OCIでのゼロトラスト・アーキテクチャの構築- パート1: アイデンティティとアクセス (2024/02/28)

https://blogs.oracle.com/cloud-infrastructure/post/zerotrust-oci-identity

投稿者： Harsh Aseeja | Senior Principal Product Manager

今日の急速に進化する脅威の状況では、フィッシング攻撃、権限のないエスカレーション、資格証明の盗難、内部脅威、ランサムウェアなどのセキュリティ上の課題に直面しています。ゼロトラスト・セキュリティ・モデルは、クラウド・リソースを安全な方法でデプロイするためのフレームワークを提供します。米国立標準技術研究所(NIST)によると、ゼロトラストは、「資産またはユーザーアカウントに、物理的またはネットワーク上の場所(つまり、ローカルエリアネットワークとインターネット)のみに基づいて、または資産所有権(企業または個人所有)に基づいて暗黙の信頼が付与されていない」ことを前提としています。次の原則は、ゼロ・トラストの中心です。

• 信頼を明示的に検証
• 最小特権アクセスの適用
• 常に侵害を前提に

これらの原則は、複数の防御層を提供するために、包括的なコントロール・プレーン全体に適用されます。

ゼロトラスト・モデルを採用するには、かなりの時間と労力が必要です。セキュアなアプローチを確立し、維持するために、時間の経過とともに増分的な進歩をコミットする必要があります。まず、ユーザー、デバイス、サービスおよびデータを理解し、ユーザーの行動を評価し、制限ポリシーを確立し、ネットワークに対する固有の信頼を排除することから始めます。Oracleは、ゼロトラスト・セキュリティ・イニシアチブを支援します。

Oracle Cloud Infrastructure(OCI)は、クラウド内のワークロードを迅速かつ効果的に保護するために、組み込みのセキュリティ・アーキテクチャとセキュリティ・サービスをお客様に提供するように設計されています。この目標は、マルチチーム・マルチマイルストーン・プロジェクトであり、ゼロトラスト・アーキテクチャを実現するために実行可能なステップに分けられます。OCIでのゼロトラスト・アプローチの導入の詳細をご覧ください。

ゼロトラストとは、アイデンティティとアクセスの管理から始まります。

ゼロトラスト・モデルを確立するための最初のステップは、アイデンティティとアクセス制御を実装することです。OCI Identity and Access Management (IAM)サービスは、ゼロトラスト・モデルの実装に向けたジャーニーを開始し、リソースへのアクセスを許可されている人、デバイスおよびプロセスのみがアクセスできることを確認するのに役立ちます。OCI IAMは、Oracleのクラウドへの玄関口として機能しますが、エンタープライズ・オーディエンスとコンシューマ・オーディエンスの両方に対応するスタンドアロンのIdentity-as-a-Service (IDaaS)プラットフォームとしても機能します。OCI、サードパーティ・クラウド、オンプレミスで実行されているアプリケーションとサービスの様々なアイデンティティおよびアクセス管理のユースケースに対応します。

明示的に検証

OCI IAMは、あるアプリケーションから別のアプリケーションに移動する際に、認証および認可ステータスを常に評価することで、ユーザーの保護を支援します。様々なシグナルとポリシーを使用して、リソースおよびアプリケーションへのシングル・サインオン(SSO)を中断を最小限に抑えながらシームレスなエクスペリエンスを提供します。また、複数の資格証明および弱いパスワードの使用の防止にも役立ちます。必要に応じて、OCI IAMは、多要素認証(MFA)、パスワードレス認証、リスクベースの認証など、幅広い認証要素でユーザーにチャレンジできます。

Oracle Mobile Authenticator

OCI IAMは、柔軟なポリシー・フレームワークを通じて、OCIリソースのコースおよびファイングレイン認可を定義する機能も提供します。

最小特権アクセスの適用

OCIでは、アクセスはデフォルトで拒否されます。管理者は、ポリシーで権限を付与されている少なくとも1つのグループに割り当てられるまでは、どのリソースにもアクセスできません。OCI内のすべての認可は、次のようなアクセス・ポリシーを作成するための使いやすいポリシー構文を提供するIAMポリシーを介して提供されます。

Allow group DBAdmins to manage database-family in tenancy

同様に、グループのメンバーには、そのグループが1つ以上のアプリケーションまたはアプリケーション・ロールにマップされるまで、アプリケーションにアクセスする権限がありません。グループがマップされると、グループ・メンバーは適切なアクセス権を持ちます。

「アクセス許可」にデフォルト設定するのではなく、許可されている場所に明示的にアクセス権を付与する必要があるため、ゼロトラスト・アプローチを採用しています。

常に侵害を前提に

OCI IAMは、すべての認証リクエストでリスクを評価します。OCI IAM Adaptive Securityは、リスクベースの認証を提供し、ユーザーのセッション・コンテキストを履歴動作を含む複数のリスク要因に対して調査および評価して、リクエストを許可するか、ブロックするか、追加の認証ファクタに対してチャレンジするかを判断できるようにします。この構成では、ゼロ・トラストを実装する重要な機能である適応型セキュリティ・モデルが作成されます。また、サードパーティ・プロバイダーのリスク・スコアを活用して、リスク評価の精度を高めることもできます。サインオン試行の失敗が多すぎたり、場所間を移動できないなどの要因に基づいて、ユーザーに強力な認証機能を適用します。

OCI IAMアダプティブ・セキュリティ・リスク・プロバイダ

アダプティブ・セキュリティは、各ユーザーをプロファイルし、独自のリスク・スコアと全体的な統合リスク・レベル(高、中、低)に到達します。これらのスコアおよびリスク・レベルをポリシーとともに使用して、サインオン要件をリアルタイムで変更できます。

まとめ

ゼロトラスト・セキュリティ・モデルを採用することで、クラウド・プラットフォームでリスクに対処するための強力な基盤となります。この記事では、ゼロトラスト・アプローチの構築を支援する強力なアイデンティティとアクセス制御の実装に焦点を当てました。OCI IAMにより、組織は認証および認可ポリシー、リスク・スコアリング、ユーザーへのフラグ付け、修正ポリシーの適用を継続的に評価し、フィッシング、権限のエスカレーション、資格証明の盗難、内部脅威などのIDベースの攻撃を減らすことで、セキュリティ態勢を強化し、さまざまなサイバー脅威から保護することができます。

この記事で説明するアプローチの詳細は、次のドキュメントを参照してください。

• OCI IAM Identity Domains
• OCI IAM Multifactor Authentication
• OCI IAM Adaptive Security

Oracle Cloud Infrastructureの詳細は、Oracle Cloud Free Trialから始めるか、デモ用のOracle営業チームにお問い合せください。