1. Oracle Cloud Infrastructureのベスト・プラクティスのフレームワーク
  2. 使用環境のモニターおよび監査

使用環境のモニターおよび監査

環境の監視および監査に正しいコントロールを使用していることを確認します。

クラウド・ガードのモニタリングの有効化

エンタープライズ・アーキテクト、セキュリティ・アーキテクト

Oracle Cloud Guardを使用すると、Oracle Cloud Infrastructureの顧客テナント全体のクラウド・セキュリティ状況を統一して表示できます。

Oracle Cloud Guardは、テナント間の正しく構成されていないリソースおよびセキュアでないアクティビティを検出し、セキュリティ管理者にクラウド・セキュリティの問題のトリアージおよび解決の可視性を提供します。即時利用可能なセキュリティ・レシピを使用してセキュリティの非一貫性を自動的に修正し、セキュリティ運用センターを効果的にスケーリングできます。

すべてのコンパートメントを監視するには、テナンシのルート・レベルでCloud Guardが有効になっていることを確認します。

監査の構成

エンタープライズ・アーキテクト、セキュリティ・アーキテクト

Oracle Cloud Infrastructure Auditサービスでは、サポートされるすべてのOracle Cloud Infrastructureパブリック・アプリケーション・プログラミング・インタフェース(API)エンドポイントへのコールがログ・イベントとして自動的に記録されます。
現在、すべてのサービスがOracle Cloud Infrastructure Auditによるロギングをサポートしています。

Oracle Cloud Infrastructure Object Storageでは、バケット関連イベントのロギングがサポートされますが、オブジェクト関連イベントのロギングはサポートされません。Oracle Cloud Infrastructure Auditによって記録されるログ・イベントには、Oracle Cloud Infrastructureコンソール、コマンドライン・インタフェース(CLI )、ソフトウェア開発キット(SDK )、ユーザー独自のクライアント、または他のOracle Cloud Infrastructureサービスによって行われるAPIコールが含まれます。ログの中の情報には、次の情報が含まれています。

  • APIアクティビティが発生した時間。
  • アクティビティのソース。
  • アクティビティのターゲット。
  • アクションのタイプ。
  • レスポンスのタイプ。

各ログ・イベントには、ヘッダーID、ターゲット・リソース、記録されたイベントのタイムスタンプ、リクエスト・パラメータおよびレスポンス・パラメータが含まれます。Oracle Cloud Infrastructure Auditによってロギングされたイベントを表示するには、コンソール、APIまたはSDK for Javaを使用します。イベントのデータを使用して、診断の実行、リソース使用状況の追跡、コンプライアンスのモニター、セキュリティ関連イベントの収集を行うことができます。

  • 監査保持が365日に設定されていることを確認します。
  • Oracle Cloud Infrastructure Auditデータにアクセスする必要があるサード・パーティ・ツールがある場合は、適切な保存期間を設定して、Oracle Cloud Infrastructure Auditデータをオブジェクト・ストアにコピーするようにサービス・コネクタ・ハブを構成します。

ポリシーの監査

エンタープライズ・アーキテクト、セキュリティ・アーキテクト

ポリシーを定期的に確認して、適切なセキュリティ・プラクティスを満たしていることを確認します。

ポリシー監査者は、Oracle Cloud Infrastructureコンソールを使用して、IAMポリシーを非定型で確認できます。オフライン分析用のポリシー・レポートを生成するために利用できるオプションもいくつかあります。

Cloud Guardには、IAMポリシー専用の構成ディテクタ・レシピとアクティビティ・ディテクタ・レシピがあります。

  • ポリシーで付与される権限が多すぎます
  • テナンシ管理者権限がグループに付与されています
  • セキュリティ・ポリシーが変更されました

Oracle管理のレシピは変更できますが、Oracleでは、これらのルールのターゲットとなるオブジェクトを(タグまたはコンパートメントを使用して)変更できるようにレシピをクローニングすることをお薦めします。これにより、テナンシ内の別のコンパートメントに存在する非本番環境での制限を緩和しながら、テナンシ内の本番環境の制御を強化できます。より詳細なレベルでIAMポリシーを確認する必要がある場合、Oracleでは、セキュリティ・ポリシー変更ディテクタを使用して次のようなイベントをトリガーすることをお薦めします。

  • ポリシーを介して手動レビューをトリガーします。
  • 関数を呼び出して、調査または修正を実行します。

ポリシーを監査する場合は、次の潜在的な問題を考慮してください。

  • ポリシーはどこで定義され、コンパートメント使用に関する組織の標準に準拠していますか。
  • 動的グループの使用を監査します。これらのグループは、過剰な権限を付与しますか。
  • どのようなサービスが構成され、どこに配置されますか。一部のサービスは、特定のコンパートメントまたはグループに制限する必要がある場合があります。
  • 重複する説明文があれば、それを見つけて削除します。
  • テナンシ全体に権限を付与するポリシーを識別します。
  • 必要以上の権限を持つグループを識別します。

脆弱性を継続的にスキャン

エンタープライズ・アーキテクト、セキュリティ・アーキテクト

Oracle Vulnerability Scanning Serviceは、ホストに潜在的な脆弱性がないか定期的にチェックすることで、Oracle Cloud Infrastructureのセキュリティ状態を改善します。このサービスは、これらの脆弱性に関するメトリックと詳細を含むレポートを生成します。

Oracle Vulnerability Scanning Serviceのコア機能は次のとおりです。

  • Oracle Cloud Infrastructureプラットフォームと緊密に統合された、単純で、デフォルトでは規定的で無料のスキャン・スイート。
  • ホストおよびコンテナのスキャン用のOracle Cloud Infrastructure作成およびオープン・ソースのスキャン・エンジンに基づくデフォルトのプラグインおよびエンジン。
  • Oracle Cloud Infrastructureは、顧客フリート全体でこれらのエンジンおよびエージェントのデプロイメント、構成およびアップグレードを管理します。
  • スキャン・スイートによって検出された問題は、クリティカルな脆弱性を優先するルールおよびMLとともに、Oracle Cloud Guardを介して検出されます。
  • Oracle Cloud Infrastructureは、最大セキュリティ・ゾーンを含む、検出から修復までの時間を短縮するために、レスポンダを介してアクション(アラート、自動修正または隔離)を実行します。

さらに学ぶ