Oracle Cloud Infrastructureのセキュリティについて
アプリケーションでは、セキュリティ、データ保護およびコンプライアンス要件をすべて満たす、信頼性の高い、パフォーマンスの高い、および費用効果の高いクラウド・ソリューションが必要です。Oracle Cloudは、状況に依存しないセキュリティ・テクノロジや運用プロセスの基盤として構築されており、これらを使用することで、セキュリティの不一致を完全に制御できます。
このドキュメントでは、Oracle Cloud Infrastructureのセキュリティ設計原則について学習し、共有セキュリティ・モデルについて理解します。ミッションクリティカルなエンタープライズ・アプリケーションや最新のクラウド固有のワークロードに対して最もセキュアなクラウド・トポロジを構築するために使用できる、セキュリティ制御の広範範囲を確認します。
このドキュメントに含まれるチェックリストは、Oracle Cloud Infrastructureのベスト・プラクティス・フレームワークで説明されているように、セキュリティおよびコンプライアンスに関するベスト・プラクティスと連携します。
セキュリティ・ピラー
Oracle Cloud Infrastructureのセキュリティは、7コア・ピラーに基づいています。各ピラーには、プラットフォームのセキュリティーとコンプライアンスを最大化するための複数のソリューションが組み込まれています。
- 顧客の分離:クラウド内のアプリケーション、データおよびリソースを他のテナントおよびOracleから分離します。
- データの暗号化:セキュリティ制御を使用してデータを保護し、セキュリティおよびコンプライアンス要件を満たします。
- セキュリティ制御:サービスへのアクセスを管理し、運用職責を分離することによって、悪意のあるユーザーや誤ったユーザーのアクションに関連するリスクを軽減します。
- 表示:包括的なログおよびセキュリティ監視ソリューションにより、リソースに対する監査および監視アクションを行い、セキュリティおよび運用リスクを最小限に抑えます。
- セキュアなハイブリッド・クラウド:クラウド・リソースへのアクセスとデータおよびアプリケーション・アセットの保護を行う場合、ユーザー・アカウント、ポリシー、サード・パーティのセキュリティなどの既存のセキュリティ・アセットを使用します。
- 高可用性:ネットワーク攻撃に対して回復可能なフォルト・トレラント・データ・センターを利用して、ワークロードの一貫性のある稼働時間を確保します。
- Verifilyセキュアなインフラストラクチャ:開発および操作のすべてのフェーズで適切なプロセスおよびセキュリティ制御を実装する安全性の高いインフラストラクチャで、ビジネス上重要なワークロードを実行します。
Oracle Cloud Infrastructureサービスは、FedRAMP、FIPS 140 -2、GDPR、HIPAA、PCI DSS、SOC 1 /2/3など、幅広い標準および要件に準拠しています。コンプライアンス証明とアテステーションの完全なリストは、「Oracle Cloudコンプライアンス」を参照してください。
次の図は、7コア・セキュリティ・ピラーを構成する主要なOracle Cloud Infrastructureサービスと機能を示しています。
設計の原則
次の設計原則を適用して、アプリケーションをOracle Cloud Infrastructureで安全にデプロイ、操作および使用します。
- Oracle Cloud Infrastructureのセキュリティ・サービスおよび機能を理解し、実装します。セキュリティ・サービスおよび機能を参照してください。
- 共有セキュリティ役割モデルについて理解します。次の項を参照してください。
- 最低限の権限と義務の分離の原則を実装します。
権限はできるだけ制限します。ユーザーには、その作業を実行するために不可欠なアクセス権のみを付与する必要があります。ユーザー権限を定期的にレビューして、現在の作業要件との関連性を確認します。
- 複数層のセキュリティ・メカニズムを実装します。
- データは移動せずに保護します。
- セキュリティ・イベントをモニターし、応答します。
システム・アクティビティをモニターします。誰がどのシステム・コンポーネントにアクセスするか、およびどれくらいの頻度でアクセスするかを設定し、それらのコンポーネントをモニターします。
- セキュリティ・アラート、パッチおよびソフトウェア更新の最新情報を入手します。
