リソースの分離とアクセス制御
リソース分離は、クラウド・リソースを編成する際の重要な考慮事項です。コンパートメントを使用すると、ビジネスにとって意味のある方法でリソースを論理的に編成し、それらへのアクセスを制御できます。 たとえば、会社の各部門で使用されるリソースを個別のコンパートメントに分離できます。仮想クラウド・ネットワーク(VCN)を使用して、ネットワーク・レイヤーでリソースを分離することもできます。
組織の現在および将来のセキュリティ要件に留意しながら、コンパートメントおよびVCNを慎重に計画する必要があります。この記事の推奨事項は、要件を満たすのに役立ちます。
コンパートメントおよびタグを使用したリソースの編成
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、アプリケーション・アーキテクト
コンパートメントおよびタグは、アクセス制御のためにリソースを編成および分離する場合に便利なツールです。
- 特定のカテゴリのリソースのコンパートメントを作成および指定し、リソースへのアクセスを必要とするユーザーのグループのみにリソースへのアクセスを許可するIAMポリシーを記述します。
- 本番ワークロードと非本番ワークロードを別々のコンパートメントに分離します。
- 子コンパートメントを作成および使用して、追加の組織レイヤーのリソースを分離します。コンパートメント・レベルごとに個別のポリシーを記述します。
- 認可されたユーザーのみがコンパートメントを別の親コンパートメントに移動し、あるコンパートメントから別のコンパートメントにリソースを移動できるようにします。適切なポリシーを記述して、この制限を適用します。
- コンパートメント・レベルの割当て制限を設定して、コンパートメントに作成できる各タイプのリソースの数を制限します。
- ルート・コンパートメントのレベルでIAMポリシーを書き込まないでください。
- IAMポリシーにコンパートメントを指定して、インスタンス・プリンシパルが管理できるリソースを制限します。
- リソースにタグを割り当てて、ビジネス・ニーズに基づいてそれらを編成および識別します。
ロールベースのアクセス制御の実装
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、アプリケーション・アーキテクト
ロール別に権限を割り当てて、アクセスを制限します。
- コンパートメント・レベルのポリシーを記述して、各グループのユーザーのアクセス権限を、アクセスする必要があるコンパートメントのみに制限します。
- ターゲット・リソースおよび必要なアクセス権限に関して、できるだけ細かくポリシーを記述します。
- デプロイされたすべてのワークロードに共通のタスク(ネットワーク管理やボリューム管理など)を実行する権限を持つグループを作成し、これらのグループに適切な管理ユーザーを割り当てます。
コンピュート・インスタンスにユーザー資格証明を格納しない
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、アプリケーション・アーキテクト
コンピュート・インスタンスにOracle Cloud Infrastructure APIへのコールを認可する場合は、インスタンスにユーザー資格証明を格納しないでください。かわりに、インスタンスをインスタンス・プリンシパルとして指定します。
インスタンスが自身を認証するために必要な証明書が自動的に作成され、インスタンスに割り当てられてローテーションされます。このようなインスタンスを動的グループと呼ばれる論理セットにグループ化し、動的グループが特定のリソースに対して特定のアクションを実行できるようにポリシーを記述できます。
コンピュート・インスタンスへのログイン・アクセスの強化
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、アプリケーション・アーキテクト
コンピュート・インスタンスへのログインにセキュアな方法のみが使用されていることを確認します。
- パスワードベースのログインを無効にします。
- rootログインを無効にします。
- SSH鍵ベースの認証のみを使用します。
- セキュリティ・グループおよびセキュリティ・リストを利用して、ソースIPアドレスに基づいてアクセスを制限します。
- 不要なサービスを使用不可にします。
セキュアなリソース間アクセス
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、アプリケーション・アーキテクト
いずれかのインスタンスをプリンシパルとして指定する場合は、そのようなインスタンスへのアクセス権を持つユーザーおよびグループを確認します。該当するユーザーおよびグループのみがそれらにアクセスできることを確認します。
ネットワーク・レイヤーでのリソースの分離
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、アプリケーション・アーキテクト
仮想クラウド・ネットワークは、Oracle Cloud Infrastructureのリソース間の最初のレベルのネットワーク分離を提供します。複数のワークロードまたは異なる部門/組織がある場合は、それぞれに異なるVCNを使用して、ネットワーク層でリソースを分離します。
必要に応じてVCNピアリングを使用します。また、パブリック・アクセスが必要なリソースを評価した後は、パブリック・サブネットとプライベート・サブネットを慎重に使用してください。
- ロード・バランサを利用してサービスを公開し、バックエンド・ターゲットをプライベート・サブネットに配置します。
- セキュリティ・グループを利用して、アプリケーションの各層にアプリケーション・マイクロ・セグメンテーションを適用します。
- VCN内で必要な東西トラフィックをホワイトリストに登録し、必要でないかぎりトラフィック・フローを許可しません。
最大セキュリティ・ゾーンの定義
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、アプリケーション・アーキテクト
最大セキュリティ・ゾーンは、Oracle Cloud Infrastructureのコンパートメントに対してセキュリティ・ポリシーを強制します。これには、クラウド・セキュリティ状況管理を可能にするポリシー・ライブラリおよび組込みのセキュリティ・ベスト・プラクティスが含まれます。
- 独自のVCNおよびコンパートメント内のプライベート・サブネット上の本番リソースに対して最大セキュリティ・ポリシーを有効にします。
- パブリック・サブネットを使用して個別のVCN内のインターネットに面したコンポーネントを分離し、ローカル・ピアリング・ゲートウェイを使用して最大セキュリティ・ゾーンVCNにリンクします。さらに、Web Application Firewallを追加して、ロード・バランサなどのインターネットに面したコンポーネントを保護します。
- Oracle Security Advisorを使用すると、最大セキュリティ・ゾーンでのリソースの作成が容易になります。