セキュア・デスクトップの保護

Secure Desktopsをセキュアに使用するには、セキュリティおよびコンプライアンスの責任について学習します。

通常、Oracleはクラウド・インフラストラクチャおよび操作のセキュリティ(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティ・パッチ適用など)を提供します。お客様がクラウド・リソースをセキュアに構成する責任クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは、次のセキュリティ要件に対して責任を負います:

• 物理的セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。

お客様のセキュリティの責任についてこのページで説明します。次のような領域があります:

• デスクトップ・メンテナンス:イメージ(ファイアウォール、アンチ・ウイルス、アプリケーションなど)、デスクトップが使用するネットワーク(企業ネットワーク、インターネットなどへのアクセス)、アクセス・ポリシーとコンパートメント、ストレージ、およびイメージとデスクトップへのパッチ適用などの内容を含む、デスクトップのメンテナンスを担当します。
• アクセス制御:作業の実行に必要なアクセス権のみをユーザーに付与する責任があります。
• 暗号化と機密性:暗号化キーとシークレットを使用してデータを保護し、保護されたリソースに接続する責任があります。これらのキーを定期的にローテーションします。
• パッチ適用: 脆弱性を防ぐために、最新のセキュリティ・パッチでソフトウェアを最新の状態に保つ必要があります。

次のチェックリストを使用して、新しいOracle Cloud Infrastructureテナンシでセキュア・デスクトップ・サービスを保護するために実行する必要があるタスクを識別します。

• IAMポリシーを使用して、リソースへのアクセス権を付与します。IAMポリシーを参照してください。
• Virtual Cloud Network (VCN)を構成します。ネットワーク・セキュリティを参照してください。
• コンパートメントとグループを構成して、デスクトップへのアクセスを制御します。「アクセス制御」を参照してください。

セキュア・デスクトップの開始後、次のチェックリストを使用して定期的に実行することが推奨されるセキュリティ・タスクを識別します。

• デスクトップを維持します。Desktop Maintenanceを参照してください。
• 最新のセキュリティ・パッチを適用します。パッチ適用を参照してください。
• 仮想デスクトップへのユーザーアクセスを決定します。「アクセス制御」を参照してください。
• デスクトッププールごとにバックアップポリシーを設定します。データ耐久性を参照してください。

デスクトップの保守には、次のような責任があります。

• デスクトップ・イメージ- デスクトップ・イメージの内容はユーザーが担当します。必要に応じて、ファイアウォール、アンチウイルスソフトウェア、およびその他のセキュリティアプリケーションをインストールします。信頼できる必要なアプリケーションのみをインストールします。オペレーティング・システムおよびソフトウェアの更新により、イメージを定期的に更新します。パッチ適用を参照してください。
• ネットワーキング- 組織のベスト・プラクティスに従って、企業ネットワークおよびインターネットへのネットワーク・アクセスを制限する責任があります。これには、デスクトップが存在するサブネットの保護が含まれます。ネットワーク・セキュリティを参照してください。
• アクセス- ポリシーを設定し、コンパートメントおよびグループを構成することで、デスクトップへのアクセスを制限する責任があります。IAMポリシーおよびアクセス制御を参照してください。

ポリシーを使用して、セキュア・デスクトップへのアクセスを制限します。

ポリシーは、Oracle Cloud Infrastructureリソースに誰がどのようにアクセスできるかを指定します。詳細は、ポリシーの仕組みを参照してください。

グループに、その職責を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループに許可されるアクションを記述する動詞があります。使用可能な動詞は、アクセス・レベルが低い方から順にinspect、read、use、manageです。

セキュア・デスクトップの場合、デスクトップ管理者およびデスクトップ・ユーザーのポリシーを定義する必要があります。ユーザーのタイプに必要な最小限のアクセス・ポリシーを常に適用します。デスクトップユーザーを「公開デスクトップを使用」に制限し、デスクトップ管理者は「デスクトップの管理」および「デスクトッププールの管理」にアクセスできます。詳細および例を表示するには、Policy Details for Secure Desktopsを参照してください。

Secure Desktopsサービスへのセキュアなアクセスを提供するために、Virtual Cloud Network (VCN)を構成します。

VCN構成

セキュア・デスクトップのテナンシを設定する場合は、組織のベスト・プラクティスに従って、デスクトップがパブリック・ネットワークおよび企業ネットワークにアクセスできるようにVCNを構成します。詳細は、ネットワーキングの概要を参照してください。

セキュア・デスクトップ・リソースで最新のセキュリティ更新が実行されていることを確認します。

利用可能な最新のセキュリティパッチとソフトウェア更新を定期的に適用することで、デスクトップインスタンスを最新の状態に保ちます。Secure Desktopsサービスは、デスクトップのコンテンツを表示できないため、デスクトップがセキュアに構成されているか、必要な更新があることを確認できません。デプロイされたカスタム・イメージのセキュリティ機能を維持する責任があります。これには、ウイルス対策ソフトウェア、OSおよびアプリケーションのセキュリティ更新、およびネットワーク構成が含まれますが、これらに限定されません。

Oracle Linuxデスクトップ

可能な場合は、OS管理を使用して、デスクトップの更新を保守およびモニターします。Managing Linux Packagesを参照してください。

Windowsデスクトップ

可能な場合は、OS管理またはWindowsパッチ管理ソリューションを使用して、デスクトップの更新を保守およびモニターします。Managing Windows Updatesを参照してください。

IAMポリシーの作成に加えて、仮想デスクトップへのアクセスを保護するための次のベスト・プラクティスに従います。

コンパートメントおよびグループを構成して、デスクトップ・プールへのアクセスを制限します

デスクトッププールを作成するときは、プール内の仮想デスクトップにアクセスできるユーザーを検討してください。デスクトップ・ユーザーは、グループがアクセスできるコンパートメント内のすべてのプールのデスクトップにアクセスできます。ユーザーのアクセスを特定のプールに制限するには、個別のグループと個別のコンパートメントの両方を作成する必要があります。

詳細は、Understanding Desktop User Access to a Desktop Poolを参照してください。

デスクトップ・プールのパラメータの設定

デスクトッププールを作成するときは、デスクトップユーザーが仮想デスクトップでアクセスできる機能を判断します。セキュリティーのために、必要に応じて次の機能へのアクセスを制限することを検討してください。

• ローカルシステムデバイスアクセス(クリップボード、ドライブ、またはオーディオ)
• 仮想デスクトップ管理者権限(更新の適用、システムの再起動など)

セキュリティーニーズに合わせてデスクトッププールを作成するときは、デスクトッププールのパラメータを調整します。詳細については、Creating a Desktop Poolを参照してください。

デスクトップ・プールの可用性の変更

セキュリティーのために、必要に応じてデスクトップを使用できる時間を制限することを検討してください。可用性予定の設定を参照してください。

データ損失を最小限に抑えるには、デスクトッププールの作成時にデスクトップボリュームのバックアップポリシーを選択します。Backing up Storageを参照してください。

ブロック・ボリュームの保護の詳細は、ブロック・ボリュームの保護を参照してください。