セキュアなネットワーク・アクセスの保証
仮想クラウド・ネットワーク、サブネット、ロード・バランサおよびその他のネットワーキング・リソースを保護するために、次のベスト・プラクティスを採用します。
ネットワークアクセス制御の実装
Enterprise Architect, Security Architect, Network Architect
- 適切なIAMポリシーを定義して、ネットワーク・リソースへのアクセスを、ネットワーク・リソースの管理を許可されているユーザーおよびグループのみに制限します。
- VCNの階層化サブネット戦略を形成します:
- ロード・バランサ用のDMZサブネット。
- Webアプリケーション・サーバーや、侵入検出システム(IDS)を実行するインスタンスなど、外部からアクセス可能なホスト用のパブリック・サブネット。
- データベースなど内部ホスト用のプライベート・サブネット。
- プライベート・サブネットにアタッチされているコンピュート・インスタンスは、プライベートIPアドレスのみを持つことができます。
- セキュリティに弱いホスト(DBシステムなど)をプライベート・サブネットに接続します。このようなホストからインターネットへの接続には、NATゲートウェイを使用します。ホストが他のOracle Cloud Infrastructureサービスにアクセスできるようにするには、サービス・ゲートウェイを使用します。
- ネットワーク・セキュリティ・グループは、ネットワーク・セキュリティ・グループによって制御されるvNICs間で流れるトラフィックをきめ細かく制御します。
- セキュリティ・リストは、サブネット内外を流入できるトラフィックを制御します。IPアドレス0.0.0.0/0からのSSHトラフィックを防ぐために、デフォルトのセキュリティ・リストを変更またはデタッチしてください。
- 最小限必要なポートでセキュリティ・リストを構成します。
- ネットワーク・セキュリティ・グループを使用して、プライベート・サブネットとパブリック・サブネットの両方のリソースへのアクセスを制御します。
- アプリケーションの各層にセキュリティ・グループを作成することで、ワークロードに必要なネットワーク・フローのみを許可します。
- アプリケーション層内またはアプリケーション層間の不要な横方向トラフィックを許可しないでください。
- 必要に応じて、アプリケーション層が他の層と通信することを許可しないでください。
- Use granular security rules to regulate communication within the VCN, with the Internet, with other VCNs that are connected through peering gateways, and with on-premises hosts.
- 侵入検知システムを設定し、すべての送信トラフィックをスキャンするには、VCNルート表機能を使用します。
- VCNサブネット・フローは、VCN内で流れるトラフィックを記録します。VCNサブネット・フロー・ログを有効にし、そのコンテンツを定期的にモニターします。
- 複数のVCNを使用する場合は、Dynamic Routing Gateway (DRG)を使用してDMZ Hub VCNを作成し、東/西および南/南のトラフィックを分析します。これは、OCIネットワーク・ファイアウォールまたはサードパーティ・ネットワーク・アプライアンスのいずれかを使用して実行できます。
- パブリック対応のHTTPSサービスに対してWeb Application Firewallを有効にします。
- Oracle Cloud Infrastructure Zero Trust Packet Routingを使用して、基礎となるネットワーク・アーキテクチャとは別にネットワーク・セキュリティ・ポリシーを管理することで、データへの不正アクセスを防止します。
- OCIサービスへのセキュアなアクセスのためのサービス・ゲートウェイを実装します。
ロード・バランサの保護
Enterprise Architect, Security Architect, Network Architect
- ロード・バランサでTLSを終了するには、HTTPロード・バランサを使用します。バックエンド・サーバーでTLSを終了するには、TCPロード・バランサを使用します。
- ネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用して、ロード・バランサに対するネットワーク・アクセスを構成できます。
- IAMポリシーを定義して、ロード・バランサを管理する権限を最小限のユーザーおよびグループ・セットに制限します。
ネットワーク・ソースを使用したアクセスの制限
Enterprise Architect, Security Architect, Network Architect
ネットワーク・ソースは、定義されたIPアドレスのセットです。IPアドレスは、パブリックIPアドレスか、テナンシ内のVCNからのIPアドレスです。ネットワーク・リソースは、テナンシ(またはルート・コンパートメント)内にのみ作成でき、また他のアイデンティティ・リソースと同様にホーム・リージョンにのみ存在できます。
ネットワーク・ソースを使用して、次の方法でテナンシを保護できます:
- IAMポリシーでネットワーク・ソースを指定して、リソースへのアクセスを制限します。IAMは、ポリシーで指定されている場合、許可されたIPアドレスから発生したリソースへのアクセスのリクエストを検証します。たとえば、テナンシ内のオブジェクト・ストレージ・バケットへのアクセスを、企業ネットワークを介してOracle Cloud Infrastructureにサインインしているユーザーのみに制限できます。または、特定のVCNの特定のサブネットに属するリソースにのみサービス・ゲートウェイを介したリクエスト発行を許可することもできます。
- テナンシの認証設定でネットワーク・ソースを指定して、コンソールへのサインインを制限します。ネットワーク・ソースで指定されたIPアドレスのみからのコンソールへのサインインを許可するようにテナンシの認証ポリシーを設定できます。ネットワーク・ソースの許可リストにないIPアドレスからサインインしようとするユーザーは、アクセスを拒否されます。
DNSゾーンおよびレコードの保護
Enterprise Architect, Security Architect, Network Architect
IAMポリシーを定義して、DNSゾーンおよびレコードを変更できるユーザーを制限します。
Oracle Cloud Infrastructureでセキュリティ・ゾーンを活用します
Enterprise Architect, Security Architect, Network Architect
新しいプロジェクトを開始し、新しいソリューションを構築する際には、次のような様々なソースからの多くのベスト・プラクティス・ガイダンスがあります。
- 仕入先の推奨事項
- 組織の標準とポリシー
- 外部フレームワーク
- 法的コンプライアンス
- 参照アーキテクチャ
通常、これらのベスト・プラクティスは、認証、暗号化、ストレージ、アクセス制御など、様々なセキュリティ・トピックをカバーしています。ただし、多くの場合、ベスト・プラクティスのアドバイスは無視されます。プロジェクトのタイムライン、予算の制約、知識のギャップ、環境が非本番として始まり、関連するベストプラクティスに従わないことを意味し、安全でない環境と弱いセキュリティ体制につながります。
Oracle Security Zonesは、このリスクの最小化を支援することを目的としています。セキュリティ・ゾーンは予防的な制御であり、機密データとリソースが含まれているという性質上、設計によって制限されます。たとえば、Oracle Security Zonesは、最大セキュリティ・ポリシーを有効にしてリリースされます。これによって、パブリック・アクセスが許可されないようにし、機密データをできるだけインターネットから分離する必要があります。セキュリティ・ポリシーにより、このポリシーに違反するリソースがリアルタイムで作成されないようにすることで、この位置が強制されます。