OCIテナンシのセキュリティ・ベスト・プラクティスの概要 (2024/03/29)

https://www.ateam-oracle.com/post/oci-tenancy-security-best-practices-guide-overview

投稿者： Johannes Murmann | Master Principal Security Cloud Architect.

Abhi Mukherjee | Principal Cloud Architect

Chaitanya Chintala | Cloud Security Advisor

目的

このガイドの目標は、Oracle Cloud Infrastructure (OCI)テナンシがハイセキュリティ・ポスチャを持つように構成され、Center for Internet Security (CIS) OCI Foundations BenchmarkおよびOracleによって提供されるクラウド・セキュリティのベストプラクティスに準拠していることを確認するためのプロセスと簡単なステップを提供することです。新しいOCIテナンシから開始するか、既存のワークロードで管理するかに関係なく、目標は一貫したままです。つまり、テナンシのセキュリティを確保し、時間の経過とともにそのセキュリティを維持することです。

このブログでは、非常に推奨されるセキュリティ制御に焦点を当て、後続のブログ投稿で推奨される追加のセキュリティ制御に対処します。

ブログ全体を通して、ブログ、統合ガイドおよびOracleドキュメントへの豊富なリンクをホストするセキュリティガイドのGithubリポジトリを参照します。

新しいテナンシでの基本セキュリティの設定または既存のテナンシのセキュリティ状況の評価に関する規定のガイダンスをお探しの場合は、次のリンクを使用してスキップします。

• OCI Tenancy Security Best Practices Guide - New tenancy
• OCI Tenancy Security Best Practices Guide - Existing tenancy

コンセプト

推奨事項を掘り下げる前に、いくつかの概念と業界標準を導入する必要があります。

インターネットセキュリティセンター

業界のOracleおよびサイバー・セキュリティの専門家は、Center for Internet Security (CIS)と協力して、Oracle Cloud Infrastructure内の推奨デプロイメント・プラクティスを概説した規範的なガイドラインを公開しています。これらの演習には、堅牢なセキュリティ体制を維持するための様々な制御の構成が含まれます。

Oracleのベストプラクティス

オラクルは、クラウド・セキュリティおよびネットワーク・ソリューション・アーキテクトとして、OCIの初登場以来、お客様がセキュリティ制御を実装できるよう支援してきました。長年にわたり、私たちは複数の顧客の課題と設計上の課題を特定してきました。オラクルの組織の推奨事項とベスト・プラクティスは、まとめて「Oracleベストプラクティス」と呼ばれます。

CIS OCIベンチマーク

テナンシ設計に関するオラクルのベストプラクティスと推奨事項のほとんどは、Center for Internet Security (CIS) OCI Foundations Benchmarkとそれが提供する推奨事項を中心にアンカーされています。

別のセキュリティ・フレームワークを使用している場合は、このドキュメントに従って、CISセキュリティ制御およびその他のフレームワーク(NIST、ISO、HIPAA、PCI、SOC 2など)をマップする方法を確認できます。

顧客情報システムOCIランディング・ゾーン

CIS OCIランディングゾーン・アーキテクチャは、CIS Foundations Benchmarkの推奨事項に沿ったセキュアなOCIテナンシの自動デプロイメントを容易にします。また、Terraformベースのランディングゾーンでは、このドキュメントでさらに詳しく説明する、強く推奨されるコントロールへの対応をサポートするために必要なリソースをプロビジョニングしています。Terraformテンプレートは、oracle-quickstartプロジェクトのGitHubで公開されています。クイックスタートは、そのまま使用することも、必要に応じてカスタマイズすることもできます。質問や問題がある場合は、ランディングゾーンのGitHubリポジトリに問題を提出してください。

CISコンプライアンスチェッカ

Oracleは、CIS OCI Foundations BenchmarkおよびOracle Best Practicesへの準拠を評価するために、任意のOCIテナンシに対して実行できる評価スクリプトを作成しました。このスクリプトは、ベンチマークに準拠していない領域に関するインサイトと、その修正方法に関する推奨事項を提供します。

