セキュリティ・ゾーン・ポリシー
セキュリティ・ゾーンでリソースを作成および更新すると、Oracle Cloud Infrastructureでは、これらの操作がセキュリティ・ゾーン内のポリシーに対して検証されます。ポリシーに違反している場合、操作は拒否されます。
セキュリティ・ゾーンを作成するときは、セキュリティ・ゾーン・ポリシーの集合であるレシピを割り当てます。
テナンシには、最大セキュリティ・レシピという事前定義済レシピがあり、これにはキュレートされた多数のセキュリティ・ゾーン・ポリシーが含まれています。このレシピはOracleによって管理され、ユーザーは変更できません。ただし、特定のセキュリティ要件を満たす独自のレシピを作成できます。
セキュリティ・ゾーンは、「リソース移動の制限」などのセキュリティ原則によってポリシーを分類します。各ポリシーは、コンピュート、ネットワーキング、オブジェクト・ストレージ、データベース・リソースなどの1つ以上のリソースに影響します。
リソース移動の制限
データの整合性を確保するため、セキュリティ・ゾーン内の特定のリソースは、セキュリティ・ゾーンの外部にあるコンパートメントに移動できません。移動するとセキュリティが低下する可能性があるためです。また、セキュリティ・ゾーン内のすべてのポリシーが満たされないかぎり、既存のリソースをセキュリティ・ゾーン内のコンパートメントに移動することはできません。
次の表では、リソースの移動を制限するセキュリティ・ゾーン・ポリシーについて説明します。
| ポリシー | リソース・タイプ | 説明 |
|---|---|---|
deny block_volume_in_security_zone_move_to_compartment_not_in_security_zone |
ブロック・ストレージ | セキュリティ・ゾーン内のブロック・ボリュームは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。 |
deny boot_volume_in_security_zone_move_to_compartment_not_in_security_zone |
ブロック・ストレージ | セキュリティ・ゾーン内のブート・ボリュームは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。 |
deny instance_in_security_zone_move_to_compartment_not_in_security_zone |
コンピュート | セキュリティ・ゾーン内のコンピュート・インスタンスは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。 |
deny instance_not_in_security_zone_move_to_compartment_in_security_zone |
コンピュート | 同じセキュリティ・ゾーンにないコンパートメントからセキュリティ・ゾーンにコンピュート・インスタンスを移動することはできません。 |
deny subnet_in_security_zone_move_to_compartment_not_in_security_zone |
仮想ネットワーク(VCN) | セキュリティ・ゾーン内のサブネットは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。 |
deny bucket_in_security_zone_move_to_compartment_not_in_security_zone |
オブジェクト・ストレージ | セキュリティ・ゾーン内のバケットは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。 |
deny file_system_in_security_zone_move_to_compartment_not_in_security_zone |
ファイル・ストレージ | セキュリティ・ゾーン内のファイル・システムは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。 |
deny mount_target_in_security_zone_move_to_compartment_not_in_security_zone |
ファイル・ストレージ | セキュリティ・ゾーン内のマウント・ターゲット(ファイル・ストレージ)は、同じセキュリティ・ゾーンにないコンパートメントに移動できません。 |
deny db_instance_move_to_compartment_not_in_security_zone |
データベース(すべてのタイプ) | セキュリティ・ゾーン内のデータベースは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。 |
deny database_with_dataguard_association_move_to_compartment_in_security_zone |
データベース(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム) | Data Guardアソシエーションが同じセキュリティ・ゾーン内にない場合、データベースをセキュリティ・ゾーンに移動することはできません。 |
リソース・アソシエーションの制限
セキュリティ・ゾーンのリソースに必要なすべてのコンポーネントも同じセキュリティ・ゾーンに配置されている必要があります。セキュリティ・ゾーンにないリソースは脆弱で、別のセキュリティ・ゾーンのリソースはセキュリティ状態が低い可能性があります。
次の表では、リソース・アソシエーションを制限するセキュリティ・ゾーン・ポリシーについて説明します。
