピアリング・ゲートウェイをセキュリティ・ゾーンに移動できません。 |
deny NAT_gateway |
VCN | セキュリティ・ゾーンのVCNにNAT (ネットワーク・アドレス変換)ゲートウェイを追加することはできません。 |
deny SGW_gateway |
VCN | セキュリティ・ゾーンのVCNにSGW (セキュア・ゲートウェイ)を追加することはできません。 |
deny public_subnets |
VCN | セキュリティ・ゾーン内のサブネットは、パブリックにできません。プライベートである必要があります。 |
暗号化の要求
セキュリティ・ゾーン内のリソースは、顧客管理キーを使用して暗号化する必要があります。データは、転送中も保存中も暗号化する必要があります。
Oracle Cloud Infrastructure Vaultでは、データを保護するマスター暗号化キーと、リソースへの安全なアクセスに使用するシークレット資格証明を管理できます。暗号化キーを定期的にローテーションすることもできます。
オブジェクト・ストレージやブロック・ボリュームなど、多くのサービスは暗号化のためにボールト・サービスと統合されます。
次の表では、暗号化を強制するセキュリティ・ゾーン・ポリシーについて説明します。
| ポリシー | リソース・タイプ | 説明 |
|---|---|---|
deny block_volume_without_vault_key |
ブロック・ストレージ | セキュリティ・ゾーン内のブロック・ボリュームでは、Vaultサービスで顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。 |
deny boot_volume_without_vault_key |
ブロック・ストレージ | セキュリティ・ゾーン内のブート・ボリュームは、Vaultサービスで顧客管理のマスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。 |
deny file_system_without_vault_key |
ファイル・ストレージ | セキュリティ・ゾーンのファイル・システムでは、Vaultサービスで顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。 |
deny buckets_without_vault_key |
オブジェクト・ストレージ | セキュリティ・ゾーンのオブジェクト・ストレージ・バケットでは、Vaultサービスで顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。 |
データ耐久性の保証
セキュリティ・ゾーン内のリソースに対して定期的に自動バックアップを実行する必要があります。
次の表では、データ耐久性を強制するセキュリティ・ゾーン・ポリシーについて説明します。
| ポリシー | リソース・タイプ | 説明 |
|---|---|---|
deny database_without_backup |
データベース(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム) |
セキュリティ・ゾーン内のデータベースは、自動バックアップを実行するように構成する必要があります。 データベースのバックアップおよびリカバリを参照してください。 |
データ・セキュリティの保証
セキュリティ・ゾーン内のデータは特権的とみなされ、セキュリティ・ゾーンの外部にコピーできません。
次の表では、データ・セキュリティを強制するセキュリティ・ゾーン・ポリシーについて説明します。
| ポリシー | リソース・タイプ | 説明 |
|---|---|---|
deny database_not_in_security_zone_create_from_backup_in_security_zone |
データベース(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム) | セキュリティ・ゾーン内のデータベース・バックアップを使用して、同じセキュリティ・ゾーンにないデータベースを作成することはできません。 |
deny database_in_security_zone_create_clone_not_in_security_zone |
データベース(仮想マシンDBシステム、Autonomous Database) | セキュリティ・ゾーン内のデータベースをクローニングして、同じセキュリティ・ゾーンにないデータベースを作成することはできません。 |
deny file_system_in_security_zone_clone_to_compartment_not_in_security_zone |
ファイル・ストレージ | セキュリティ・ゾーンにファイル・システムをクローニングして、同じセキュリティ・ゾーンにないファイル・システムを作成することはできません。 |
Oracleが承認する構成のみの使用
Oracleでは、セキュリティ・ゾーン内のリソースに対して特定のセキュリティ機能を有効にして構成する必要があります。たとえば、コンピュート・インスタンス(コンピュート)のOS構成です。
次の表では、Oracleが承認する構成が必要なセキュリティ・ゾーン・ポリシーについて説明します。
| ポリシー | リソース・タイプ | ポリシーの説明 |
|---|---|---|
deny manage_bastion_resource |
要塞 | セキュリティ・ゾーンで要塞を作成または変更することはできません。 |
deny detach_volume |
ブロック・ストレージ | セキュリティ・ゾーンでボリュームをデタッチすることはできません。 |
deny manage_compute_and_block_storage_resource |
ブロック・ストレージ、コンピュート、 |
セキュリティ・ゾーン内のリソースを計算するには、次のアクションを実行できません:
セキュリティ・ゾーンのブロック・ストレージ・リソースに対して次のアクションは実行できません:
|
deny manage_image_resource |
コンピュート | セキュリティ・ゾーン内のイメージに対して次のアクションは実行できません:
|
deny terminate_instance |
コンピュート | セキュリティ・ゾーン内のインスタンスは削除できません。 |
deny instance_without_sanctioned_image |
コンピュート、コンピュート管理 |