セキュリティに関する推奨事項

OCIテナンシのセキュリティ体制を強化するには、6つの基本的なセキュリティ制御領域に焦点を当てることをお薦めします。

ロギング、監視およびアラート

関連するリソースにトリアージするために提示されたセキュリティ関連のイベントに関するログを積極的に記録する能力は、サイバーセキュリティインシデントの検出と防止の鍵となります。多くの組織では、セキュリティ情報およびイベント管理(SIEM)プラットフォームを使用して、関連するアセットからのログとアラートを関連付けて分析しています。

推奨コントロール:

• OCI監査ログSIEM統合
  フォレンジック、アラートおよび分析目的で、テナンシ全体の監査ログをすべてのリージョンからSIEMに送信します。

クラウド・セキュリティ体制管理

定義済のセキュリティ・ベースラインからの逸脱に対する継続的なスキャンおよびアラートによるテナンシのセキュリティ状態への可視性は重要です。これにより、攻撃ベクトルを公開する可能性のある構成ミスやドリフトを防止できます。

推奨コントロール:

• テナンシと統合されたCSPM
  ネイティブのCSPM機能またはサードパーティ・ツールを使用して、テナンシをスキャンし、結果についてアラートを生成します。

アイデンティティおよびアクセス管理

エンタープライズ・アイデンティティ・プロバイダを介してOCIコンソールに統一された認証方式を適用し、すべてのユーザーにマルチファクタ認証(MFA)などのセキュリティ制御を適用することは、一元管理されたユーザー・ライフサイクルとともに重要なコンポーネントです。リソースへのアクセスは職務の分離アプローチによって管理され、ユーザーは自分のジョブ・ロールの実行に必要なリソースにのみアクセスできます。

推奨コントロール:

• シングル・サインオン(SSO)用のエンタープライズ・アイデンティティ・プロバイダ(IdP)と統合されたOCIコンソール
  エンタープライズSSO資格証明を使用して、追加の資格証明を管理するのではなく、OCIコンソールにアクセスしていることを確認してください。
• 一元化されたユーザー/グループ・ライフサイクル管理
  優れたアカウント衛生を確保し、ユーザー管理を行う際のヒューマン・エラーのリスクを軽減します。System for Cross-Domain Identity Management (SCIM)プロトコルで構成されたIdPを使用すると、ユーザー・プロビジョニング・ライフサイクル全体でユーザー・アイデンティティ・データの交換を安全に自動化できます。たとえば、新規採用者が入社した場合、新規ユーザーは自動的にプロビジョニングされるか、従業員が終了した場合、アクセスは取り消されます。
• OCIコンソール・アクセスに対してマルチファクタ認証が強制されていることを確認します
  ログイン・プロセス中にセキュリティの追加レイヤーを追加し、権限のないユーザーがOCIリソースにアクセスすることを困難にする主要なCIS推奨事項。
• コンパートメント構造ではアクセス制御とグループ化がサポートされます。
  コンパートメント構造が、チームの運用モデルに合せたリソースの論理グループをサポートし、ワークロードの追加時にアクセス制御を効率的にスケーリングできるようにします。

ネットワーク管理とセキュリティ

セキュアでスケーラブルなネットワーク・アーキテクチャの実装は、従来のオンプレミス・デプロイメントと同様に、クラウド・ベースの環境でも重要です。重要なアーキテクチャの更新を必要とせずに、トポロジで必要に応じてトラフィック検査と回復性のある接続を提供することが重要です。

推奨コントロール:

• セキュアでスケーラブルなネットワーク
  現在および予測可能な将来のワークロードに対応するセキュアでスケーラブルなアーキテクチャを確保します。ハブ・トポロジおよびスポーク・トポロジは、ハブVirtual Cloud Network (VCN)を介してトラフィックを検査できるため、この要件を満たす一般的な方法です。ネットワーク・セキュリティ・グループやネットワーク・ファイアウォールなどのテクノロジを使用して、イングレスおよびエグレス・トラフィックを検査および制限することをお薦めします。その他のベストプラクティスには、開発/テスト、非本番および本番ワークロード用の専用コンパートメントとSCNがあります。
• 自己回復性のある接続
  オンプレミスや他のクラウドへのOCI接続の多様性と回復力を企業の要件に合わせます。単一障害点がないこと、およびフェイルオーバー/フェイルバックの完全なテストを実施していることを確認します。

クラウドガバナンス

このドメインでは、テナンシ内のクラウド支出とプロビジョニングされたアセットの可視化に重点を置いています。特に、妥協または認可されていないリソース作成による予期しない支出を迅速に検出するためのツールとプロセスがあります。

推奨コントロール:

• 予期しないOCIクラウド支出の可視化
  クラウド支出、特に予想外の支出を可視化できます。
• 予期しない支出のアラート
  予期しないコストを適切なユーザーに通知します。

データベースセキュリティ

データベースセキュリティ制御は、データの格納場所にあるデータを保護し、データの可用性、整合性、機密性に対する損傷を軽減または防止するために不可欠です。テナンシ内のデータベースを継続的にスキャンし、セキュリティベースライン構成からの逸脱を報告するためのプロセスとツールを配置する必要があります。

推奨コントロール:

• すべてのOCIデータベース・インスタンスがData Safeに登録されています
  ネイティブのData Safeサービス機能を活用して、すべてのOCIデータベースのセキュリティ・プロファイルとコンプライアンスを監視および評価します。
• すべてのデータベースの定期的なData Safeセキュリティ評価
  すべての登録済データベースのセキュリティ評価が少なくとも90日ごとに実行されるようにします。

非常に推奨されるセキュリティ制御のサマリー:

OCIテナンシのジャーニーはどこにありますか?

現在のOCIテナンシのセキュリティ体制および構成された設定を理解することは、採用すべきアプローチに影響を与えるため、非常に重要です。

通常、2つのタイプのシナリオが表示されます。

• リソースがプロビジョニングされておらず、ワークロードが実行されていない新しいテナンシ
• 本番ワークロードが実行されている既存および確立されたテナンシ

新しいテナンシのアプローチは、現在の状態がわかっていて、本番ワークロードの実行を考慮する必要がないため、ほとんどまっすぐです。

既存のテナンシの一意の構成にもかかわらず、オラクルの推奨されるセキュリティ制御との整合性を測定するための評価を実施することは、簡単なままです。この評価に続いて、アプローチおよび潜在的な修復タスクとそのリスク評価、計画および実行の定義が管理可能になります。

次のステップ

これまでのところ、これらのドメイン内の概念、セキュリティ・ドメインおよびコントロールの概要が提供されており、これを確認することをお薦めします。

テナンシを保護する次のステップは、新しいテナンシまたは既存のテナンシのシナリオを詳細にカバーする特定のブログの1つを選択することです。

• OCI Tenancy Security Best Practices Guide - New tenancy
• OCI Tenancy Security Best Practices Guide - Existing tenancy

その他の推奨リソース

• Oracle Cloud Infrastructureソリューション・プレイブックのベストプラクティス・フレームワークを確認することをお薦めします。このフレームワークでは、最初のワークロードをOCIにデプロイしたり、既存のテナンシをチェックして、他のOracleのお客様が得たエクスペリエンスに頼っていることを確認するために、お客様のプロジェクト・プランで必要となる主要な項目のより広範な概要が提供されています。
• 「Oracle Cloud Infrastructure Center for Internet Securityランディング・ゾーンのデプロイ」ワークショップをご覧ください。
• サイバー・レジリエンス機能をOCIテナンシに組み込む方法については、ソリューション・プレイブックをご覧ください。