OCIの資格証明失効通知の有効化について学習

Security Operations(SecOps)チームは、IAMシークレットのタイムリーなローテーションを追跡し、確保することが困難です。この自動化ソリューションは、Oracle Cloud Infrastructure(OCI)の資格情報の早期失効通知を有効にすることで、セキュリティの向上に役立ちます。

OCI Identity and Access Managementシークレットは、APIキー、データベースおよびクラウド資格証明、証明書、SSHキー、または格納、アクセスおよび配布される認証トークンなどの資格証明です。

コミュニティのベストプラクティスでは、定期的にシークレットをローテーションすることをお勧めします。1つのキーで暗号化するデータが多いほど、そのキーが危険にさらされると、データが公開されます。キーの使用時間が長くなるほど、なんらかの方法でリークされる可能性が高くなります。キーをローテーションすることで、データを区分化して、キーがリークされる影響を制限します。したがって、早期通知の取得は、ユーザーとSecOpsチームにとって重要です。

OCI Identity and Access Management資格証明をローテーションすると、危険にさらされたアカウントまたは終了したアカウントに関連付けられたアクセス・キーの商談のウィンドウが短縮されます。Oracle Cloud Guardは、セキュリティ・ポスチャを監視し、OCI Identity and Access Managementシークレットの有効期限にイベントをトリガーするクラウド・ネイティブ・サービスです。90日ごとにIAM資格証明をローテーションすることをお薦めします。

アーキテクチャ

高度な通知により、ユーザーはシークレットをローテーションし、アプリケーション・ワークロードを更新できます。このOCIアーキテクチャでは、サーバーレス・コンピュート・サービスであるOCI Functionsを使用して、OCI Identity and Access ManagementサービスからJSONデータを読み取ります。

次の図は、SecOpsチームにレポートを送信し、早期電子メール通知をユーザーに送信するワークフローを示しています。

credential-expiry-notif-workflow.pngの説明が続きます
図credential-expiry-notif-workflow.pngの説明

credential-expiry-notif-workflow-oracle.zip

ワークフローには、SecOpsチームと自動化の2つのセクションがあります。SecOpsチームが構成を完了すると、OCI FunctionsおよびOCIリソース・スケジューラ・サービスが自動化を処理します。

  1. SecOpsチームは、OCI関数のしきい値、免除済ユーザーおよびその他のパラメータを構成して、ワークフローを開始します。SecOpsチームがOCI Functionsのパラメータを構成すると、ワークフローは完全に自動化で行われます。
  2. OCIスケジューラがデータをOCI Functionsに送信します。
  3. OCI Functionsは、APIキー、認証コードおよび顧客秘密キーをポーリングし、それがしきい値を超えているかどうかを判断することで、有効期限を検証します。
  4. 「しきい値を超える」決定は、失効が警告、クリティカルまたは失効のいずれであるかを決定し、必要なレポートを決定するために次の決定に送信します。
  5. レポートは、オプトイン週次/月次レポートの決定によって決まります。
    • はい: 構成が週次レポートまたは月次レポートにオプトインすると、電子メール・レポートがSecOpsチームに自動的に送信され、ワークフローが終了します。
    • いいえ: 構成に週次レポートまたは月次レポートが含まれていない場合、自動化によってユーザーが免除されるかどうかが決定されます。
  6. ユーザー免除の決定により、自動化が決定されます。
    • はい: ユーザーが免除されると、自動化によってユーザーに電子メール・レポートが送信されます。ワークフローが終了します。
    • いいえ: ユーザーが免除されない場合、自動化によって期限切れのシークレットが削除され、ユーザーに電子メール・レポートが送信されます。ワークフローが終了します。

このアーキテクチャでは、次のコンポーネントがサポートされています。

  • アイデンティティおよびアクセス管理(IAM)

    Oracle Cloud Infrastructure Identity and Access Management(IAM)は、Oracle Cloud Infrastructure(OCI)およびOracle Cloud Applicationsのアクセス・コントロール・プレーンです。IAM APIおよびユーザー・インタフェースを使用すると、アイデンティティ・ドメインおよびアイデンティティ・ドメイン内のリソースを管理できます。各OCI IAMアイデンティティ・ドメインは、スタンドアロンのアイデンティティおよびアクセス管理ソリューション、または異なるユーザー集団を表します。

