Oracle Cloud Infrastructureドキュメント

クラウド・ガードの概念

クラウド・ガードのコンポーネントおよび用語を理解します。

クラウド・ガードは、Oracle Cloud Infrastructureリソースに構成に関連するセキュリティ脆弱性がないかどうか、およびオペレータとユーザーがリスクのあるアクティビティを行っていないかどうかを調べます。検出時、クラウド・ガードは、構成に基づいて修正処理を提案、支援または実行できます。

次の図は、クラウド・ガードのシステム・フローの概要を示しています。次に続くクラウド・ガードの概念の各定義を確認しながら、この図を参照できます。

クラウド・ガードのシステム・フローの概要のイメージ

ヒント

クラウド・ガード・サービスのビデオ紹介をご覧ください。

クラウド・ガードで作業する場合、次の用語を理解することが重要です:

ターゲット
クラウド・ガードでチェックする対象の範囲を定義します。Oracle Cloud Infrastructureでは、この範囲は、ターゲットが定義されているコンパートメントと、そのポイントから別のターゲットが検出されるまでのすべての子コンパートメントに関連付けられます。検出された他のターゲットは、そのポイントから子孫のコンパートメントまでを引き継ぎます。
  • ターゲットは、OCIテナンシ全体で構成できます(ルート・コンパートメントのターゲット)。
  • IAMポリシーをモニターするには、ルート・コンパートメントがターゲットである必要があります。
  • クラウド・ガードを有効にする場合、少なくとも1つのターゲットを指定する必要があります。そのターゲットを変更して、後から追加のターゲットを定義できます。
  • ターゲットは重複できず、コンパートメントとそのリソースに適用されるのは、一度に1つのターゲットのみです。
  • コンパートメント(およびその子)は、ターゲットとして宣言することでチェックから除外できますが、ディテクタ・レシピはそのターゲットに適用されません。
ディテクタ
チェックを実行し、潜在的なセキュリティの問題をそのタイプと構成に基づいて識別します。
ディテクタ・レシピ
ターゲットのリソースおよびアクティビティを調査するためのベースラインを提供します。
Oracle管理ディテクタ・レシピ
  • クラウド・ガードによって提供されます。
  • ルールによって問題がトリガーされるリソースの範囲のみを設定できます。
  • ルールを無効にしたり、ルールのリスク・レベルを変更したりすることはできません。
  • 新しいデフォルトおよび設定を含めるように随時更新されます。

    これらの更新については、クラウド・ガードのリリース・ノートを定期的に参照してください。

ユーザー管理ディテクタ・レシピ
  • Oracle管理レシピをクローニングすることで作成されます。
  • ルールによって問題がトリガーされるリソースの範囲を設定できます。
  • 個々のルールを無効にしたり、ルールのリスク・レベルを変更したりすることもできます。
OCIアクティビティ・ディテクタ・レシピ
セキュリティの問題を引き起こす可能性のあるリソースに対するアクションを検出するために特別に設計されたルールのセット。
OCI構成ディテクタ・レシピ
セキュリティの問題を引き起こす可能性のあるリソース構成設定を検出するために特別に設計されたルールのセット。
OCIインスタンス・セキュリティ・ディテクタ・レシピ
Compute仮想ホストおよびベア・メタル・ホストのワークロードにランタイム・セキュリティを提供するように特別に設計されたルールのセット。
OCI Threat Detectorレシピ
セキュリティの問題を引き起こすために作られている可能性のある環境内の微妙なアクティビティ・パターンを検出するために特別に設計されたルールのセット。
ディテクタ・ルール
リソース・クラスの特定の定義と、ディテクタに問題をレポートさせる特定のアクションまたは構成を提供します。ディテクタ・レシピは、複数のディテクタ・ルールで構成されます。いずれかのルールがトリガーされると、ディテクタによって問題がレポートされます。ディテクタ・レシピの各ルールは、個別に構成できます。
問題
セキュリティの問題を引き起こす可能性があるリソースに対するアクションまたは設定。クラウド・ガードは、Oracle Cloud Infrastructureテナンシのネットワーク・アクティビティをモニターして、問題を識別および解決します。問題:
  • クラウド・ガードによってディテクタ・ルールからの逸脱が検出されると作成されます。
  • これらを作成するディテクタのタイプ(アクティビティまたは構成)によって定義されます。
  • 検出された特定のタイプの問題に関するデータが含まれます。
  • 解決、終了または修正できます。
レスポンダ
ディテクタが問題を検出したときにクラウド・ガードが実行できるアクション。使用可能なアクションはリソース固有です。レスポンダの構成はディテクタに似ています:
レスポンダ・レシピ
ディテクタが識別した問題に対応するために実行するアクションまたはアクションのセットを定義します。
Oracle管理レスポンダ・レシピ
  • クラウド・ガードによって提供されます。
  • ルールを無効にすることはできません。
  • 新しいデフォルトおよび設定を含めるように随時更新されます。

    これらの更新については、クラウド・ガードのリリース・ノートを定期的に参照してください。

ユーザー管理レスポンダ・レシピ
  • Oracle管理レシピをクローニングすることで作成されます。
  • 個々のルールを無効にしたり、ルールのリスク・レベルを変更したりできます。
レスポンダ・ルール
実行する特定のアクションを定義します。いずれかのレスポンダ・ルールがトリガーされると、レスポンダがトリガーされます。ディテクタ・レシピの各ルールは、個別に構成できます。
クラウド・ガードには、デフォルト・ルールを備えたレスポンダのセットがあります。これらのレスポンダはそのまま使用できます。デフォルトのレスポンダをクローニングして、特定のニーズを満たすようにルールを変更できます。レスポンダ・ルールは、個別に有効および無効にできます。範囲を制限する条件を指定して、個々のルールを適用する範囲を制限できます。
管理対象リスト
ディテクタおよびレスポンダ・ルールの範囲を簡単に設定できるようにする、再利用可能なパラメータのリスト。たとえば、事前定義された「信頼できるOracle IPアドレス領域」リストには、ディテクタおよびレスポンダのルールを定義するときに信頼できるものと考えるすべてのOracle IPアドレスが含まれます。
クラウド・ガードのリージョン
クラウド・ガードがモニターするアクティビティは、2つのタイプのリージョンで発生する可能性があります:
レポート・リージョン
クラウド・ガード・テナンシのデフォルト・リージョン。クラウド・ガード・テナンシが有効になったときに定義された最初のリージョン。
ノート

選択したレポート・リージョンによって、組織は、レポート・リージョンがホストされている国のすべての法的要件に準拠するようになります。「レポート・リージョンを慎重に選択」を参照してください。

レポート・リージョンの名前を確認するには、レポート・リージョンの表示を参照してください。

通知を送信するための通知およびイベント・サービスとの統合は、レポート・リージョンでのみ行われます。コンソール上部の「リージョン」リストから特定のリージョンを選択しても、表示される情報には影響しません。リージョン別に情報をフィルタするには、「クラウド・ガード」ページの「フィルタ」を使用します。

モニター対象リージョン
クラウド・ガード・テナンシがモニターするその他のリージョン。
OCIホーム・リージョン
クラウド・ガードの場合、OCIホーム・リージョンはOCI環境で変更できない定数です。
ノート

クラウド・ガードを有効にするときに、クラウド・ガード・レポート・リージョンを指定します。有効化後に実行するすべての構成およびトラブルシューティング・タスクでは、OCIホーム・リージョンではなく、クラウド・ガード・レポート・リージョンを指定する必要があります。