使用環境のモニターおよび監査
環境の監視および監査に正しいコントロールを使用していることを確認します。
クラウド・ガードのモニタリングの有効化
エンタープライズ・アーキテクト、セキュリティ・アーキテクト
Oracle Cloud Guardは、テナント間の正しく構成されていないリソースおよびセキュアでないアクティビティを検出し、セキュリティ管理者にクラウド・セキュリティの問題のトリアージおよび解決の可視性を提供します。即時利用可能なセキュリティ・レシピを使用してセキュリティの非一貫性を自動的に修正し、セキュリティ運用センターを効果的にスケーリングできます。
すべてのコンパートメントを監視するには、テナンシのルート・レベルでCloud Guardが有効になっていることを確認します。
監査の構成
エンタープライズ・アーキテクト、セキュリティ・アーキテクト
Oracle Cloud Infrastructure Auditサービスでは、サポートされるすべてのOracle Cloud Infrastructureパブリック・アプリケーション・プログラミング・インタフェース(API)エンドポイントへのコールがログ・イベントとして自動的に記録されます。Oracle Cloud Infrastructure Object Storageでは、バケット関連イベントのロギングがサポートされますが、オブジェクト関連イベントのロギングはサポートされません。Oracle Cloud Infrastructure Auditによって記録されるログ・イベントには、Oracle Cloud Infrastructureコンソール、コマンドライン・インタフェース(CLI )、ソフトウェア開発キット(SDK )、ユーザー独自のクライアント、または他のOracle Cloud Infrastructureサービスによって行われるAPIコールが含まれます。ログの中の情報には、次の情報が含まれています。
- APIアクティビティが発生した時間。
- アクティビティのソース。
- アクティビティのターゲット。
- アクションのタイプ。
- レスポンスのタイプ。
各ログ・イベントには、ヘッダーID、ターゲット・リソース、記録されたイベントのタイムスタンプ、リクエスト・パラメータおよびレスポンス・パラメータが含まれます。Oracle Cloud Infrastructure Auditによってロギングされたイベントを表示するには、コンソール、APIまたはSDK for Javaを使用します。イベントのデータを使用して、診断の実行、リソース使用状況の追跡、コンプライアンスのモニター、セキュリティ関連イベントの収集を行うことができます。
- 監査保持が365日に設定されていることを確認します。
- Oracle Cloud Infrastructure Auditデータにアクセスする必要があるサード・パーティ・ツールがある場合は、適切な保存期間を設定して、Oracle Cloud Infrastructure Auditデータをオブジェクト・ストアにコピーするようにサービス・コネクタ・ハブを構成します。
ポリシーの監査
エンタープライズ・アーキテクト、セキュリティ・アーキテクト
ポリシー監査者は、Oracle Cloud Infrastructureコンソールを使用して、IAMポリシーを非定型で確認できます。オフライン分析用のポリシー・レポートを生成するために利用できるオプションもいくつかあります。
Cloud Guardには、IAMポリシー専用の構成ディテクタ・レシピとアクティビティ・ディテクタ・レシピがあります。
- ポリシーで付与される権限が多すぎます
- テナンシ管理者権限がグループに付与されています
- セキュリティ・ポリシーが変更されました
Oracle管理のレシピは変更できますが、Oracleでは、これらのルールのターゲットとなるオブジェクトを(タグまたはコンパートメントを使用して)変更できるようにレシピをクローニングすることをお薦めします。これにより、テナンシ内の別のコンパートメントに存在する非本番環境での制限を緩和しながら、テナンシ内の本番環境の制御を強化できます。より詳細なレベルでIAMポリシーを確認する必要がある場合、Oracleでは、セキュリティ・ポリシー変更ディテクタを使用して次のようなイベントをトリガーすることをお薦めします。
- ポリシーを介して手動レビューをトリガーします。
- 関数を呼び出して、調査または修正を実行します。
ポリシーを監査する場合は、次の潜在的な問題を考慮してください。
- ポリシーはどこで定義され、コンパートメント使用に関する組織の標準に準拠していますか。
- 動的グループの使用を監査します。これらのグループは、過剰な権限を付与しますか。
- どのようなサービスが構成され、どこに配置されますか。一部のサービスは、特定のコンパートメントまたはグループに制限する必要がある場合があります。
- 重複する説明文があれば、それを見つけて削除します。
- テナンシ全体に権限を付与するポリシーを識別します。
- 必要以上の権限を持つグループを識別します。
脆弱性を継続的にスキャン
エンタープライズ・アーキテクト、セキュリティ・アーキテクト
Oracle Vulnerability Scanning Serviceのコア機能は次のとおりです。
- Oracle Cloud Infrastructureプラットフォームと緊密に統合された、単純で、デフォルトでは規定的で無料のスキャン・スイート。
- ホストおよびコンテナのスキャン用のOracle Cloud Infrastructure作成およびオープン・ソースのスキャン・エンジンに基づくデフォルトのプラグインおよびエンジン。
- Oracle Cloud Infrastructureは、顧客フリート全体でこれらのエンジンおよびエージェントのデプロイメント、構成およびアップグレードを管理します。
- スキャン・スイートによって検出された問題は、クリティカルな脆弱性を優先するルールおよびMLとともに、Oracle Cloud Guardを介して検出されます。
- Oracle Cloud Infrastructureは、最大セキュリティ・ゾーンを含む、検出から修復までの時間を短縮するために、レスポンダを介してアクション(アラート、自動修正または隔離)を実行します。