セキュアなネットワーク・アクセスの保証
次のベスト・プラクティスを採用して、仮想クラウド・ネットワーク、サブネット、ロード・バランサおよびその他のネットワーキング・リソースを保護します。
ネットワークアクセス制御の実装
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、ネットワーク・アーキテクト
- 適切なIAMポリシーを定義して、ネットワーク・リソースへのアクセスを、ネットワーク・リソースの管理を許可されているユーザーおよびグループのみに制限します。
- VCNの階層化サブネット戦略を形成します。
- ロード・バランサ用のDMZサブネット。
- 侵入検出システム(IDS)を実行するWebアプリケーション・サーバーやインスタンスなど、外部からアクセス可能なホスト用のパブリック・サブネット。
- データベースなど内部ホスト用のプライベート・サブネット。
- プライベート・サブネットにアタッチされているコンピュート・インスタンスは、プライベートIPアドレスのみを持つことができます。
- セキュリティ・センシティブ・ホスト(DBシステムなど)をプライベート・サブネットにアタッチします。このようなホストからインターネットへの接続には、NATゲートウェイを使用します。ホストが他のOracle Cloud Infrastructureサービスにアクセスできるようにするには、サービス・ゲートウェイを使用します。
- ネットワーク・セキュリティ・グループは、ネットワーク・セキュリティ・グループによって制御されるvNICs間を流れるトラフィックをきめ細かく制御します。
- セキュリティ・リストは、サブネット内外に流れるトラフィックを制御します。
- ネットワーク・セキュリティ・グループを使用して、プライベート・サブネットとパブリック・サブネットの両方のリソースへのアクセスを制御します。
- アプリケーションの層ごとにセキュリティ・グループを作成することで、ワークロードに必要なネットワーク・フローのみを許可します。
- アプリケーション層内またはアプリケーション層間で不要な潜在的トラフィックを許可しないでください。
- 必要な場合を除き、アプリケーション層が他の層と通信できないようにします。
- 詳細なセキュリティ・ルールを使用して、VCN内、インターネット、ピアリング・ゲートウェイを介して接続されている他のVCNおよびオンプレミス・ホストとの通信を規制します。
- 侵入検出システムを設定し、すべての送信トラフィックをスキャンするには、VCNルート表機能を使用します。
- VCNサブネット・フロー・ログは、VCN内を流れるトラフィックをログに記録します。VCNサブネットフローのログをオンにし、その内容を定期的にモニターします。
- パブリック対応HTTPSサービスに対してWeb Application Firewallを有効にします。
ロード・バランサの保護
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、ネットワーク・アーキテクト
- ロード・バランサでTLSを終了するには、HTTPロード・バランサを使用します。バックエンド・サーバーでTLSを終了するには、TCPロード・バランサを使用します。
- ネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用して、ロード・バランサに対するネットワーク・アクセスを構成できます。
- IAMポリシーを定義して、ロード・バランサを管理する権限を最小限のユーザーおよびグループに制限します。
ネットワーク・ソースを使用したアクセスの制限
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、ネットワーク・アーキテクト
ネットワーク・ソースとは、定義されたIPアドレスのセットです。IPアドレスは、パブリックIPアドレスか、テナンシ内のVCNからのIPアドレスです。ネットワーク・リソースは、テナンシ(またはルート・コンパートメント)内にのみ作成でき、また他のアイデンティティ・リソースと同じようにホーム・リージョンにのみ存在することができます。
ネットワーク・ソースを使用して、次の方法でテナンシを保護できます:
- IAMポリシーでネットワーク・ソースを指定して、リソースへのアクセスを制限します。IAMは、ポリシーで指定されている場合、許可されたIPアドレスから発生したリソースへのアクセスのリクエストを検証します。たとえば、テナンシ内のオブジェクト・ストレージ・バケットへのアクセスを、企業ネットワークを介してOracle Cloud Infrastructureにサインインしているユーザーのみに制限できます。あるいは、特定のVCNの特定のサブネットに属するリソースにのみサービス・ゲートウェイを介したリクエスト発行を許可することもできます。
- テナンシの認証設定でネットワーク・ソースを指定して、コンソールへのサインインを制限します。ネットワーク・ソースで指定されたIPアドレスのみからのコンソールへのサインインを許可するようにテナンシの認証ポリシーを設定できます。ネットワーク・ソースの許可リストにないIPアドレスからサインインしようとするユーザーは、アクセスを拒否されます。
DNSゾーンおよびレコードの保護
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、ネットワーク・アーキテクト
IAMポリシーを定義して、DNSのゾーンおよびレコードを変更できるユーザーを制限します。
Oracle Cloud Infrastructureでの最大セキュリティ・ゾーンの活用
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、ネットワーク・アーキテクト
新しいプロジェクトを開始して新しいソリューションを構築する際には、次のような様々なソースから、そこに多数のベスト・プラクティスのガイダンスがあります。
- ベンダーの推奨事項
- 組織標準およびポリシー
- 外部フレームワーク
- 規制準拠
- 参照アーキテクチャ
これらのベスト・プラクティスでは、通常、認証、暗号化、ストレージ、アクセス制御など、様々なセキュリティ・トピックについて説明しています。ただし、多くの場合、ベスト・プラクティスのアドバイスは無視されます。これはすべて何度も見られています。つまり、プロジェクトのタイムライン、予算制約、ナレッジ・ギャップおよび非本番として開始される環境は、すべて関連するベスト・プラクティスに従わず、セキュアでない環境と脆弱なセキュリティ状態につながる可能性があります。
Oracle Cloud Infrastructure内の最大セキュリティ・ゾーン・サービスは、このリスクを最小限に抑えるために役立ちます。セキュリティ・ゾーンは予防的な制御であり、機密データおよびリソースが含まれているという性質上、設計上の制限があります。たとえば、「最大セキュリティ・ゾーン」は、最大セキュリティ・ポリシーが有効な状態でリリースされます。これは、パブリック・アクセスを許可しない位置であり、機密データは可能なかぎりインターネットから分離する必要があります。セキュリティ・ポリシーでは、このポリシーを解除するリソースがリアルタイムで作成されないようにすることで、この位置が強制されます。