セキュリティ・ゾーン・ポリシー

セキュリティ・ゾーンでリソースを作成および更新すると、Oracle Cloud Infrastructureでは、セキュリティ・ゾーンに関連付けられたポリシーに対してこれらの操作が検証されます。違反したポリシーがある場合、操作は拒否されます。

セキュリティ・ゾーン・ポリシーは、セキュリティ原則別に分類されます。各ポリシーは、コンピュート、ネットワーキング、オブジェクト・ストレージ、データベース・リソースなど、1つ以上のリソースに影響します。

注意

データベース・ポリシーは、Oracle Exadata Cloud @Customerには適用されません。

生産資源移動の制限

データの整合性を確保するために、特定のリソースをセキュリティ・ゾーンから標準コンパートメントに移動することはできません。安全性が低い可能性があるためです。すべてのセキュリティ・ゾーン・ポリシーが満たされないかぎり、既存のリソースを標準コンパートメントからセキュリティ・ゾーンに移動することもできません。

次の表では、リソース移動を制限するセキュリティ・ゾーン・ポリシーについて説明します。

ポリシー サービス 説明
deny block_volume_in_security_zone_​move_to_compartment_​not_in_security_zone ブロック・ボリューム ブロック・ボリュームをセキュリティ・ゾーンから標準コンパートメントに移動できません。
deny boot_volume_in_security_zone_​move_to_compartment_​not_in_security_zone ブロック・ボリューム ブート・ボリュームをセキュリティ・ゾーンから標準コンパートメントに移動できません。
deny instance_in_security_zone_​move_to_compartment_​not_in_security_zone コンピュート コンピュート・インスタンスをセキュリティ・ゾーンから標準コンパートメントに移動できません。
deny instance_not_in_security_​zone_move_to_compartment_​in_security_zone コンピュート コンピュート・インスタンスを標準コンパートメントからセキュリティ・ゾーンのコンパートメントに移動することはできません。
deny subnet_in_security_zone_​move_to_compartment_​not_in_security_zone ネットワーク サブネットをセキュリティゾーンから標準コンパートメントに移動することはできません。
deny bucket_in_security_zone_​move_to_compartment_​not_in_security_zone オブジェクト・ストレージ セキュリティ・ゾーンから標準コンパートメントにバケットを移動することはできません。
deny db_instance_move_to_​compartment_not_in_​security_zone データベース(すべてのタイプ) セキュリティ・ゾーンから標準コンパートメントにはデータベースを移動できません。
deny database_with_dataguard_​association_move_to_​compartment_in_security_zone データベース(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム) Data Guardアソシエーションがセキュリティ・ゾーンにない場合は、標準コンパートメントからセキュリティ・ゾーンにデータベースを移動できません。

リソース関連の制限

リソースのセキュリティー状況に影響を与えるコンポーネントは、セキュリティーゾーンにも配置する必要があります。セキュリティ・ゾーンにないリソースは脆弱である可能性があります。

次の表では、リソース関連付けを制限するセキュリティ・ゾーン・ポリシーについて説明します。

ポリシー サービス 説明
deny block_volume_not_in_security_​zone_attach_to_instance_​in_security_zone コンピュート、ブロック・ボリューム セキュリティ・ゾーンのコンピュート・インスタンスにアタッチされているすべてのブロック・ストレージ・ボリュームは、それ自体がセキュリティ・ゾーンにある必要があります。
deny block_volume_in_security_​zone_attach_to_instance_​not_in_security_zone コンピュート、ブロック・ボリューム セキュリティ・ゾーンにないコンピュート・インスタンスは、セキュリティ・ゾーンにあるブロック・ストレージ・ボリュームにアタッチできません。
deny boot_volume_not_in_security_​zone_attach_to_instance_​in_security_zone コンピュート、ブロック・ボリューム セキュリティ・ゾーン内のコンピュート・インスタンスのブート・ボリュームもセキュリティ・ゾーン内に存在する必要があります。
deny boot_volume_in_security_​zone_attach_to_instance_​not_in_security_zone コンピュート、ブロック・ボリューム セキュリティ・ゾーンにないコンピュート・インスタンスは、セキュリティ・ゾーンにあるブート・ボリュームにアタッチできません。
deny instance_in_security_zone_​launch_from_boot_volume_​not_in_security_zone コンピュート、ブロック・ボリューム セキュリティ・ゾーン内のコンピュート・インスタンスのブート・ボリュームもセキュリティ・ゾーン内に存在する必要があります。
deny instance_not_in_security_​zone_launch_from_boot_​volume_in_security_zone コンピュート、ブロック・ボリューム セキュリティ・ゾーンにないコンピュート・インスタンスは、セキュリティ・ゾーンにあるブート・ボリュームを使用できません。
deny attached_block_volume_not_​in_security_zone_move_to_​compartment_in_security_zone コンピュート、ブロック・ボリューム ブロック・ボリュームは、セキュリティ・ゾーンにないコンピュート・インスタンスにアタッチされている場合、セキュリティ・ゾーンに移動できません。
deny attached_boot_volume_not_in_​security_zone_move_to_​compartment_in_security_zone コンピュート、ブロック・ボリューム ブート・ボリュームは、セキュリティ・ゾーンにないコンピュート・インスタンスにアタッチされている場合、セキュリティ・ゾーンに移動できません。
deny instance_in_security_zone_​in_subnet_not_in_security_​zone コンピューティング、ネットワーキング セキュリティ・ゾーンのコンピュート・インスタンスでは、セキュリティ・ゾーンにも存在するサブネットを使用する必要があります。
deny dataguard_association_​with_db_instances_not_in_​security_zones データベース(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム) セキュリティ・ゾーン内のデータベースは、セキュリティ・ゾーン内にも存在する場合にのみ、別のデータベース(プライマリ/スタンバイ)とData Guardの関連付けを持つことができます。
deny db_instance_subnet_not_​in_security_zone データベース(すべてのタイプ) セキュリティ・ゾーンのデータベースでは、セキュリティ・ゾーンにも存在するサブネットを使用する必要があります。
deny db_resource_association_​not_in_security_zone データベース(Exadata DBシステム)