| ポリシー | リソース・タイプ | 説明 |
|---|---|---|
deny block_volume_not_in_security_zone_attach_to_instance_in_security_zone |
コンピュート | ブロック・ストレージ・ボリュームは、そのボリュームが同じセキュリティ・ゾーンにないと、セキュリティ・ゾーン内のコンピュート・インスタンスにアタッチできません。 |
deny block_volume_in_security_zone_attach_to_instance_not_in_security_zone |
コンピュート | セキュリティ・ゾーン内のブロック・ストレージ・ボリュームを、同じセキュリティ・ゾーンにないコンピュート・インスタンスにアタッチすることはできません。 |
deny boot_volume_not_in_security_zone_attach_to_instance_in_security_zone |
コンピュート | ブート・ボリュームは、そのボリュームが同じセキュリティ・ゾーンにないと、セキュリティ・ゾーン内のコンピュート・インスタンスにアタッチできません。 |
deny boot_volume_in_security_zone_attach_to_instance_not_in_security_zone |
コンピュート | セキュリティ・ゾーン内のブート・ボリュームを、同じセキュリティ・ゾーンにないコンピュート・インスタンスにアタッチすることはできません。 |
deny instance_in_security_zone_launch_from_boot_volume_not_in_security_zone |
コンピュート、コンピュート管理 | セキュリティ・ゾーン内のコンピュート・インスタンスは、そのブート・ボリュームが同じセキュリティ・ゾーンにないと起動できません。 |
deny instance_not_in_security_zone_launch_from_boot_volume_in_security_zone |
コンピュート、コンピュート管理 | コンピュート・インスタンスは、そのインスタンスが同じセキュリティ・ゾーンにないと、セキュリティ・ゾーン内のブート・ボリュームを使用して起動できません。 |
deny attached_block_volume_not_in_security_zone_move_to_compartment_in_security_zone |
ブロック・ストレージ | ブロック・ボリュームは、同じセキュリティ・ゾーンにないコンピュート・インスタンスにアタッチされている場合、セキュリティ・ゾーンに移動できません。 |
deny attached_boot_volume_not_in_security_zone_move_to_compartment_in_security_zone |
ブロック・ストレージ | ブート・ボリュームは、同じセキュリティ・ゾーンにないコンピュート・インスタンスにアタッチされている場合、セキュリティ・ゾーンに移動できません。 |
deny instance_in_security_zone_in_subnet_not_in_security_zone |
コンピュート、コンピュート管理 | セキュリティ・ゾーン内のコンピュート・インスタンスは、同じセキュリティ・ゾーンにないサブネットを使用できません。 |
deny mount_target_in_security_zone_created_with_subnet_not_in_security_zone |
ファイル・ストレージ | セキュリティ・ゾーン内のマウント・ターゲット(ファイル・ストレージ)は、同じセキュリティ・ゾーンにないサブネットを使用できません。 |
deny mount_target_not_in_security_zone_create_with_subnet_in_security_zone |
ファイル・ストレージ | セキュリティ・ゾーン内のサブネットを使用するマウント・ターゲット(ファイル・ストレージ)は、マウント・ターゲットが同じセキュリティ・ゾーンにないと作成できません。 |
deny file_system_in_security_zone_export_via_mount_target_not_in_security_zone |
ファイル・ストレージ | セキュリティ・ゾーン内のファイル・システムは、同じセキュリティ・ゾーンにないマウント・ターゲット(ファイル・ストレージ)を介してエクスポートできません。 |
deny file_system_not_in_security_zone_export_via_mount_target_in_security_zone |
ファイル・ストレージ | ファイル・システムが同じセキュリティ・ゾーンにない場合は、マウント・ターゲット(ファイル・ストレージ)を介してファイル・システムをエクスポートできません。 |
deny dataguard_association_with_db_instances_not_in_security_zones |
データベース(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム) | セキュリティ・ゾーン内のデータベースは、同じセキュリティ・ゾーンにない別のデータベース(プライマリ/スタンバイ)とのData Guardアソシエーションを持つことはできません。 |
deny db_instance_subnet_not_in_security_zone |
データベース(すべてのタイプ) | セキュリティ・ゾーン内のデータベースは、同じセキュリティ・ゾーンにないサブネットを使用できません。 |