プラットフォーム・イメージを使用して、セキュリティ・ゾーンにインスタンスを作成する必要があります。 カスタム・イメージからセキュリティ・ゾーンにコンピュート・インスタンスを作成することはできません。 |
deny delete_certificate_authority |
証明書管理 | セキュリティ・ゾーン内の認証局は削除できません。 |
deny revoke_certificate_authority_version |
証明書管理 | セキュリティ・ゾーン内の認証局(CA)バンドル内の中間証明書は取り消せません。 |
deny free_database_creation |
データベース(すべてのタイプ) | セキュリティ・ゾーンにAlways Freeデータベース・インスタンスを作成することはできません。 |
deny manage_file_storage_resource |
ファイル・ストレージ | セキュリティ・ゾーンでファイル・ストレージ・リソースを作成または変更することはできません。 |
deny manage_oke_service |
Kubernetes Engine | セキュリティ・ゾーンのOKEリソースに対して次のアクションは実行できません:
|
| delete_all_load_balancer_back_end_setsを拒否します。 | ロード・バランサ | セキュリティ・ゾーン内のロード・バランサ・バックエンド・セットは削除できません。 |
deny load_balancer_with_weak_SSL_communication |
ロード・バランサ | セキュリティ・ゾーン内のロード・バランサ・リスナーのSSLポリシーは、TLS 1.2以降を使用する必要があります。 |
deny security_list_to_allow_traffic_to_restricted_port |
VCN | セキュリティ・ゾーン内の保護されていないポートへのトラフィックを許可するようにセキュリティ・リストを作成または変更することはできません。 |
deny delete_network_security_group |
VCN | セキュリティ・ゾーン内のVCNネットワーク・セキュリティ・グループは削除できません。 |
deny network_security_group_with_unsecure_ingress_rule |
VCN | セキュリティ・ゾーン内の保護されていないポートまたはIPアドレスへのイングレスを許可するルールを使用してネットワーク・セキュリティ・グループを追加することはできません。 |
deny delete_vcn |
VCN | セキュリティ・ゾーン内のVCNは削除できません。 |
deny update_route_table |
VCN | セキュリティ・ゾーン内のVCNルート表は更新できません。 |
deny update_network_security_group_ingress_rule |
VCN | セキュリティ・ゾーンでネットワーク・セキュリティ・グループのイングレス・ルールを変更することはできません。 |
deny update_network_security_group_egress_rule |
VCN | セキュリティ・ゾーンでネットワーク・セキュリティ・グループのエグレス・ルールを変更することはできません。 |
deny delete_vcn_security_list |
VCN | セキュリティ・ゾーン内のVCNセキュリティ・リストは削除できません。 |
deny update_vcn_security_list_ingress_rules |
VCN | セキュリティ・ゾーン内のVCNセキュリティ・リストのイングレス・セキュリティ・ルールは変更できません。 |
deny update_vcn_security_list_egress_rules |
VCN | セキュリティ・ゾーン内のVCNセキュリティ・リストのイングレス・セキュリティ・ルールは変更できません。 |
deny update_DHCP_options |
VCN | セキュリティ・ゾーンのDHCPオプションは更新できません。 |
deny update_local_peering_gateway |
VCN | セキュリティ・ゾーンのローカル・ピアリング・ゲートウェイは更新できません。 |
deny create_or_modify_vcn_security_list |
VCN | セキュリティ・ゾーンでVCNセキュリティ・リストを作成または変更することはできません。 |
deny manage_DNS_resource |
VCN | セキュリティ・ゾーンのDNSリソースに対して次のアクションは実行できません:
|
deny manage_virtual_network_resource |
VCN | セキュリティ・ゾーン内の仮想ネットワーク・リソースに対して、次のアクションは実行できません。
|
deny manage_vcn_route_tables |
VCN | セキュリティ・ゾーンのVCNルート表リソースに対して、次のアクションは実行できません:
|
deny create_vcn_security_list |
VCN | セキュリティ・ゾーンにVCNセキュリティ・リストを作成できません。 |
deny manage_DHCP_options_resource |
VCN | セキュリティ・ゾーンのDHCPリソースに対して次のアクションは実行できません:
|
deny create_drg |
VCN | セキュリティ・ゾーンにDRG (Dynamic Routing Gateway)を作成できません。 |
セキュアでない UDPおよびTCPポートのセキュリティーゾーンポリシーの制限
セキュリティ・ゾーン・ポリシーにより、セキュリティ保護されていないUDPまたはTCTポートを使用してセキュリティ・リストまたはネットワーク・セキュリティ・グループ・ルールを作成できなくなります。
ルールがUDPプロトコルに基づいている場合、セキュリティ・ゾーン・ポリシーは次のポートを許可しません。
- 11
- 17から19
- 49
- 69
- 80
- 82
- 83から85
- 389
- 443
- 656
- 8080
ルールがTCPプロトコルに基づいている場合、セキュリティ・ゾーン・ポリシーでは次のポートは許可されません。
- 11
- 17から19
- 21
- 23から25
- 43
- 49
- 53
- 70 - 74
- 79から81
- 88
- 111
- 123
- 389
- 636
- 445
- 500
- 3306
- 3389
- 5901
- 5985
- 5986
- 7001
- 8000
- 8080
- 8443
- 8888