セキュリティ・ゾーンのExadataインフラストラクチャ・リソースは、セキュリティ・ゾーンにないコンテナ・データベースまたはVMクラスタに関連付けることはできません。

パブリック・アクセスの拒否

セキュリティ・ゾーン内のリソースにパブリック・インターネットからアクセスできないようにする必要があります。

プライベート・サブネットを作成する場合、そのサブネットで起動されたコンピュート・インスタンスはパブリックIPアドレスを持つことができません。この制限により、サブネット内のコンピュート・インスタンスがインターネットにアクセスできなくなります。プライベート・サブネット内のコンピュート・インスタンスの場合、サービス・ゲートウェイにより、Object Storageなどのパブリック・サービスへのプライベート・アクセスが可能になります。Overview of Networkingを参照してください。

次の表では、ネットワークアクセスを制限するセキュリティーゾーンポリシーについて説明します。

ポリシー サービス 説明
deny public_subnets ネットワーク セキュリティ・ゾーンのサブネットはパブリックにできません。すべてのサブネットはプライベートである必要があります。
deny internet_gateway ネットワーク セキュリティ・ゾーン内のVCNにはインターネット・ゲートウェイを追加できません。
deny public_buckets オブジェクト・ストレージ セキュリティ・ゾーンのオブジェクト・ストレージ・バケットはパブリックにできません。
deny db_instance_public_​access データベース(すべてのタイプ) セキュリティ・ゾーン内のデータベースをパブリック・サブネットに割り当てることはできません。プライベート・サブネットを使用する必要があります。

暗号化が必要

セキュリティ・ゾーン内のリソースは、顧客管理キーを使用して暗号化する必要があります。データは、転送中および保存中に暗号化する必要があります。

Oracle Cloud Infrastructure Vaultでは、データを保護するマスター暗号化キーと、リソースに安全にアクセスするために使用するシークレット資格証明を管理できます。また、暗号化キーを定期的にローテーションすることもできます。

Object StorageやBlock Volumeなど、多くのサービスが暗号化のためにVaultサービスと統合されます。

次の表では、暗号化を強制するセキュリティ・ゾーン・ポリシーについて説明します。

ポリシー サービス 説明
deny block_volume_without_​vault_key ブロック・ボリューム セキュリティ・ゾーンのブロック・ボリュームでは、Vaultサービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。
deny boot_volume_without_​vault_key ブロック・ボリューム セキュリティ・ゾーンのブート・ボリュームでは、Vaultサービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。
deny buckets_without_vault_key オブジェクト・ストレージ セキュリティ・ゾーンのObject Storageバケットでは、Vaultサービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。

データ永続性の確保

自動バックアップは、セキュリティ・ゾーンのリソースに対して定期的に実行する必要があります。

次の表では、データ永続性を適用するセキュリティ・ゾーン・ポリシーについて説明します。

ポリシー サービス 説明
deny database_without_backup データベース(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム)

セキュリティ・ゾーン内のデータベースは、自動バックアップを実行するように構成する必要があります。

「Oracle Cloud Infrastructure Object Storageへのデータベースのバックアップ」を参照してください。

データ・セキュリティの確保

セキュリティ・ゾーンのデータは特権付きとみなされ、標準コンパートメントにコピーできません。

次の表では、データ・セキュリティを強制するセキュリティ・ゾーン・ポリシーについて説明します。

ポリシー サービス 説明
deny database_not_in_security_​zone_create_from_backup_​in_security_zone データベース(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム) セキュリティ・ゾーンでデータベース・バックアップを使用して、セキュリティ・ゾーンにないデータベースを作成することはできません。
deny database_in_security_​zone_create_clone_not_​in_security_zone データベース(仮想マシンDBシステム、自律型データベース) セキュリティ・ゾーンのデータベースをクローニングして、セキュリティ・ゾーンにないデータベースを作成することはできません。

Oracleによって承認された構成のみを使用

Oracleでは、セキュリティ・ゾーン内のリソースに対して特定のセキュリティ機能を有効化および構成する必要があります。たとえば、コンピュート・インスタンスのオペレーティング・システム構成です。

次の表に、Oracleによって承認された構成を必要とするセキュリティ・ゾーン・ポリシーを示します。

ポリシー サービス ポリシーの説明
deny instance_without_​sanctioned_image コンピュート

セキュリティ・ゾーン内のすべてのコンピュート・インスタンスは、Oracle提供のイメージを使用して作成する必要があります。

セキュリティ・ゾーンのカスタム・イメージからコンピュート・インスタンスを作成することはできません。

deny free_database_creation データベース(すべてのタイプ) セキュリティ・ゾーンに常時空きデータベースを作成することはできません。