コンピュート・インスタンス・セキュリティ
コンピュート・インスタンスがセキュアであることを確認し、アクセスを制御してください。コンピュート・インスタンスにアクセスする際には、キー・ベースのSSHを使用することをお薦めします。パスワードベースのSSHは、総当たり攻撃に対して持続的である可能性があり、お薦めしません。
次のチェックリストを使用して、コンピュート・インスタンスを保護します。
| 完了? | セキュリティ制御と推奨事項 |
|---|---|
 |
最新のオペレーティング・システム・パッチを適用します。
OS管理サービスを使用して、コンピュート・インスタンスのオペレーティング・システム環境の更新およびパッチを管理します。「OS管理」を参照してください。 |
|
SSHキーとそのローテーションを管理します。 |
|
パスワード・ログインを無効にします。 |
|
ルート・ログインを使用不可にします。 |
|
SSHポートを非標準ポートに変更します。 |
|
ご使用のコンピュート・インスタンスのオペレーティング・システムを強化します。 |
|
ホストベースの侵入検出および予防システム(IDSおよびIPS)を使用します。 |
|
iptablesなどのホストベースのファイアウォールを使用して、ポート、プロトコル、パケット・タイプなどのインスタンスへのネットワーク・アクセスを制限します。
|
|
アプリケーションに最新のセキュリティ・パッチを適用します。 |
|
インスタンスに権限を付与されたユーザーのみにインスタンス・メタデータ・アクセスを制限します。たとえば、iptablesを使用すると、インスタンス・メタデータ・アクセスを権限を持つユーザー(rootなど)のみに制限できます。
|
|
インスタンス・プリンシパルおよび動的グループを使用します。 |
次の図に、インスタンスがOracle Cloud InfrastructureサービスへのAPI呼出しを行うことができるように、インスタンスのプリンシパルとしてコンピュート・インスタンスを指定する方法を示します。この例では、3つの計算インスタンスで構成される動的グループを示します。IAMポリシーは、動的グループによるOracle Cloud Infrastructure APIリクエストの送信を認可するように定義されます。
