ホストを保護するためのOCI脆弱性スキャンの有効化
Oracle Cloud Infrastructure (OCI)にデプロイするホストに今日および将来の脆弱性がないことを確認するには、脆弱性スキャン・サービス(VSS)を有効にし、各リージョンですべてのVMおよびベア・メタル・インスタンスのターゲットを作成する必要があります。
VSSのレポート機能を使用して、各リージョンのホストの現在のリスク・レベルを確認するか、これらの結果を表示してCloud Guardでアクションを実行します。
ホストをスキャンしたら、ソートおよびフィルタリングして、最も影響を受けるホストを検索したり、ホストが担当するホストを検索したりできます。このサービスは、National Vulnerability Database - NVD and RedHatのオープン・ソース・フィードから最新の共通脆弱性(CVE)を収集します。次に、このデータをホスト上のインストール済パッケージと照合して、サービスがセキュリティ・リスクについてレポートできるようにし、発生する必要があるパッチの詳細を含むNational Vulnerability Database (NVD)へのリンクを提供します。
一致する各CVEの共通脆弱性スコアリング・システム(CVSS)ベース・スコアは、Oracle Cloud Guardで使用されるリスク・レベル(クリティカル、高、中、低およびなし)にマップされます。この照合は、NVDがCVSS v3.0レーティングをリスク重大度にマップする方法を反映します。
すべての結果は、イベントおよびロギング・ストリームに送られ、SIEMなどの他のシステムで使用されます。また、Cloud Guardで結果を表示して、ホストに対する問題としてマークするリスク・レベルや、ホストに対する問題となるオープン・ポートを決定することもできます。
アーキテクチャ
このアーキテクチャでは、VSSがホストとそのターゲットに関する重要な情報を提供する方法について説明します。
VSSは、プラグインを使用してホストをスキャンします。このプラグインは、Oracle Cloudエージェントを含む各ホストで静止して実行されます。また、サービスはすべてのパブリックIPにpingを実行してポート情報を収集し、VSSがこれらの結果を収集してサービスからレポートを作成し、それらをロギング、イベントおよびクラウド・ガードに転送できるようにします。
Oracle Cloud Infrastructure Registry (OCIR)はVSSコンテナ・スキャナ・エンジンを利用して、スキャンされたイメージで使用されている脆弱なパッケージを検出します。現在、このコンテナ・スキャンはOCIRでのみ有効化および表示できます。
VSSは、「考慮事項」のトピックの「有効化」に記載されている構成ステップを実行するまで、ホストをアクティブにスキャンしません。ここで説明するように、ホストをスキャンの対象にできます。
このアーキテクチャ図は、脆弱性スキャンをリージョンで構成し、グローバル・リージョンのクラウド・ガードで問題を表示する方法を示しています。
図vulnerability_scan_arch.pngの説明
OCI顧客は、コンパートメントBおよびCのすべてのコンピュート・インスタンスをスキャンするターゲットを作成します。これらの仮想マシン(VM)でCVE、CISベンチマークおよびオープン・ポートが定期的にスキャンされます。その後、スキャン・サービスのレポートを使用して、またはCloud Guardリージョンのレポート・コンソールで結果を表示できます。通常、DEVおよびQAチームは、アプリケーションを本番コンパートメントにデプロイする前に、特定のコンパートメントの結果を表示する必要があります。これにより、本番前のコンパートメント内のすべてのサーバーにパッチを適用し、すべてが正常に動作していることをテストし、アプリケーションが本番サーバーにリリースされる前に脆弱性が解決されていることを確認できます。運用グループは通常、すべてのリージョンからCloud Guardの問題を監視し、注意が必要な重大な問題を検出したときにコンパートメントに対して修正処理を実行する必要があることを様々なチームに通知します。
- リージョン
Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的領域です。リージョンは他のリージョンから独立しており、広く離れた距離(国間または大陸間)にすることができます。
- 可用性ドメイン
可用性ドメインは、リージョン内のスタンドアロンの独立したデータ・センターです。各可用性ドメインの物理リソースは、フォルト・トレランスを提供する他の可用性ドメインのリソースから分離されます。アベイラビリティ・ドメインは、電源や冷却などのインフラストラクチャや内部アベイラビリティ・ドメイン・ネットワークを共有しません。したがって、ある可用性ドメインで障害が発生しても、リージョン内の他の可用性ドメインには影響しません。
- フォルト・ドメイン
フォルト・ドメインは、可用性ドメイン内のハードウェアおよびインフラストラクチャのグループです。各可用性ドメインには、独立した電源とハードウェアを備えた3つのフォルト・ドメインがあります。リソースを複数の障害ドメインに分散する場合、アプリケーションは障害ドメイン内の物理サーバー障害、システム保守、および電源障害を許容できます。
- 仮想クラウド・ネットワーク(VCN)およびサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定するカスタマイズ可能なソフトウェア定義ネットワークです。従来のデータ・センター・ネットワークと同様に、VCNではネットワーク環境を完全に制御できます。VCNには、VCNの作成後に変更できる複数の重複しないCIDRブロックを含めることができます。VCNは、リージョンまたは可用性ドメインにスコープ指定できるサブネットにセグメント化できます。各サブネットは、VCN内の他のサブネットと重複しない連続したアドレス範囲で構成されます。作成後にサブネットのサイズを変更できます。サブネットはパブリックまたはプライベートにできます。
