環境のセキュリティ・ポスチャの最適化
セキュリティ制御の設計は反復的なプロセスであり、セキュリティの実装を成功させるには、継続的な監視と最適化が必要です。Oracle Cloud Infrastructureでは、セキュリティ・ポスチャの最適化がOracle Cloud Guardを使用して実行されます。
Oracle Cloud Guardの最適化の有効化
Enterprise Architect, Security Architect, Network Architect
Oracle Cloud Guardの最も興味深い設計原則の1つは、OracleによるEmbedded Expertiseの使用です。Oracleは、どの問題を探すか、およびセキュリティ機能を適用して問題を軽減する方法を把握しています。Oracle Cloud Guardには、ディテクタ・レシピとレスポンダ・レシピの2つの主要な構成オプションがあります。ディテクタ・レシピでは、特定の違反が検出された方法が処理され、レスポンダ・レシピでは違反の応答方法が処理されます。
ディテクタ・レシピは、事前定義済の構成済ルールのセットです。これらのレシピでは、Oracle Cloud Infrastructureのセキュリティのベスト・プラクティスに基づいて、クラウド・アカウントに存在するセキュリティ違反およびリスク(ある場合)を検出します。
ディテクタ・レシピは、インフラストラクチャの最適化を有効にする1つの方法です。次のバリエーションがあります。
- 構成ディテクタ・レシピ
- アクティビティ・ディテクタ・レシピ
- 脅威ディテクタ・レシピ
- インスタンス・セキュリティ・レシピ
ディテクタ・レシピを介してルール違反を検出すると、Oracle Cloud Guardはレスポンダ・レシピから事前構成されたアクションのいずれかを実行できます。これらのアクションはリソースに依存します。たとえば、パブリックIPがあるコンピュート・インスタンスを停止または削除したり、パブリックに表示可能なオブジェクト・ストレージ・バケットをプライベートにします。これらのレスポンダ・レシピでは、より多くのルールを使用してアクションを推奨でき、ルールの選択はリソース・タイプによって異なります。ディテクタ・レシピ・ルールをセキュリティ標準にあわせて調整して、適切な重大度で適切な検出を使用してレシピを作成できます。
パブリック・ネットワーク・アクセスを拒否するセキュリティ・ゾーンをルート・コンパートメントに作成します。これにより、ルート・コンパートメントのOracle Cloud Guardターゲットが自動的に作成されます。
Oracle Cloud Guardイベントは、サードパーティのセキュリティ情報およびイベント管理(SIEM)プラットフォームに送信できます。SIEMシステムは、クラウド・リソースのセキュリティを管理する重要な運用ツールです。OCIには、効率的なSIEMプラットフォームの実装に使用できるネイティブの脅威検出、予防およびレスポンス機能が含まれています。
マルチクラウド向けのサードパーティ・クラウド・セキュリティ・ポスチャ管理の実装
Enterprise Architect, Security Architect, Network Architect
CSPMは、クラウド・セキュリティのベスト・プラクティスをハイブリッド、マルチクラウドおよびコンテナ環境に均一に適用し、堅牢でコンプライアンスに準拠したクラウド・セキュリティ体制を実現します。