アイデンティティおよび認可ポリシーの管理

Oracle Cloud Infrastructure Identity and Access Managementでは、クラウド・リソースにアクセスできるユーザーを制御できます。アクセスおよび認可の資格証明には、APIキー、サインイン・パスワード、フェデレーテッド・サインインおよび認証トークンが含まれます。適切な資格証明を使用して、クラウド・アカウントおよびリソースを保護します。Oracleでは、クラウドにアイデンティティ管理を実装する際に、次の推奨事項を採用することをお薦めします。

マルチファクタ認証(MFA)の使用

Enterprise Architect, Security Architect, Application Architect

リソースへのアクセスを、企業のシングル・サインオン・ソリューションによって認証されたユーザー、および時間制限付きのワンタイム・パスワード、または生体認証スキャン機能などのその他の適切な要素のみに制限します。

OCI Identity and Access Management (IAM)アイデンティティ・ドメインでは、MFAは、OCIコンソールの事前定義済のサインオン・ポリシーで構成および適用されます。このポリシーは非アクティブ化しないでください。

これはユーザー・レベルで必要とし、IAMを介してリソース・レベルで強制する必要があります。リソースへのアクセスを許可するアクセス・ポリシーのリソースに対してMFAを適用できます。

MFAは、重要なシステムに即座にアクセスできるように、定期的なアクセス制御をバイパスするために一時的な昇格されたアクセス権をユーザーに付与する必要がある場合にも、緊急アクセス・ケース用に構成できます。

日常業務にテナンシ管理者アカウントを使用しない

Enterprise Architect, Security Architect, Application Architect

管理アクセスをさらに制限するには、テナンシのサービス・レベルの管理者を作成する必要があります。サービスレベルの管理者は、特定のサービスまたはドメインのリソースのみを管理する必要があります。

たとえば、次のポリシーでは、VolumeAdminsグループのユーザーがブロック・ボリューム・ファミリのリソースのみを管理できます。

Allow group VolumeAdmins to manage volume-family in tenancy

管理者アカウントのロックアウトを防止するセキュリティ・ポリシーの作成

エンタープライズ・アーキテクト、セキュリティ・アーキテクト

テナンシ管理者が組織を離れる場合や、使用可能なテナンシ管理者がいない場合に他の緊急事態で使用するために、管理アカウントを作成して保護します。

たとえば、管理者OCIグループのメンバーシップを持つ緊急ユーザー・ペルソナを作成し、フェデレーテッドではなく、ローカル・パスワードのみを使用します。これは「Break Glass」アカウントと呼ばれることもあります。

Break Glassは、ITの緊急時に高い特権を持つアクセスを取得するために使用されるプロセスとメカニズムを指します。この用語は、保護ガラス・ペインの背後にアラーム・トリガーを配置し、認可されていない、または緊急でないアクティブ化を防ぐための物理的な障壁として機能します。IT部門では、ブレーク・ガラスを比喩的に使用して、確立された職務分掌(SOD)および最小権限のアクセス制御内で対処できないクリティカルな緊急事態におけるフル・アクセス権限の必要性を記述します。効果的な緊急アクセス・プロセスの主な機能は、高可用性、制限付きアクセス、リスク評価、迅速な承認、短期間の資格、監査、定期的なテストです。適切に設計されたアクセスモデルでさえ、可能性のあるすべての緊急事態を説明することはできません。このような場合、break glassは、最高レベルのアクセス権限を1つ以上の緊急アクセス・アカウントに集中し、確立されたアクセス・モデルを超越する方法を提供します。OCI管理者グループを使用して、別の権限オプションとともに緊急アクセスを付与できます。

デフォルトの管理者および資格証明管理者グループの管理からのIAM管理者グループの制限

エンタープライズ・アーキテクト、セキュリティ・アーキテクト

管理者権限は最小権限のルールに従う必要があるため、管理グループへのメンバーシップまたは管理ポリシーへのアタッチメントは、必要に応じて制限する必要があります。

次のポリシーにより、UserAdminsグループのユーザーはテナンシ内のグループのみを検査できます。

Allow group UserAdmins to inspect groups in tenancy

即時利用可能なテナンシ管理ポリシーも変更しないでください。

アクセス・ポリシーの偶発的または悪意のある削除(および変更)の防止

Enterprise Architect, Security Architect, Application Architect

たとえば、次のポリシーでは、PolicyAdminsグループのユーザーのみがポリシーを作成できますが、ポリシーの編集や削除はできません。

Allow group PolicyAdmins to manage policies in tenancy where
      request.permission='POLICY_CREATE'

資格証明管理者は、APIキー、認証トークン、秘密キーなどのユーザー機能およびユーザー資格証明のみを管理するように制限します。

複数のアイデンティティ・ドメインの使用

Enterprise Architect、Security Architect

OCI管理者のみにデフォルトのOCI Identity and Access Managementアイデンティティ・ドメインを使用します。

アプリケーション・ワークロードの場合、開発、テスト、本番など、環境ごとに個別のアイデンティティ・ドメインを使用します。
各ドメインには、アプリケーションとOCIサービスを保護するための、アイデンティティおよびセキュリティの様々な要件がある場合があります。
複数のアイデンティティ・ドメインを使用すると、各アイデンティティ・ドメインに対する管理統制の分離を維持するのに役立ちます。たとえば、セキュリティ標準によって開発用のユーザーIDを本番環境に含められない場合は、複数のアイデンティティ・ドメインが必要です。また、複数のドメインは、異なる管理者が様々な環境を制御する必要がある場合にも使用されます。

Oracle Cloud Infrastructure Identity and Access Managementのフェデレート

Enterprise Architect, Security Architect, Application Architect

可能かつ関連性の高い場合は、Oracle Cloud Infrastructure Identity and Access Managementを組織の一元化されたアイデンティティ・プロバイダ(IdP)とフェデレートします。

フェデレーテッドIdPの管理者グループにマップされ、フェデレーテッドIdPの管理者グループと同じセキュリティ・ポリシーによって管理されるフェデレーション管理者グループを作成します。
ローカル・ユーザーを作成し、ユーザーをデフォルトのAdministrators、IAM AdministratorsおよびCredential Administrators IAMグループに割り当てます。これらのユーザーは、緊急アクセス・タイプのシナリオ(フェデレーションを介してリソースにアクセスできないなど)に使用します。
フェデレーテッド管理者のIAMグループがデフォルト・テナンシAdministratorsグループのメンバーシップを変更できないようにするポリシーを定義します。
テナンシ管理者による操作の監査ログおよびAdministratorsグループへの変更を監視して、認可されていないアクセスおよび操作を検出します。

すべてのユーザーのアクティビティおよびステータスのモニターおよび管理

Enterprise Architect, Security Architect, Application Architect

すべてのユーザーのアクティビティおよびステータスをモニターおよび管理します。

従業員が組織を離れるときは、ユーザーを即時に削除してテナンシへのアクセスを無効にしてください。
ユーザー・パスワード、APIキーおよびすべての認証関連ユーザー機能のローテーションを90日以内に強制します。
Identity and Access Management (IAM)資格証明が、どのソフトウェアまたは操作ドキュメントにもハードコードされていないことを確認します。
テナンシ内のリソースへのアクセス権を必要とする組織のすべてのユーザーに対してIAMユーザーを作成します。IAMユーザーを複数のヒューマン・ユーザー間で共有しないでください。
フェデレーテッド・シングル・サインオンを実装して、複数のアプリケーションへのアクセスを合理化し、認証を一元化します。
IAMグループ内のユーザーを定期的にレビューし、アクセス権が不要になったユーザーを削除します。