  • OCIリソース・スケジューラ

    Oracle Cloud Infrastructure Resource Schedulerサービスは、OCI Identity and Access Managementサービスと統合されており、ネイティブOCIアイデンティティ機能による簡単な認証を提供します。OCIリソース・スケジューラは、ルート・コンパートメント・レベルでスケジュールに基づいてテナンシまたは管理対象テナンシのグループのリソースを処理します。

    このサービスでは、テナンシ内のデータベースおよびコンピュートOCIリソースの集合に対してアクションを実行するスケジュールを作成および管理して、それらのライフサイクルおよび操作時間を管理できます。

  • クラウド・ガード

    Oracle Cloud Guardを使用して、Oracle Cloud Infrastructure内のリソースのセキュリティをモニターおよびメンテナンスできます。クラウド・ガードでは、ディテクタ・レシピを使用して、リソースでセキュリティの弱点を調べたり、特定のリスクのあるアクティビティについてオペレータおよびユーザーをモニターしたりするために定義できます。構成の誤りやセキュアでないアクティビティが検出されると、クラウド・ガードは修正アクションを推奨し、ユーザーが定義できるレスポンダ・レシピに基づいてそれらのアクションの実行を支援します。

  • モニタリング

    Oracle Cloud Infrastructure Monitoringサービスは、メトリックを使用してクラウド・リソースをアクティブおよびパッシブに監視し、リソースおよびアラームを監視して、これらのメトリックがアラーム指定のトリガーを満たしたときに通知します。

  • 関数

    Oracle Cloud Infrastructure Functionsは、完全に管理された、マルチテナントのスケーラビリティが高いオンデマンドのFunctions-as-a-Service (FaaS)プラットフォームです。これは、Fn Projectのオープン・ソース・エンジンによって機能します。OCI Functionsでは、コードをデプロイし、直接コールするか、イベントに応答してトリガーできます。OCI Functionsは、Oracle Cloud Infrastructure RegistryでホストされているDockerコンテナを使用します。

  • 電子メール配信

    Oracle Cloud Infrastructure Email Deliveryは、スケーラビリティ、コスト効率および信頼性に優れた電子メール配信サービスであり、ミッションクリティカルなマーケティング、通知およびトランザクション通信(受領、不正検知アラート、多要素による本人確認、パスワード・リセットなど)のために、アプリケーションで生成された大量の電子メールを送信します。

必須サービスおよびロールについて

このソリューションには、次のOracle Cloud Infrastructure (OCI)サービスおよびロールが必要です:

  • OCI Vault
  • OCI関数

  • OCIリソース・スケジューラ

  • OCI Identity and Access Management
  • OCIモニタリング
  • Oracle Cloud Guard

各サービスに必要なロールは次のとおりです。

サービス名: ロール 必須...
OCI Vault: シークレット 権限の管理
OCI Functions: 適切なポリシーがファンクション関連リソースへのアクセス権を付与するグループに属するOCIユーザー・アカウントを持つファンクション開発者。 OCI Functionsを作成してデプロイします。
OCIリソース・スケジューラ: スケジュール スケジュールを作成および管理します。
OCI Identity and Access Management: ポリシー 必要なポリシーを作成します。

必要なものを得るには、Oracle製品、ソリューションおよびサービスを参照してください。

セキュリティに関する考慮事項

このソリューションを設計するときは、次のセキュリティ要件を考慮してください。

推奨
  1. 各重大度(警告、クリティカルまたは有効期限)のしきい値を超えた後、テナンシ内のすべてのアイデンティティ・ドメインについて、ユーザーに単一の電子メールを送信します。
  2. 構成されたパラメータに従って、統合レポートをSecOpsに送信します。たとえば、週次や月次などです。
必須
  1. ユーザーが免除済リストに追加しないかぎり、自動化はシークレット・ポスト失効を削除する必要があります。
  2. 構成されたパラメータごとに、統合レポートをSecOpsに送信します。たとえば、週次や月次などです。
  3. SMTP (Simple Mail Transfer Protocol)パスワードをOracle Cloud Infrastructure Vaultに格納します。
  4. 自動化ソリューションの再デプロイメントを回避するために、様々な構成パラメータを受け入れます。