Oracle Cloud Infrastructureドキュメント

Vulnerability Scanningの概要

Oracle Cloud Infrastructure Vulnerability Scanning Serviceは、ホストおよびコンテナ・イメージに潜在的な脆弱性がないかを定期的にチェックすることで、セキュリティ状態を改善するのに役立ちます。このサービスにより、開発者、運用、およびセキュリティ管理者は、誤って構成されたリソースや脆弱なリソースを包括的に可視化し、改善情報など、これらの脆弱性に関するメトリックと詳細を含むレポートを生成します。

ヒント

サービスの概要ビデオを視聴してください。

すべての脆弱性スキャン・リソースおよびレポートはリージョンですが、スキャン結果はクラウド・ガード・グローバル・レポート・リージョンの問題としても表示されます。

脆弱性スキャン・サービスでは、次のリソースの脆弱性が識別されます:

  • コンピュート・インスタンス(ホストとも呼ばれる)
  • コンテナ・レジストリ・イメージ

脆弱性スキャン・サービスでは、いくつかのタイプのセキュリティ問題を識別できます:

  • 意図せずに開いたままになっているポートは、クラウド・リソースへの潜在的な攻撃ベクトルになったり、ハッカーが他の脆弱性を悪用するために使用する可能性があります。
  • 脆弱性に対処するために更新およびパッチが必要なOSパッケージ
  • ハッカーが悪用する可能性のあるOS構成
  • Center for Internet Security (CIS)によって公開されている業界標準のベンチマーク。

    脆弱性スキャン・サービスは、Distribution Independent Linux用に定義されたセクション5 (アクセス、認証および認可)ベンチマークへの準拠についてホストをチェックします。

  • log4jspring4shellなどのサードパーティ・アプリケーションの脆弱性。
ノート

Oracle Cloud Infrastructure Vulnerability Scanning Serviceを使用すると、脆弱性とエクスポージャを迅速に修正できますが、このサービスはPayment Card Industry (PCI)準拠スキャナではありません。PCIコンプライアンス要件を満たすために脆弱性スキャン・サービスを使用しないでください。

脆弱性スキャン・サービスでは、サポートされているプラットフォーム・イメージから作成されたコンピュート・インスタンスまたはコンテナ・イメージのみがサポートされます。サポート終了というラベルを持つイメージでは、スキャンは使用できません。

コンピュート・インスタンスをスキャンして脆弱性を検出するには、インスタンスでOracle Cloud Agentをサポートするイメージを使用する必要があります。インスタンスのパブリックIPアドレスでのポート・スキャンには、エージェントは必要ありません。

ノート

脆弱性スキャンのホストおよびコンテナ・イメージ・スキャンでは、サポートされていない他のオペレーティング・システムからCVE結果が取得される場合があります。結果はNVDデータでのみカバーされ、CVEがないか、他の誤検出がある可能性があります。これらの他のオペレーティング・システムはサポートしていないため、これらの結果は慎重に使用してください。

脆弱性スキャン・サービスは、次のプラットフォームで、次の脆弱性ソースを使用して脆弱性を検出します。

プラットフォーム National Vulnerability Database (NVD) Open Vulnerability and Assessment Language (OVAL) Center for Internet Security (CIS)
Oracle Linux はい はい はい
CentOS はい はい はい
Ubuntu はい はい はい
Windows はい いいえ いいえ
ノート

WindowsスキャンにはVALデータが含まれていないため、Windowsインスタンスが最新かつセキュアであることを確認するためにOracle Cloud Infrastructure Vulnerability Scanning Serviceのみに依存することはお薦めします。
ノート

脆弱性スキャン・サービスを使用して仮想マシンDBシステムの問題を識別し、各問題に対処するようにOSを変更することは推奨しません。かわりに、DBシステムの更新の手順に従って、最新のセキュリティ更新をOSに適用します。
ノート