Oracleでは、セキュリティ関連のパッチ更新およびセキュリティ・アラートが定期的に発行されます。セキュリティ・パッチはできるかぎり早くインストールします。「クリティカル・パッチ・アップデート」、「セキュリティ・アラートおよび掲示板」を参照してください。
- セキュリティ関連のベスト・プラクティスを実装します。セキュリティのベスト・プラクティスを参照してください。
共有セキュリティ・モデル
Oracleは、エンタープライズ・クラス、企業規模のセキュリティ・テクノロジおよび操作プロセスを採用して、クラウド・サービスを保護します。ワークロードをOracle Cloudに安全にデプロイして操作するには、セキュリティおよびコンプライアンスの職責に注意する必要があります。
Oracleは、クラウド・オペレータアクセス制御やインフラストラクチャ・セキュリティのパッチ適用などの、クラウド・インフラストラクチャおよび操作のセキュリティを保証します。クラウド・リソースを安全に構成する責任があります。次の図は、共有のセキュリティ職責モデルを示しています。
Oracleは、各リージョンの可用性ドメインおよびフォルト・ドメインの物理セキュリティのすべての側面を処理します。Oracleとユーザーはどちらも、ハードウェア、ソフトウェア、および関連する論理構成と制御のインフラストラクチャ・セキュリティを担当します。
- Oracle Cloudの上部に作成するプラットフォーム。
- デプロイするアプリケーション。
- 格納および使用するデータ。
- ワークロードのガバナンス、リスクおよびセキュリティ全体。
- アイデンティティおよびアクセス管理(IAM)
クラウド・アクセス資格証明を保護し、個々のユーザー・アカウントを設定します。自分の従業員アカウントおよびテナンシ内のすべてのアクティビティのアクセス権限を管理およびレビューします。
Oracleでは、アイデンティティ管理、認証、認可、監査など、必要なIAMサービスが提供されます。
- ワークロード・セキュリティ
Oracleでは、強化され、最新のパッチが含まれたセキュアなイメージが提供されます。Oracleは、今日使用するのと同じサード・パーティのセキュリティ・ソリューションを簡単に提示できるようにします。
コンピュート・インスタンスのプロビジョニング後、オペレーティング・システムとアプリケーション・レイヤーを攻撃および妥協から保護します。これには、アプリケーションやオペレーティング・システムへのパッチ適用、オペレーティング・システムの構成がセキュアであることの確認、また、マルウェアやネットワーク攻撃に対するアプリケーションの保護も含まれます。OS管理サービスを使用して、コンピュート・インスタンスのオペレーティング・システム環境の更新およびパッチを管理します。「OS管理」を参照してください。
- データの分類およびコンプライアンス
セキュリティおよびコンプライアンス要件を満たすために、データを適切に分類してラベル付けします。配置を監査およびモニターし、データ準拠の義務を守っていることを確認します。
- ホスト・インフラストラクチャのセキュリティ
コンピュート・リソース(仮想マシン、ベア・メタル・インスタンスおよびコンテナ)、ストレージ・リソース(オブジェクト・ストレージ、ローカル・ストレージおよびブロック・ボリューム)、およびデータベース・サービスを安全に構成および管理します。
Oracleでは、サービスが最適で保護されているように構成されるために、職責が共有されます。この職責にはハイパーバイザのセキュリティが含まれます。ホストが正しく通信し、ストレージ・デバイスがアタッチおよびマウントされて安全に行われるように、必要な権限やネットワーク・アクセス制御の構成を拡張します。
- ネットワーク・セキュリティ
仮想ネットワーク、ロード・バランシング、DNSおよびゲートウェイなどのネットワーク要素を安全に構成します。
Oracleはネットワークインフラストラクチャーのセキュリティーを確保します。
- クライアントとエンドポイントの保護
ユーザーは、モバイル・デバイスやブラウザなどの様々なハードウェアおよびソフトウェア・システムを使用してクラウド・リソースにアクセスすることがあります。Oracle Cloud Infrastructureサービスへのアクセスを許可するすべてのクライアントおよびエンドポイントのセキュリティを確認します。
- 物理セキュリティ
Oracleは、Oracle Cloud Infrastructureサービスの実行に使用されるグローバルな物理インフラストラクチャ(ハードウェア、ソフトウェア、ネットワークおよび機能)を保護します。