Oracle Cloud Infrastructureドキュメント

セキュリティ・ゾーンの概要

セキュリティ・ゾーンを使用すると、コンピュートネットワーキングオブジェクト・ストレージブロック・ボリュームおよびデータベース・リソースを含むOracle Cloud Infrastructure内のリソースがセキュリティ・ポリシーに準拠していることを保証できます。

セキュリティ・ゾーンは、1つ以上のコンパートメントおよびセキュリティ・ゾーン・レシピに関連付けられます。セキュリティ・ゾーンでリソースを作成および更新すると、Oracle Cloud Infrastructureでは、これらの操作がセキュリティ・ゾーン・レシピで定義されたポリシーのリストに対して検証されます。セキュリティ・ゾーン・ポリシーに違反している場合、操作は拒否されます。デフォルトでは、コンパートメントとサブコンパートメントは同じセキュリティ・ゾーンにありますが、サブコンパートメントに対して異なるセキュリティ・ゾーンを作成することもできます。

たとえば、セキュリティ・ゾーン・ポリシーは、オブジェクト・ストレージでのパブリック・バケットの作成を禁止します。このポリシーを持つセキュリティ・ゾーンにパブリック・バケットを作成しようとするか、既存のストレージ・バケットを変更してパブリックにしようとすると、エラー・メッセージが表示されます。同様に、既存のリソースがセキュリティ・ゾーン内のすべてのポリシーを満たさないかぎり、既存のリソースをセキュリティ・ゾーン内のコンパートメントに移動することはできません。

テナンシには、最大セキュリティ・レシピという事前定義済レシピがあり、これにはキュレートされた多数のセキュリティ・ゾーン・ポリシーが含まれています。このレシピはOracleによって管理され、ユーザーは変更できません。ただし、特定のセキュリティ要件を満たす独自のレシピを作成できます。

セキュリティ・ゾーンを作成する前に、Oracle Cloud Guardを有効にする必要があります。クラウド・ガードは、セキュリティ・ゾーンの前に作成された既存のリソースのポリシー違反を検出するのに役立ちます。

ヒント

サービスの概要ビデオを視聴してください。

セキュリティ・ゾーンの概念

セキュリティ・ゾーンに関連する主な概念およびコンポーネントを理解します。

次の図は、セキュリティ・ゾーンの概要を示しています。


リージョン内のリソースは、2つのコンパートメントに編成されています。コンパートメントの1つは、セキュリティ・ゾーン、セキュリティ・ゾーン・レシピおよびクラウド・ガード内のセキュリティ・ゾーン・ターゲットに関連付けられています。
セキュリティ・ゾーン
コンパートメント(および0個以上のサブコンパートメント)とセキュリティ・ゾーン・レシピ間のアソシエーション。セキュリティ・ゾーンのリソース操作は、レシピ内のすべてのポリシーに対して検証されます。
セキュリティ・ゾーンからサブコンパートメントを明示的に削除するか、サブコンパートメント用に別のゾーンを作成しないかぎり、セキュリティ・ゾーンにはコンパートメントとそのすべてのサブコンパートメントが含まれます。
コンパートメントを複数のセキュリティ・ゾーンに関連付けることはできません。
セキュリティ・ゾーン・レシピ
レシピを使用するセキュリティ・ゾーンにOracle Cloud Infrastructureが適用するセキュリティ・ゾーン・ポリシーの集合。
セキュリティ・ゾーン・ポリシー
セキュリティ・ゾーン内のリソースのセキュリティ要件。セキュリティ・ゾーンがポリシーを有効にすると、そのポリシーに違反しようとするアクションは拒否されます。
セキュリティ・ゾーン・ターゲット(クラウド・ガード)
クラウド・ガードがセキュリティ・ゾーン・ポリシー違反についてリソースを定期的にチェックするコンパートメント。
サブコンパートメントに対して個別のターゲットを作成しないかぎり、ターゲットにはすべてのサブコンパートメントが含まれます。
ターゲットは1つ以上のディテクタ・レシピに関連付けられています。各ディテクタ・レシピでは、潜在的なセキュリティ問題のリストを定義します。

セキュリティ・ゾーン・ポリシーは、次の点でIAMポリシーとは異なります:

  • 管理者は、コンパートメント内の特定のリソースを管理する権限をユーザーに付与するIAMポリシーを作成します。
  • セキュリティ・ゾーン・ポリシーは、これらの管理操作がOracleの最大セキュリティ・アーキテクチャおよびベスト・プラクティスに準拠することを保証します。
  • セキュリティ・ゾーン・ポリシーは、どのユーザーが操作を実行しているかに関係なく検証されます。
  • セキュリティ・ゾーン・ポリシーは、特定のアクションを拒否しますが、権限を付与しません。

セキュリティの原則

一般的に、セキュリティ・ゾーン・ポリシーは、次のコア・セキュリティ原則に準拠しています。

  • セキュリティ・ゾーンの外部のコンパートメントは安全性が低い可能性があるため、セキュリティ・ゾーン内のリソースをそのようなコンパートメントに移動することはできません。
  • セキュリティ・ゾーンのリソースに必要なすべてのコンポーネントも同じセキュリティ・ゾーンに配置されている必要があります。セキュリティ・ゾーンにないリソースは脆弱で、別のセキュリティ・ゾーンのリソースはセキュリティ状態が低い可能性があります。

    たとえば、セキュリティ・ゾーン内のインスタンス(コンピュート)は、同じセキュリティ・ゾーンにないブート・ボリューム を使用できません。

  • セキュリティ・ゾーン内のリソースは、パブリック・インターネットからアクセスできない必要があります。
  • セキュリティ・ゾーン内のリソースは、顧客管理キーを使用して暗号化する必要があります。
  • セキュリティ・ゾーン内のリソースは、定期的に自動バックアップする必要があります。
  • セキュリティ・ゾーン内のデータは特権的とみなされ、セキュリティ・ゾーンの外部にコピーできません。これは安全性が低い可能性があるためです。
  • セキュリティ・ゾーン内のリソースは、Oracleが承認した構成およびテンプレートのみを使用する必要があります。

セキュリティ・ゾーンおよびクラウド・ガード

コンパートメント、セキュリティ・ゾーン、レシピおよびターゲット間の関係を理解します。

コンパートメントのセキュリティ・ゾーンを作成すると、セキュリティ・ゾーンのポリシーに違反するリソースの作成や変更などの操作が自動的に防止されます。ただし、セキュリティ・ゾーンの前に作成された既存のリソースがポリシーに違反することもあります。セキュリティ・ゾーンクラウド・ガードと統合され、既存のリソースのポリシー違反を識別します。

クラウド・ガードは、構成、メトリックおよびログのセキュリティ脆弱性について、すべてのクラウド・リソースをモニターするための中央ダッシュボードを提供するOracle Cloud Infrastructureサービスです。問題が検出されると、クラウド・ガード構成に基づいて、修正処理を提案、支援または実行できます。

クラウド・ガードの主な概念を次に示します:

ディテクタ・レシピ
クラウド・ガードでモニターするクラウド・リソースおよびセキュリティの問題のタイプを定義します
クラウド・ガードでは、一部のデフォルトのOracle管理ディテクタ・レシピが提供され、カスタム・レシピを作成することもできます。
ターゲット
クラウド・ガードでモニターし、クラウド・ガード・レシピに関連付けられているコンパートメント。
ターゲットは複数のディテクタ・レシピに関連付けることができますが、各タイプ(構成、アクティビティなど)の1つのみに関連付けることができます。
セキュリティ・ゾーン・ターゲット
セキュリティ・ゾーンにも関連付けられているクラウド・ガード・ターゲットのタイプ。ターゲットは、セキュリティ・ゾーン・ポリシー違反についてコンパートメント内のリソースをモニターします。
コンパートメントのセキュリティ・ゾーンを作成すると、クラウド・ガードによって次のタスクが完了します:
  • コンパートメントおよび子コンパートメントの既存のクラウド・ガード・ターゲットをすべて削除します
  • コンパートメントのセキュリティ・ゾーン・ターゲットの作成
  • セキュリティ・ゾーン・ターゲットにデフォルトのOracle管理ディテクタ・レシピを追加します

次の図は、新しいセキュリティ・ゾーンのクラウド・ガード構成を示しています:


セキュリティ・ゾーンには、親コンパートメントと2つの子コンパートメントがあります。親コンパートメントは、クラウド・ガードのセキュリティ・ゾーン・ターゲットに関連付けられています。セキュリティ・ゾーン・ターゲットは、デフォルトのディテクタ・レシピに関連付けられています。

親コンパートメントがすでにセキュリティ・ゾーン内にあるサブコンパートメントのセキュリティ・ゾーンを作成すると、クラウド・ガードによって次のタスクが実行されます:

  • サブコンパートメント用の個別のセキュリティ・ゾーン・ターゲットの作成
  • 新しいセキュリティ・ゾーン・ターゲットにデフォルトのOracle管理ディテクタ・レシピを追加します

親コンパートメントの既存のクラウド・ガード・ターゲットは変更されません。

次の図は、サブコンパートメント内の新しいセキュリティ・ゾーンのクラウド・ガード構成を示しています:


親コンパートメントはセキュリティ・ゾーンにあり、子コンパートメントは別のセキュリティ・ゾーンにあります。各コンパートメントは、クラウド・ガードの異なるセキュリティ・ゾーン・ターゲットに関連付けられています。子コンパートメントのセキュリティ・ゾーン・ターゲットは、デフォルトのディテクタ・レシピに関連付けられています。

1つのコンパートメントが複数のセキュリティ・ゾーン内にあってはならず、複数のクラウド・ガード・ターゲット内にあってもなりません。

クラウド・ガードの詳細は、クラウド・ガードの概念を参照してください。

セキュリティ・ゾーンへのアクセス方法

セキュリティ・ゾーンには、コンソール(ブラウザベースのインタフェース)、REST API、コマンドライン・インタフェース(CLI)またはSDKを使用してアクセスできます。

コンソール、APIおよびCLIに関する手順は、このガイド全体のトピックに記載されています。使用可能なSDKのリストについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

ノート

セキュリティ・ゾーンAPIは、クラウド・ガード・エンドポイントから使用できます。

コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページの上部にあるナビゲーション・メニューを開き、 「Infrastructureコンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)で、認証および認可のためにIAMと統合されます。

組織の管理者は、グループ、コンパートメントおよびポリシーを設定して、どのユーザーがどのサービスおよびリソースにアクセスできるかと、そのアクセス権のタイプを制御する必要があります。たとえば、ポリシーは、ユーザーの作成、VCN (仮想クラウド・ネットワーク)の作成と管理、インスタンスの起動、およびバケットの作成を実行できるユーザーを制御します。

セキュリティ

IAMポリシーの作成に加えて、セキュリティ・ゾーンに関するその他のセキュリティのベスト・プラクティスに従います。

セキュリティ・ゾーンの保護を参照してください。

制限

Oracle Cloud Infrastructureにサインアップする場合、サービス制限のセットがテナンシに対して構成されます。これらの制限により、作成できるセキュリティ・ゾーン・リソースの総数が制限されます。

制限の引上げをリクエストする手順は、サービス制限を参照してください。

リソース識別子

Oracle Cloud Infrastructureのほとんどのタイプのリソースと同様に、セキュリティ・ゾーン・リソースには、Oracle Cloud ID (OCID)と呼ばれる、Oracleによって割り当てられた一意の識別子があります。

OCIDのフォーマットおよびその他のリソース識別方法の詳細は、リソース識別子を参照してください。

モニタリング

セキュリティ・ゾーンは、Oracle Cloud Infrastructureの他のモニタリング・サービスと統合されます。

  • 監査サービスは、クラウド・ガードのすべてのパブリックAPIエンドポイントへのコールをログ・エントリとして自動的に記録します。これらのエンドポイントには、すべてのセキュリティ・ゾーン操作が含まれます。「監査の概要」を参照してください。
  • イベント・サービスを使用すると、開発チームは、セキュリティ・ゾーンのリソースの状態が変化したときに自動的に対応できます。セキュリティ・ゾーン・イベントを参照してください。

開始

開始するには、Oracle管理またはカスタム・レシピを使用して既存のコンパートメントのセキュリティ・ゾーンを作成し、ポリシー違反がないか確認します。

セキュリティ・ゾーンの開始を参照してください。