環境のセキュリティ状態の最適化
セキュリティ制御の設計は反復的なプロセスであり、セキュリティ実装の成功は継続的な監視と最適化に依存します。Oracle Cloud Infrastructureでは、セキュリティ状態の最適化はOracle Cloud Guardを使用して実行されます。
Oracle Cloud Guardの最適化の有効化
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、ネットワーク・アーキテクト
Oracle Cloud Guardの最も興味深い設計原則の1つは、Oracleによる組込み専門知識の使用です。Oracleは、使用可能なセキュリティ制御および大規模なセキュリティ制御の適用方法など、Oracle Cloud Infrastructureを最もよく認識しています。Oracleは、検索する問題と、それらを軽減するためにセキュリティ機能を適用する方法も認識します。Oracle Cloud Guardには、ディテクタ・レシピとレスポンダ・レシピの2つの主要な構成オプションがあります。ディテクタ・レシピは特定の違反の検出方法を処理し、レスポンダ・レシピは違反の対応方法を処理します。
ディテクタ・レシピは、事前定義および事前構成されたルールのセットです。これらのレシピは、Oracle Cloud Infrastructureのセキュリティ・ベスト・プラクティスに基づいて、クラウド・アカウントに存在するセキュリティ違反およびリスク(存在する場合)を検出します。
ディテクタ・レシピは、インフラストラクチャの最適化を有効にする方法の1つです。次のバリエーションがあります。
- 構成ディテクタ・レシピ:このレシピは、Oracle Cloud Guardの事前プロビジョニング・ルールによって決定される、テナンシ内のセキュリティ・ルールに違反する構成をチェックして検出します。たとえば、パブリックIPを持つコンピュート・インスタンスや、パッチが適用されていないデータベース・インスタンスなどです。
- アクティビティ・ディテクタ・レシピ:このレシピは、Oracle Cloud Guardの事前プロビジョニング・ルールによって決定される、テナンシ内のセキュリティ・ルールに違反する個々のユーザー・アクションまたはアクティビティをチェックおよび検出します。たとえば、データベース・システムを終了するユーザーや、サブネットを削除するユーザーなどです。
ディテクタ・レシピを介してルール違反を検出すると、Oracle Cloud Guardはレスポンダ・レシピから事前構成済アクションのいずれかを実行できます。これらのアクションはリソースに依存します。たとえば、パブリックIPがある場合はコンピュート・インスタンスを停止または削除し、パブリックに表示されるオブジェクト・ストレージ・バケットをプライベートにします。これらのレスポンダ・レシピでは、より多くのルールを使用してアクションを推奨でき、ルールの選択はリソース・タイプによって異なります。