Oracle IDCSの保護と監視について学習

新しいロギング・アナリティクス・サービスを他のOracle Cloud Infrastructure (OCI)サービスと併用して、Oracle Identity Cloud Service (IDCS)インスタンスからセキュリティおよびガバナンスのインサイトを取得できます。このプレイブックでは、サーバーレス機能を使用して、IDCSから監査ログを収集し、分析のためにLog Analyticsにロードするプロセスを自動化する方法を示します。

Oracle Functionsは、Oracle Cloud Infrastructure上に構築されオープンソースのFn Projectエンジンを搭載した、サーバーレスでスケーラブル、完全に管理されたFunctions- as- a- Serviceプラットフォームです。開発者は、Oracle Functionsを使用して、基礎となるインフラストラクチャのプロビジョニングや管理を気にすることなくビジネス価値をもたらすコードを記述してデプロイできます。Oracle Functionsはコンテナ・ネイティブで、Dockerコンテナ・イメージとしてパッケージ化された関数を備えています。

アーキテクチャ

このアーキテクチャでは、関数がIDCS APIをコールしてログを収集し、Log Analytics APIをコールしてLog Analyticsにロードします。APIゲートウェイおよびヘルス・チェックを使用して、ファンクションを5分ごとに実行するようにスケジュールします。現在のステータスがObject Storageバケットに格納されます。この図は、Oracle IDCSインスタンスからセキュリティおよびガバナンスのインサイトを取得できるトポロジおよびデータ・フローを示しています。

図secure- monitor- idcs- arch.pngの説明

secure- monitor- idcs- arch- oracle.zip

リージョン
Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターが含まれる、ローカライズされた地理的な領域です。リージョンは他のリージョンから独立しており、巨大な距離は(国全体または大陸間)分離できます。
コンパートメント
コンパートメントは、Oracle Cloud Infrastructureテナンシ内のリージョン間論理パーティションです。コンパートメントを使用して、Oracle Cloud内のリソースを編成し、リソースへのアクセスを制御して、使用割当て制限を設定します。特定のコンパートメント内のリソースへのアクセスを制御するには、誰がリソースにアクセスできるか、どのアクションを実行できるかを指定するポリシーを定義します。
仮想クラウド・ネットワーク(VCN)とサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義ネットワークです。従来のデータ・センター・ネットワークと同様に、CNはネットワーク環境を完全に制御できます。VCNには、VCNの作成後に変更できる複数の重複しないCIDRブロックを含めることができます。VCNをサブネットにセグメント化できます。これは、リージョンまたは可用性ドメインにスコープを設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックでもプライベートでもかまいません。
APIゲートウェイ
APIゲートウェイ・サービスを使用すると、ネットワーク内からアクセス可能なプライベート・エンドポイントを含むAPIを公開でき、必要に応じてパブリック・インターネットに公開できます。エンドポイントは、API検証、リクエストおよびレスポンス変換、CORS、認証と認可、およびリクエスト制限をサポートしています。
関数
Oracle Functionsは、完全に管理されたマルチテナントで、スケーラビリティに優れたオンデマンドのFunctions- as- a- Service(FaaS)プラットフォームです。Fn Projectのオープン・ソース・エンジンを搭載しています。関数を使用すると、コードを直接コールするか、イベントに応答してトリガーすることによってデプロイできます。Oracle Functionsは、Oracle Cloud Infrastructure RegistryでホストされているDockerコンテナを使用します。
オブジェクト・ストレージ
オブジェクト・ストレージを使用すると、データベース・バックアップ、分析データ、イメージやビデオなどのリッチ・コンテンツなど、あらゆるコンテンツ・タイプの構造化データおよび非構造化データにすばやくアクセスできます。インターネットから直接またはクラウド・プラットフォーム内から、安全かつセキュアにデータを格納し、取得できます。パフォーマンスまたはサービスの信頼性を低下させることなく、シームレスにストレージを拡張できます。迅速、即時、頻繁にアクセスする必要があるホット・ストレージには、標準ストレージを使用します。長期間保持し、めったにアクセスしない「コールド」ストレージにはアーカイブ・ストレージを使用します。
ログ・アナリティクス
ロギング・アナリティクスは、27を超えるリージョンで提供される完全管理型のSaaSリージョン別サービスであり、オンプレミス、OCIまたはサードパーティ・クラウドで実行されているITコンポーネントからのログの収集、索引付け、エンリッチメント、問合せ、ビジュアライゼーションおよびアラート機能を提供します。
ボールト
Vaultは、パスワードおよびクライアント・シークレットの暗号化に使用されるキー管理サービスです。

