[OCI]Oracle Cloud Infrastructure Security Zonesの簡単な構成 (2020/10/28)
Oracle Cloud Infrastructure Security Zonesの簡単な構成 (2020/10/28)
https://blogs.oracle.com/cloud-infrastructure/easy-configuration-of-oracle-cloud-infrastructure-security-zones
投稿者:Umair Siddiqui | Principal Product Manager
前回のブログでは、Oracle Cloud Infrastructureのサービス「Cloud Guard」を取り上げました。
今回のブログでは、新たにリリースされたもう1つのセキュリティサービス「Security Zones」について見ていきます。
成功のためのレシピ
前述したように、Cloud Guard は、セキュリティ違反を検出して是正措置を取るためのセキュリティ ルールまたはレシピをあらかじめ構築して提供しています。
これらのルールは、デフォルトのレシピを複製して、次のパラメータを変更することでカスタマイズすることができます。
- リスクレベル
- ルールの有効化・無効化
- APIキーの有効期限などのパラメータの変更
Security Zonesは、ロックされていて変更できないセキュリティルールをベストプラクティスとして提供することで、さらに一歩進んでいます。
Security Zonesを作成すると、Security Zonesと同じ名前のコンパートメントが作成されます。
既存のコンパートメントに対してSecurity Zonesを有効にすることはできません。
関連するコンパートメントを削除することでセキュリティゾーンを削除することができますが、
これは、そのコンパートメント内のすべてのリ ソースが削除または削除された場合にのみ実行できます。
これらのセキュリティルールは、リソースの作成要件だけでなく、リソースの移動要件を規定します。
以下の例は、あらかじめ構築されたベストプラクティスのセキュリティポリシーです。
- パブリックインターネットを使用しない
- Key Managementサービスを利用した顧客管理キーを常時使用
- あるセキュリティゾーンが有効なコンパートメントから別のセキュリティゾーンが有効なコンパートメントにだけリソースを移動が可能
- データベースは常にバックアップされている
- オブジェクトストレージにはプライベートな可視性のみ
Security Zones と Cloud Guard は併用することができ、相互に排他的なものではありません。
お客様は、リソースをデプロイする前に、Security Zonesに組み込まれているセキュリティポリシーを慎重に確認する必要があります。
Security Zones対応のコンパートメントの作成
[セキュリティ] メニューから [セキュリティ ゾーン] を選択し、[セキュリティ ゾーンの作成] を選択します。
この名前は、[コンパートメント内で作成] フィールドで指定した、Security Zonesが有効な新しいコンパートメントに使用されます。
このコンパートメントに適用されているポリシーは、「レシピ」の「レシピ名」と「ポリシー」をクリックすることで確認することができます。
ユースケース
Security Zones を使用して、Oracle Cloud のサービスとしてのデータベースまたはコンピュート インスタンス上にデータベースをデプロイすることができます。
本番環境のデータベースには、厳格なセキュリティポリシーが必要です。
パブリック IP アドレスを使用してはならず、ブロック ストレージはすべて、Oracle Vault サービスの顧客管理キーを使用して暗号化する必要があります。
データベースがComputeインスタンスにインストールされている場合は、そのインスタンスのブートボリュームを暗号化する必要があります。
Security Zonesは、これらのすべてとそれ以上のものを定義しており、ヒューマンエラーがこれらを覆したり、妥協したりすることはできません。
このリファレンスアーキテクチャでは、Security Zonesの例も紹介しています。
まとめ
まとめると、厳格なポリシーで事前に用意されたセキュリティ姿勢を求めるなら、Security ZonesとCloud Guardを利用しましょう。
Cloud Guardでは、導入シナリオごとにルールをカスタマイズできる柔軟性がある。
厳格なポリシーを備えたプリプロビジョニングされたセキュリティ姿勢が必要で、カスタマイズを行いたくない場合は、Security Zones のみを使用します。
Cloud GuardとSecurity Zonesの詳細については、以下のリソースを参照してください。
コメント
コメントを投稿