deny db_resource_association_not_in_security_zone |
データベース(Exadata DBシステム) |
セキュリティ・ゾーン内のExadataインフラストラクチャ・リソースは、同じセキュリティ・ゾーンにないコンテナ・データベースまたはVMクラスタに関連付けることはできません。 |
パブリック・アクセスの拒否
セキュリティ・ゾーン内のリソースは、パブリック・インターネットからアクセスできない必要があります。
プライベート・サブネットを作成する場合、そのサブネットで起動されたコンピュート・インスタンスは、パブリックIPアドレスを持つことができません。この制限により、サブネット内のコンピュート・インスタンスにインターネット・アクセスできないことが保証されます。プライベート・サブネットのコンピュート・インスタンスの場合、サービス・ゲートウェイによって、オブジェクト・ストレージなどのパブリック・サービスへのプライベート・アクセスが可能になります。ネットワーキングの概要を参照してください。
次の表では、ネットワーク・アクセスを制限するセキュリティ・ゾーン・ポリシーについて説明します。
| ポリシー | リソース・タイプ | 説明 |
|---|---|---|
deny public_subnets |
仮想ネットワーク(VCN) | セキュリティ・ゾーン内のサブネットは、パブリックにできません。プライベートである必要があります。 |
deny internet_gateway |
仮想ネットワーク(VCN) | セキュリティ・ゾーン内のインターネット・ゲートウェイをVCN (仮想クラウド・ネットワーク)に追加することはできません。 |
deny public_buckets |
オブジェクト・ストレージ | セキュリティ・ゾーン内のオブジェクト・ストレージ・バケットは、パブリックにできません。 |
deny db_instance_public_access |
データベース(すべてのタイプ) | セキュリティ・ゾーン内のデータベースをパブリック・サブネットに割り当てることはできません。プライベート・サブネットを使用する必要があります。 |
deny public_load_balancer |
Load Balancer | セキュリティ・ゾーン内のロード・バランサはパブリックにできません。すべてのロード・バランサはプライベートである必要があります。 |
deny cloud_shell_public_network |
クラウド・シェル | セキュリティ・ゾーン内のクラウド・シェル・ホストは、パブリック・ネットワーク・アクセスを持つことができません。 |
暗号化の要求
セキュリティ・ゾーン内のリソースは、顧客管理キーを使用して暗号化する必要があります。データは、転送中も保存中も暗号化する必要があります。
Oracle Cloud Infrastructure Vaultでは、データを保護するマスター暗号化キーと、リソースへの安全なアクセスに使用するシークレット資格証明を管理できます。暗号化キーを定期的にローテーションすることもできます。
オブジェクト・ストレージやブロック・ボリュームなど、多くのサービスは暗号化のためにボールト・サービスと統合されます。
次の表では、暗号化を強制するセキュリティ・ゾーン・ポリシーについて説明します。
| ポリシー | リソース・タイプ | 説明 |
|---|---|---|
deny block_volume_without_vault_key |
ブロック・ストレージ | セキュリティ・ゾーン内のブロック・ボリュームは、ボールト・サービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。 |
deny boot_volume_without_vault_key |
ブロック・ストレージ | セキュリティ・ゾーン内のブート・ボリュームは、ボールト・サービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。 |
deny buckets_without_vault_key |
オブジェクト・ストレージ | セキュリティ・ゾーン内のオブジェクト・ストレージ・バケットは、ボールト・サービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。 |
deny file_system_without_vault_key |
ファイル・ストレージ | セキュリティ・ゾーン内のファイル・システムは、ボールト・サービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。 |
データ耐久性の保証
セキュリティ・ゾーン内のリソースに対して定期的に自動バックアップを実行する必要があります。
次の表では、データ耐久性を強制するセキュリティ・ゾーン・ポリシーについて説明します。
| ポリシー | リソース・タイプ | 説明 |
|---|---|---|
deny database_without_backup |
データベース(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム) |
セキュリティ・ゾーン内のデータベースは、自動バックアップを実行するように構成する必要があります。 データベースのバックアップおよびリカバリを参照してください。 |
データ・セキュリティの保証
セキュリティ・ゾーン内のデータは特権的とみなされ、セキュリティ・ゾーンの外部にコピーできません。
次の表では、データ・セキュリティを強制するセキュリティ・ゾーン・ポリシーについて説明します。
| ポリシー | リソース・タイプ | 説明 |
|---|---|---|
deny database_not_in_security_zone_create_from_backup_in_security_zone |