脆弱性スキャン・サービスは、コンピュート・サービス(専用インフラストラクチャ上のExadata Database Serviceデータベース・サービスなど)で直接作成されなかったホストでは使用できません。これらのサービスに用意されている機能を使用して、ホストに最新のセキュリティ更新があることを確認します。

脆弱性スキャン・サービスでは、次のターゲット・オプションがサポートされています:

  • 個々のコンピュート・インスタンス
  • コンパートメントおよびそのサブコンパートメント内のすべてのコンピュート・インスタンス。

    ルート・コンパートメントで脆弱性スキャン・サービスを構成すると、テナント全体のすべてのコンピュート・インスタンスがスキャンされます。

  • コンテナ・レジストリ・リポジトリ内のイメージ

概念

脆弱性スキャン・サービスに関連する主な概念およびコンポーネントを理解します。

次の図は、サービスの概要を示しています。


コンピュート・インスタンスやコンテナ・レジストリ・リポジトリなどの1つ以上のターゲットにスキャン・レシピが関連付けられています。プライベート・サブネットのインスタンスにアクセスするには、サービス・ゲートウェイが必要です。脆弱性スキャン・サービスは、これらのターゲットをスキャンし、レポート、イベントおよびログを生成します。クラウド・ガードを使用して、スキャンの問題を表示することもできます。
スキャン・レシピ
クラウド・リソース・タイプのスキャン・パラメータ(調査する情報や頻度など)。
ターゲット
特定のレシピを使用してスキャンする1つ以上のクラウド・リソース。ターゲット内のリソースは、コンピュート・インスタンスなどの同じタイプです。
ホスト・スキャン
スキャンされた特定のコンピュート・インスタンスに関するメトリック(検出された脆弱性、リスク・レベル、CISベンチマーク・コンプライアンスなど)。

脆弱性スキャン・サービスは、ホスト・エージェントを使用してこれらの脆弱性を検出します。

ポート・スキャン
スキャンされた特定のコンピュート・インスタンスで検出されたオープン・ポート。

脆弱性スキャン・サービスは、ホスト・エージェントを使用するか、パブリックIPアドレスを検索するネットワーク・マッパーを使用して、オープン・ポートを検出できます。

コンテナ・イメージ・スキャン
スキャンされた特定のコンテナ・レジストリ・イメージに関するメトリック(検出された脆弱性、リスク・レベルなど)。
脆弱性レポート
1つ以上のターゲットで検出された特定のタイプの脆弱性に関する情報(OSパッケージの更新の欠落など)。

クラウド・ガードとの統合

脆弱性スキャン・サービスで識別されるセキュリティ脆弱性は、Oracle Cloud Guardで表示できます。

クラウド・ガードは、構成、メトリックおよびログのセキュリティ脆弱性について、すべてのクラウド・リソースをモニターするための中央ダッシュボードを提供するOracle Cloud Infrastructureサービスです。問題が検出されると、クラウド・ガード構成に基づいて、修正処理を提案、支援または実行できます。

脆弱性スキャン・サービスと同様に、クラウド・ガードでは、レシピとターゲットが使用されます。

  • レシピは、クラウド・ガードでレポートする問題のタイプを定義します
  • ターゲットは、クラウド・ガードでモニターするコンパートメントを定義し、レシピに関連付けられます。

構成ディテクタ・レシピは、ディテクタ・ルールで構成されます。デフォルトのクラウド・ガード構成ディテクタ・レシピには、脆弱性スキャン・サービスで見つかる脆弱性およびオープン・ポートをチェックするルールが含まれています。

詳細は、クラウド・ガードを使用したスキャンを参照してください。

リソース識別子

脆弱性スキャン・リソースには、Oracle Cloud Infrastructureのほとんどのリソース・タイプと同様に、Oracle Cloud ID (OCID)と呼ばれるOracleによって割り当てられた一意の識別子があります。

