環境のモニターおよび監査

正しいコントロールを使用して環境を監視および監査していることを確認します。

モニタリング用のクラウド・ガードの有効化

Enterprise Architect、Security Architect

Oracle Cloud Guardを使用すると、Oracle Cloud Infrastructureの顧客テナント全体のクラウド・セキュリティ体制の統合ビューを取得できます。
クラウド・ガード・イベントは、セキュリティ・チームが監視する必要があります。

すべてのコンパートメントを監視するために、テナンシのルート・レベルでクラウド・ガードが有効になっていることを確認します。Oracle Cloud Guardは、テナント間で正しく構成されていないリソースやセキュアでないアクティビティを検出し、セキュリティ管理者にクラウド・セキュリティの問題を切り分けて解決するための可視性を提供します。セキュリティの不整合は、セキュリティ・オペレーション・センターを効果的に拡張するために、即時利用可能なセキュリティ・レシピで自動的に修正できます。Oracleは、クラウド・ガードでインスタンス・セキュリティを有効にするためのディテクタ・レシピ(リソース構成またはアクティビティに基づいて潜在的なセキュリティの問題を識別するクラウド・ガード・コンポーネント)を提供します。

インスタンス・セキュリティは、コンピュート・ホストで疑わしいアクティビティを監視するOracle Cloud Guardレシピです。インスタンス・セキュリティは、Compute仮想ホストおよびベア・メタル・ホストのワークロードに対してランタイム・セキュリティを提供します。インスタンス・セキュリティは、クラウド・セキュリティ体制管理からクラウド・ワークロード保護まで、クラウド・ガードを拡張します。インスタンス・セキュリティにより、一貫した可視性とインフラストラクチャのセキュリティ状態を包括的に理解し、セキュリティ・ニーズを1箇所で満たすことができます。

監査の構成

Enterprise Architect、Security Architect

Oracle Cloud Infrastructure Auditサービスでは、Oracle Cloud Infrastructureのサポートされるすべてのパブリック・アプリケーション・プログラミング・インタフェース(API)エンドポイントへのコールがログ・イベントとして自動的に記録されます。
現在、すべてのサービスがOracle Cloud Infrastructure Auditによるロギングをサポートしています。

Oracle Cloud Infrastructure Object Storageでは、バケット関連イベントのロギングがサポートされていますが、オブジェクト関連イベントのロギングはサポートされていません。Oracle Cloud Infrastructure Auditによって記録されるログ・イベントには、Oracle Cloud Infrastructureコンソール、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)、ユーザー独自のクライアント、または他のOracle Cloud Infrastructureサービスによって行われるAPIコールが含まれます。ログの中の情報には、次の情報が含まれています。

  • APIアクティビティが発生した時間
  • アクティビティのソース
  • アクティビティのターゲット
  • アクションのタイプ
  • レスポンスのタイプ

各ログ・イベントには、ヘッダーID、ターゲット・リソース、記録されたイベントのタイムスタンプ、リクエスト・パラメータおよびレスポンス・パラメータが含まれます。Oracle Cloud Infrastructure Auditによってロギングされたイベントを表示するには、コンソール、APIまたはSDK for Javaを使用します。イベントのデータを使用して、診断の実行、リソース使用状況の追跡、コンプライアンスのモニター、セキュリティ関連イベントの収集を行うことができます。

Oracle Cloud Infrastructure Auditデータにアクセスする必要があるサード・パーティ・ツールがある場合は、適切な保存期間を設定して、Oracle Cloud Infrastructure Auditデータをオブジェクト・ストアにコピーするようにサービス・コネクタ・ハブを構成します。

ポリシーの監査

Enterprise Architect、Security Architect

ポリシーを定期的に確認して、適切なセキュリティ・プラクティスを満たしていることを確認します。

ポリシー監査者は、Oracle Cloud Infrastructureコンソールを使用して、IAMポリシーをアドホックで確認できます。また、オフライン分析用のポリシー・レポートを生成するために使用できるオプションがいくつかあります。

クラウド・ガードには、IAMポリシー専用の2つの構成ディテクタ・レシピと1つのアクティビティ・ディテクタ・レシピがあります:

  • ポリシーで付与される権限が多すぎます
  • テナンシ管理者権限がグループに付与されています
  • セキュリティ・ポリシーが変更されました

Oracle管理レシピは変更できますが、Oracleでは、(タグまたはコンパートメントを使用して)これらのルールでターゲット指定されているオブジェクトを変更できるように、レシピのクローニングをお薦めします。これにより、テナンシ内の本番環境では、テナンシ内の別のコンパートメントに存在する非本番環境の制限を緩和しながら、より厳密な制御を行うことができます。より詳細なレベルでIAMポリシーを確認する必要がある場合は、Oracleでは、セキュリティ・ポリシー変更済ディテクタを使用して、次のイベントをトリガーすることをお薦めします:

  • ポリシーを介して手動レビューをトリガーします。
  • 調査または修正を実行する関数を起動します。

ポリシーを監査する場合は、次の潜在的な問題を考慮してください。

  • ポリシーはどこに定義され、コンパートメント使用に関する組織の標準に準拠していますか。
  • 動的グループの使用状況を監査します。これらのグループは過剰な権限を付与しますか。
  • どのサービスが構成されて、どこにありますか。一部のサービスは、特定のコンパートメントまたはグループに制限される場合があります。
  • 複製されたステートメントをすべて削除します。
  • テナンシ全体に権限を付与するポリシーの特定
  • 必要以上の権限を持つグループの特定

Oracle Access Governance Cloud Serviceは、アクセス権限の定義および管理に役立つ、ユーザー・プロビジョニング、アクセス・レビューおよびアイデンティティ分析を提供するクラウド・ネイティブのアイデンティティおよび管理(IGA)ソリューションです。人工知能/機械学習主導のインテリジェンスからの実践可能なポリシー・インサイトを活用して、ポリシーの監査を支援します。

VCNフロー・ログのモニター

エンタープライズ・アーキテクト、セキュリティ・アーキテクト

VCNフロー・ログは、モニタリングとセキュリティのニーズをサポートするためのネットワーク・トラフィック情報を取得します。
VCN内の各リソースには、1つ以上の仮想ネットワーク・インタフェース・カード(VNIC)があります。セキュリティ・リストは、特定のVNICを介して許可されるトラフィックを決定するために使用されます。VNICは、VNICのサブネットに関連付けられたすべてのセキュリティ・リスト内のすべてのルールに従います。セキュリティ・リストのトラブルシューティング、またはVNICの内外でのトラフィックの監査に役立つように、VCNフロー・ログを設定できます。
  • VCNを通過するトラフィックの詳細を監視します。
  • トラフィックを監査し、セキュリティ・リストをトラブルシューティングします。
  • ネットワーク・コマンド・センターからフロー・ログを有効化および管理します。
  • 取得フィルタを使用して、フロー・ログに含めるトラフィックを評価および選択します。
  • Oracle Cloud Infrastructure Loggingを活用して、指定したログ・グループにログ情報を送信します。
  • 有効化ポイントとして、VCN、サブネット、ターゲット固有のインスタンス、ネットワーク・ロード・バランサまたはリソースVNICのすべてのVNICのフロー・ログを有効にします。

脆弱性の継続的なスキャン

エンタープライズ・アーキテクト、セキュリティ・アーキテクト

脆弱性スキャナは、組織がコンピュータ・システム、ネットワーク、アプリケーションおよびデータ・ストア内の脆弱性を識別し、優先順位を付けるのに役立つソフトウェア・ツールです。これらのスキャナは、ターゲット・システムまたはアプリケーションを分析し、次のような潜在的な弱点を検出します。
  1. 古いソフトウェアまたはファームウェア。
  2. パッチ未適用の欠陥(パッチ未適用のオペレーティング・システム、ソフトウェア、プラグインなど)。
  3. 設定が間違っています。
  4. セキュアでないコード、またはプログラミングエラー。
  5. 弱いパスワードまたは認証メカニズム。

Oracle Vulnerability Scanning Serviceは、ホストの潜在的な脆弱性を定期的にチェックすることで、Oracle Cloud Infrastructureのセキュリティ・ポスチャを改善するのに役立ちます。このサービスは、これらの脆弱性に関するメトリックおよび詳細を含むレポートを生成します。

Oracle Vulnerability Scanning Serviceのコア機能は次のとおりです。

  • Oracle Cloud Infrastructureプラットフォームと緊密に統合されたシンプルで、デフォルトで規範的で無料のスキャン・スイート。
  • ホストおよびコンテナのスキャン用のOracle Cloud Infrastructure作成およびオープンソースのスキャン・エンジンに基づくデフォルトのプラグインおよびエンジン。
  • Oracle Cloud Infrastructureは、顧客フリート全体のこれらのエンジンおよびエージェントのデプロイメント、構成およびアップグレードを管理します。
  • スキャン・スイートによって検出された問題は、Oracle Cloud Guardを通じて、重要な脆弱性を優先するためのルールとMLとともに表示されます。
  • Oracle Cloud Infrastructureは、最大限のセキュリティ・ゾーンを含む検出から修復までの時間を短縮するために、応答者を通じてアクション(アラート、自動中間または隔離)を実行します。
  • Qualys Vulnerability Management、Detection、Responseなどのサードパーティの脆弱性スキャナとの統合。

SIEMプラットフォームへのサービス・ログの集計

Enterprise Architect, Security Architect, Network Architect

OCIサービス・ログをセキュリティ情報およびイベント管理(SIEM)プラットフォームに送信して、セキュリティ攻撃に対する応答性を高めることができます。

SIEMプラットフォームでは、様々なソースからのセキュリティ・イベントをネットワーク、デバイスおよびアイデンティティとして監視できます。また、機械学習を使用してこれらのシグナルをリアルタイムで分析することで、様々なシグナルを相互に関連付け、脅威となるハッキング・アクティビティや、ネットワークを経由するイレギュラなセキュリティ・イベントを特定できます。

OCIは、複数のサードパーティのSIEMプラットフォームにログとイベントを送信できます。