- ロード・バランサ
Oracle Cloud Infrastructure Load Balancingサービスは、単一のエントリ・ポイントからバックエンドの複数のサーバーへのトラフィック分散を自動化します。
- レシピのスキャン
スキャンレシピを使用して、ホストに対して実行するスキャンの量とタイプを定義します。デフォルトでは、スキャンは毎日実行され、ホストのエージェントを使用して詳細な問題を探します。
- スキャン・ターゲットスキャン・ターゲットを使用して、スキャンを実行する場所(コンパートメント内のすべてのホストとそのすべてのサブコンパートメント、または特定のホストのセット)を定義します。スキャン・サービスは、次のOCIコンピュート・ベース・イメージをサポートします。
- Oracle Linux
- CentOS
- Ubuntu
- Windows ServerOracle Linux、CentOS、UbuntuおよびWindows Server
- Cloud Guard
OCIでリソースのセキュリティを監視および維持するには、Oracle Cloud Guardを使用します。Cloud Guardがリソースのセキュリティ上の弱点を調べたり、オペレータやユーザーのリスクのあるアクティビティを監視するために使用するディテクタ・レシピを定義します。構成の誤りやセキュアでないアクティビティが検出された場合、Cloud Guardは修正処理を推奨し、定義可能なレスポンダ・レシピに基づいてそれらの処理の実行を支援します。
お薦め
- VCN
VCNを作成する場合は、VCNのサブネットにアタッチする予定のリソースの数に基づいて、必要なCIDRブロックの数と各ブロックのサイズを決定します。標準のプライベートIPアドレス空間内にあるCIDRブロックを使用します。
プライベート接続を設定する他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ内)と重複しないCIDRブロックを選択します。
VCNの作成後、CIDRブロックを変更、追加および削除できます。
サブネットを設計する場合は、トラフィック・フローとセキュリティ要件を考慮してください。特定の層またはロール内のすべてのリソースを、セキュリティ境界として機能する同じサブネットにアタッチします。
- レシピのスキャン
スキャン・レシピを作成する場合、VSSが可能なすべてのホスト情報にアクセスできるように、エージェントベースのスキャン(デフォルト)を有効にします。そうしないと、VSSはパブリックIP上のオープン・ポートに関する情報のみを検査できます。
- ターゲットのスキャンルート・コンパートメントを指定して、テナンシ全体のターゲットを作成します。これにより、ルート・コンパートメントおよびすべてのサブコンパートメント内のすべてのリソースが自動的に含まれます。
ノート:
特定のコンパートメントまたは特定のコンピュート・インスタンス(あるいはその両方)のターゲットを作成した場合、VSSは、明示的にターゲットに追加しないかぎり、新しいコンパートメントおよびインスタンスをスキャンしません。
注意事項
VSSを有効にする際には、次の点を考慮してください。
- パフォーマンス
ホストとポートは少なくとも1日に1回スキャンされます。
- セキュリティ
ホストの脆弱性、オープン・ポートおよび悪い構成についてできるだけ早く学習します。VSSコンソールを使用して傾向を追跡しながら、Cloud Guardからもアラートを取得します。
- 可用性
VSSはすべてのリージョンで使用できます。
- コスト
パブリックに面したIPのすべてのホストおよびポートのスキャンでOCIプラグインを使用するコストはかかりません。
- Limits
デフォルトでは、最大100個のスキャンレシピと200個のスキャンターゲットを作成できます。これらのサイズを超えるニーズがある場合は、スキャン制限の増加についてカスタマ・サービスに連絡する必要があります。
- EnablementVSSはすべてのリージョンで使用できますが、お客様はいくつかの機能を有効にしてホストをスキャンする必要があります。次のステップが完了すると、VSSまたはGCの脆弱性および不適切な構成を監視することになります。顧客は次のことを行う必要があります。
- スキャン・サービスがプラグインを実行し、コンピュート・インスタンスに関する情報を収集できるようにするIAMポリシーを作成します。
- 管理者にスキャン・レシピおよびターゲットの作成と管理を許可するIAMポリシーを作成します。
- 1つ以上のスキャンレシピを作成します。
- 1つ以上のスキャン・ターゲットを作成します。
- ホストの脆弱性についてユーザーに通知されるように、Cloud Guardでスキャン検出機能を構成します。
- Cloud Guardの問題に変換されるCVEリスク・レベルと、その特定の問題に対するリスク・レベルを構成します。
- Cloud Guardで問題とみなされるオープン・ポートと、その特定の問題に対するリスク・レベルを指定します。
-
IAMポリシーVSSには、次のIAMポリシーが必要です。
allow group Your Group to manage vss-family in tenancy allow service vulnerability-scanning-service to read compartments in tenancy allow service vulnerability-scanning-service to manage instances in tenancy allow service vulnerability-scanning-service to read vnics in tenancy allow service vulnerability-scanning-service to read vnic-attachments in tenancy