開始する前に

このプレイブックのステップを正常に完了するには、APIコール用のIDCSアプリケーションOAuthを準備し、OCI環境を準備する必要があります。

デプロイメントおよび使用状況の推奨事項の確認

要件は、ここで説明するアーキテクチャとは異なる場合があります。これらの推奨事項を開始点として使用します。

ログ・グループ
複数のログ・グループを定義して、様々なチームへの適切なアクセス権限を提供し、機密データを共有しないようにします。
Cost Management
ロギング・アナリティクス・サービスは、アクティブおよびアーカイブ・ストレージ内のデータ量に対して課金されます。日常的な問題のトラブルシューティングを可能にし、異常検出、パターン検出およびその他の機械学習機能の利点を得るために、Oracleでは、90日間のアクティブなストレージ期間を使用し、90日より前のログをアーカイブ・ストレージに移動することをお薦めします。保存されたアーカイブからのログは、必要に応じて迅速にリコールできます。

デプロイメントおよび使用状況の考慮事項の確認

クラウドで高可用性アプリケーション・スタックを設計する際には、次の点を考慮してください。

パフォーマンス
問合せパフォーマンスは、時間範囲と、フィルタ、グループ化などの操作数に基づきます。問合せのパフォーマンスを向上させるために、Oracleでは、取込み時に特定のラベルおよびフィールドにログをエンリッチすることをお薦めします。
セキュリティとRBAC。
ログ・ソース定義をカスタマイズして、個人を特定できる情報(PII)データをフィルタリングし、ジオロケーション・エンリッチメントを有効にします。可用性: ログ・アナリティクスは、可用性の高い完全管理型のSaaSサービスです。Oracle Cloud Infrastructure Logging Analyticsアプリは、Oracle Cloud Marketplaceでスタックとして使用できます

APIコールのためのIDCSアプリケーションOAuthの準備

クライアントID/シークレットを使用してIDCS APIを呼び出すには、IDCSでカスタム・アプリケーションを作成し、クライアントID/シークレットを生成する必要があります。IDCSのURL、クライアントIDおよびシークレットを記録してください。

この手順では、トークンを使用してIDCS REST APIを使用するクライアント・アプリケーションを作成します。これにより、この演習の後半で作成する機能を認証するために、ユーザー名とパスワードを入力する必要がなくなります。

IDCSコンソールで、「アプリケーション」を選択し、「追加」をクリックして「機密アプリケーション」を選択します。
アプリケーションに名前を付け、「次」をクリックします。
「Configuration」ウィンドウが表示されます。
「許可される権限付与タイプ」および「リソース所有者」を選択し、Identity Domain Administratorロールをアプリケーションに追加して、クライアントにIdentity Cloud Service管理者へのアクセス権を付与します。「次へ」をクリックします。
「認可として付与を強制」を選択し、「次」、「終了」の順にクリックします。
クライアントIDとクライアント・シークレットを示すポップアップが表示されます。
後で必要になるように、クライアントIDとクライアント・シークレットをコピーします。