データベース(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム) | セキュリティ・ゾーン内のデータベース・バックアップを使用して、同じセキュリティ・ゾーンにないデータベースを作成することはできません。 |
deny database_in_security_zone_create_clone_not_in_security_zone |
データベース(仮想マシンDBシステム、Autonomous Database) | セキュリティ・ゾーン内のデータベースをクローニングして、同じセキュリティ・ゾーンにないデータベースを作成することはできません。 |
deny file_system_in_security_zone_clone_to_compartment_not_in_security_zone |
ファイル・ストレージ | セキュリティ・ゾーンにファイル・システムをクローニングして、同じセキュリティ・ゾーンにないファイル・システムを作成することはできません。 |
Oracleが承認する構成のみの使用
Oracleでは、セキュリティ・ゾーン内のリソースに対して特定のセキュリティ機能を有効にして構成する必要があります。1つの例は、コンピュート・インスタンス(コンピュート)のオペレーティング・システム構成です。
次の表では、Oracleが承認する構成が必要なセキュリティ・ゾーン・ポリシーについて説明します。
| ポリシー | リソース・タイプ | ポリシーの説明 |
|---|---|---|
deny instance_without_sanctioned_image |
コンピュート、コンピュート管理 |
プラットフォーム・イメージを使用して、セキュリティ・ゾーンにコンピュート・インスタンスを作成する必要があります。 カスタム・イメージからセキュリティ・ゾーンにコンピュート・インスタンスを作成することはできません。 |
deny free_database_creation |
データベース(すべてのタイプ) | セキュリティ・ゾーンにAlways Freeデータベース・インスタンスを作成することはできません。 |
deny security_list_to_allow_traffic_to_restricted_port |
仮想ネットワーク(VCN) | セキュリティ・ゾーン内の制限付きポートへのトラフィックを許可するセキュリティ・リストを作成または変更することはできません。 |
deny delete_network_security_group |
仮想ネットワーク(VCN) | セキュリティ・ゾーン内のVCNネットワーク・セキュリティ・グループは削除できません。 |
deny load_balancer_with_weak_SSL_communication |
Load Balancer | セキュリティ・ゾーン内のロード・バランサ・リスナーのSSLポリシーは、TLS 1.2以上を使用する必要があります。 |
deny network_security_group_with_unsecure_ingress_rule |
仮想ネットワーク(VCN) | セキュリティ・ゾーン内のセキュアでないポートまたはIPアドレスへのイングレスを許可するルールでは、ネットワーク・セキュリティ・グループを追加できません。 |
deny revoke_certificate_authority_version |
証明書管理 | セキュリティ・ゾーン内の認証局(CA)バンドル内の中間証明書を取り消すことはできません。 |
deny delete_vcn |
仮想ネットワーク(VCN) | セキュリティ・ゾーン内のVCNは削除できません。 |
deny update_route_table |
仮想ネットワーク(VCN) | セキュリティ・ゾーンのVCNルート表は更新できません。 |
deny update_network_security_group_ingress_rule |
仮想ネットワーク(VCN) | セキュリティ・ゾーン内のネットワーク・セキュリティ・グループのイングレス・ルールは変更できません。 |
deny update_network_security_group_egress_rule |
仮想ネットワーク(VCN) | セキュリティ・ゾーン内のネットワーク・セキュリティ・グループのエグレス・ルールは変更できません。 |
deny delete_vcn_security_list |
仮想ネットワーク(VCN) | セキュリティ・ゾーン内のVCNセキュリティ・リストは削除できません。 |
deny update_vcn_security_list_ingress_rules |
仮想ネットワーク(VCN) | セキュリティ・ゾーン内のVCNセキュリティ・リストのイングレス・セキュリティ・ルールは変更できません。 |
deny update_vcn_security_list_egress_rules |
仮想ネットワーク(VCN) | セキュリティ・ゾーン内のVCNセキュリティ・リストのイングレス・セキュリティ・ルールは変更できません。 |
deny update_DHCP_options |
仮想ネットワーク(VCN) | セキュリティ・ゾーンのDHCPオプションは更新できません。 |
deny update_local_peering_gateway |
仮想ネットワーク(VCN) | セキュリティ・ゾーン内のローカル・ピアリング・ゲートウェイは更新できません。 |
deny detach_volume |
ブロック・ストレージ | セキュリティ・ゾーン内のボリュームはデタッチできません。 |
deny delete_certificate_authority |
証明書管理 | セキュリティ・ゾーン内の認証局は削除できません。 |