OCIDのフォーマットおよびその他のリソース識別方法の詳細は、リソース識別子を参照してください。

脆弱性スキャンへのアクセス方法

脆弱性スキャンには、コンソール(ブラウザベースのインタフェース)、コマンドライン・インタフェース(CLI)またはREST APIを使用できます。コンソール、CLIおよびAPIに関する手順は、このガイド全体のトピックに記載されています。

コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。のサインイン・ページに移動するには、このページ上部のナビゲーション・メニューを開き、「インフラストラクチャ」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。

使用可能なSDKのリストは、SDKおよびCLIを参照してください。APIの使用に関する一般情報は、REST APIのドキュメントを参照してください。

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)で、認証および認可のためにIAMと統合されます。

組織の管理者は、グループ、コンパートメントおよびポリシーを設定して、どのユーザーがどのサービスおよびリソースにアクセスできるかと、そのアクセス権のタイプを制御する必要があります。たとえば、ポリシーは、ユーザーの作成、VCN (仮想クラウド・ネットワーク)の作成と管理、インスタンスの起動、およびバケットの作成を実行できるユーザーを制御します。

セキュリティ

IAMポリシーの作成に加えて、脆弱性スキャンのセキュリティに関連するその他のタスクがあります。

例:

  • パブリックIPアドレスのないホストをスキャンできるようにサービス・ゲートウェイを構成します
  • スキャン操作のセキュリティ監査を実行します

脆弱性スキャンの保護を参照してください。

モニタリング

スキャン・アクティビティをモニターするために、脆弱性スキャンは、Oracle Cloud Infrastructureの他のサービスと統合されます。

  • 監査サービスは、すべてのパブリック脆弱性スキャンAPIエンドポイントへのコールをログ・エントリとして自動的に記録します。監査の概要を参照してください。
  • モニタリング・サービスでは、メトリックおよびアラームを使用して脆弱性スキャン・リソースをモニターできます。スキャン・メトリックを参照してください。
  • イベント・サービスでは、脆弱性スキャン・リソースの状態が変化したときに開発チームが自動的に対応できます。スキャン・イベントを参照してください。

制限および割当て

Oracle Cloud Infrastructureは、テナンシ内の脆弱性スキャン・リソースの最大数を制限します。割当てを使用して、特定のコンパートメントに制限を設定することもできます。

脆弱性スキャンの制限および脆弱性スキャンの割当てを参照してください。

サービス制限の引上げをリクエストするには、サービス制限を参照してください。

開始

脆弱性スキャン・サービスを使用して、単一のコンパートメントのコンピュート・インスタンスでセキュリティ脆弱性をチェックします。

  1. 脆弱性スキャンIAMポリシーを作成します。

    管理者でない場合は、管理者が作成したポリシー(IAM)脆弱性スキャン・サービスへのアクセス権が付与されている必要があります。

  2. コンピュート・スキャン・レシピに必要なIAMポリシーを作成します。

    管理者は、脆弱性スキャン・サービスに、ターゲットのコンピュート・インスタンスで脆弱性スキャン・エージェントをアクティブ化する権限を付与する必要があります。

  3. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「スキャン」をクリックします。
  4. 「スキャン・レシピの作成」をクリックします。

    コンピュート・スキャン・レシピの作成を参照してください。

  5. 「ターゲットの作成」をクリックします。

    「ターゲット・コンパートメント」で、スキャンするコンピュート・インスタンスを含むコンパートメントを選択します。

    コンピュート・ターゲットの作成を参照してください。

  6. 「スキャン結果の表示」をクリックします。

    通常、結果はターゲットを作成してから15分後に使用できますが、最大で24時間かかる場合があります。

    ホスト・スキャンのリストを参照してください。

  7. (オプション)クラウド・ガードを使用したスキャン

問題が発生した場合は、脆弱性スキャン・サービスのトラブルシューティングを参照してください。