OCI環境の準備

次に、適切な権限があり、タスクを完了するために必要なリソースがあることを確認して、OCI環境を準備する必要があります。

次のことを確認してください。

Oracle Cloud Infrastructureテナンシ内の次のタイプのリソースを管理する権限:
- VCN
- インターネット・ゲートウェイ
- ルート表
- セキュリティ・リスト
- サブネット
- 関数
- APIゲートウェイ
- ヘルス・チェック
次のリソースを作成するための十分な割当て:
- 1 VCN
- 1つのサブネット
- 1インターネット・ゲートウェイ
- 1ルート・ルール
- 1関数
- 1動的グループ
- 1ポリシー
- 1つのAPIゲートウェイ
- 1ヘルスチェック

Oracle定義ダッシュボードについて学習

Terraformスタックがデプロイされると、Oracle定義のIDCS監査ログおよびIDCS管理ガバナンス・ダッシュボードがロギング・アナリティクス・サービスに自動的に作成されます。これらのダッシュボードでは、分析データを単一のペインで確認できます。これは、クラウド・アプリケーション・アクティビティの厳密な監視、異常イベントの検出および管理アクションの管理に役立ちます。

IDCS監査ログ・ダッシュボードの理解

IDCS監査ログ・ダッシュボードには、時間範囲の選択に基づいて、チャートおよびビジュアライゼーションを備えた単一ペインにウィジェットを使用して監査情報が要約されます。これにより、選択した期間における様々なアプリケーションおよびユーザー・アクティビティを幅広く表示できます。

IDCS監査ログ・ダッシュボードには、次のデータが要約されています。

合計(アプリケーション用)
アプリケーション・イベントおよびユーザー・イベントの数。
アプリケーション・イベント
アプリケーション・イベントの定期レコードを示すチャート
合計(ユーザー用)
アプリケーション・イベントおよびユーザー・イベントの数。
ユーザー・イベント
ユーザー・イベントの定期レコードを示すチャート
タイプ別のアプリケーション別のイベント
各アプリケーションのイベント・タイプ別にグループ化されたイベントのツリー・マップ・ビジュアライゼーション。
タイプ別のユーザー別のイベント
各ユーザーのイベント・タイプ別にグループ化されたイベントのツリー・マップ表示
アプリケーションによる再パーティション化
アプリケーション別にグループ化されたイベント数の分布を示す円グラフ。
イベント・タイプによる再パーティション化(アプリケーション用)
アプリケーション・イベントについてのみイベント・タイプ別にイベント数をグループ化した円グラフ。
ユーザーによる再パーティション化
ユーザー別にグループ化されたイベント数の分布を示す円グラフ。
イベント・タイプによる再パーティション化(ユーザー用)
ユーザー・イベントについてのみイベント・タイプ別にグループ化されたイベント数を示す円グラフ。

IDCS管理ガバナンス・ダッシュボードの理解

IDCS管理ガバナンス・ダッシュボードには、指定した時間範囲内で、成功した管理アクションと失敗した管理アクションのパラレル・パースペクティブが表示されます。このダッシュボードでは、すべての管理アクティビティの概要と、成功したアクションおよび失敗したアクションに関するインサイトが提供されます。ドリルダウンするには、ログ・エクスプローラでビジュアライゼーションを開き、根本的な原因となる正確なイベントをクリックします。

IDCS管理ガバナンス・ダッシュボードには、次の機能があります。

イベント・タイプおよびユーザー別にグループ化された、ユーザーの管理アクションが成功または失敗するイベントのリンク・ビジュアライゼーション。チャートの各バブルは、特定のユーザーによる特定のタイプのイベントのグループを表します。このビジュアライゼーションは、異常なアクティビティを識別するのに役立ちます。
イベント・タイプおよびユーザー別にグループ化された、ユーザーの管理アクションが成功または失敗するイベントのツリー・マップ・ビジュアライゼーション。各ユーザーに対して、成功した管理アクション・イベントを表す一連の長方形が表示されます。ビジュアライゼーションは、各ユーザーの管理アクティビティを表示する場合に役立ちます。
選択した期間に配布された一致イベント数の積上げヒストグラム・ビュー。各バーのさまざまな色は、異なるユーザーのイベントを表します。
特定のアプリケーションの特定のユーザーにロールが付与されたイベントの表形式分析。