クラウド・ガードについて＜概要編＞

Transcript

1. © 2024 Database Technology Inc. All Rights Reserved. 株式会社データベーステクノロジ クラウド・ガードについて

   ～概要編～ 2024年09月30日 (月) 下山 星夜

2. © 2024 Database Technology Inc. All Rights Reserved. 2 はじめに

   本書は、Oracle Cloud Infrastructure（以下「OCI」）のマネージドサービ スであるクラウド・ガードについて、弊社の解釈による解説を付記して紹介 するものです。 OCIの各サービスにおける最新情報については、オラクル社による公式情報 をご確認ください。 OCIコンソールの実際の画面は、本書と若干異なる可能性がございます。

3. © 2024 Database Technology Inc. All Rights Reserved. 3 第1回：クラウド・ガードの概要

   第2回：ディテクタの説明 第3回：レスポンダの説明 第4回：問題・問い合わせの説明、まとめ ※クラウド・ガードは、4回に分けて機能紹介を行います。本書は1回目です。 各回のタイトル

4. © 2024 Database Technology Inc. All Rights Reserved. 4 Index

   1. クラウド・ガードとは 2. クラウド・ガードの特徴 1. クラウド・ガードの有効化の手順 2. クラウド・ガードの概要ページ 3. クラウド・ガードの無効化の手順 3. クラウド・ガードの設定および動作フロー 4. ちょこっとコラム 5. まとめ Cloud Guard

5. © 2024 Database Technology Inc. All Rights Reserved. 5 1.

   クラウド・ガードとは

6. © 2024 Database Technology Inc. All Rights Reserved. 6 1：クラウド・ガードとは

   ⚫ OCIのセキュリティサービスの一種 ⚫ テナンシレベルで以下の問題を検出する ⚫ クラウドの構成の危険個所 ⚫ クラウドや特定のコンピュートインスタンス内での、不審なアクティビティ ⚫ 検出した問題に対して、手動対応やOracleが設定した自動対応を行う事も 可能 テナンシレベルで機能するセキュリティサービス

7. © 2024 Database Technology Inc. All Rights Reserved. 7 Tenancy

   1：クラウド・ガードの概要図 Cloud Guard OCI Region:AP-OSAKA-1 Availability Domain 1 Subnet VCN Virtual Machine OCI Region:AP-TOKYO-1 Availability Domain 1 Subnet VCN Virtual Machine リージョンより上の、 テナンシレベルで機能する

8. © 2024 Database Technology Inc. All Rights Reserved. 8 Tips：OCIのコアセキュリティサービス一覧

   ⚫ IAM（Identity and Access Management）……柔軟なアクセス制御 ⚫ 監査ログ（Audit）……OCI内の全てのアクティビティログを管理 ⚫ 要塞（Bastion）……VM （Virtual Machine）やデータベースへのセキュアな接続 ⚫ DDoS保護（DDoS Protection）……レイヤー3/4のDDoS攻撃から保護 ⚫ クラウド・ガード（Cloud Guard）……クラウド全体の脆弱性を監視 ⚫ 脅威インテリジェンス（Threat Intelligence Service）……疑わしいアクティビティを検出 ⚫ セキュリティゾーン（Security Zones）……コンパートメントをセキュアに保護 ⚫ 脆弱性スキャン（Vulnerability Scanning Service）……VMやコンテナの脆弱性を監視 ⚫ 証明書（Certificates）……電子証明書や認証局（Certificate Authorities）の作成

9. © 2024 Database Technology Inc. All Rights Reserved. 9 2.

   クラウド・ガードの特徴

10. © 2024 Database Technology Inc. All Rights Reserved. 10 2：クラウド・ガードの特徴1

    ⚫ 大半の機能が無料で使えるサービス ⚫ 無料でも十分な検出機能が利用可能 ⚫ 課金すれば、より詳細な検出が可能（課金が発生する場合の説明はp.26へ） 無料で使えるので、気軽に使用可能

11. © 2024 Database Technology Inc. All Rights Reserved. 11 2：クラウド・ガードの特徴2

    ⚫ デフォルトでは無効化状態なので、有効化する必要がある ⚫ 前提条件として、有料のテナンシが必要 ⚫ レポートリージョンの設定に注意（レポートリージョンの説明はp.12へ） ⚫ サービスを停止したい場合は、無効化を行う ⚫ 無効化した場合は、設定が全てリセットされてしまう点に注意する 停止したい場合は無効化しかない

12. © 2024 Database Technology Inc. All Rights Reserved. 12 Tips：レポートリージョンとは？

    ⚫ 検出された問題の結果を管理するリージョン ⚫ レポートリージョンは、OCIホームリージョンと同じ意味ではない ⚫ クラウド・ガードを有効化する際に、最初に選択する ⚫ クラウド・ガードを無効化しない限り、レポートリージョンの再設定は不可能 ⚫ レポートリージョンに設定した国の、全ての法的要件に準拠する ⚫ READを除く全てのAPIコールは、レポートリージョンで実行する必要がある レポートリージョンの設定には注意が必要

13. © 2024 Database Technology Inc. All Rights Reserved. 13 2-1.

    クラウド・ガードの有効化の手順

14. © 2024 Database Technology Inc. All Rights Reserved. 14 2-1：クラウド・ガードの有効化の手順1

    1. ホーム画面のメニューを選択 2. アイデンティティとセキュリティを選択 3. クラウド・ガードを 選択

15. © 2024 Database Technology Inc. All Rights Reserved. 15 2-1：クラウド・ガードの有効化の手順2

    4. クラウド・ガードの有効化を 選択 5. レポートリージョンを選択

16. © 2024 Database Technology Inc. All Rights Reserved. 16 2-2.

    クラウド・ガードの概要ページ

17. © 2024 Database Technology Inc. All Rights Reserved. 17 2-2：概要ページ

    ⚫ 全体的なセキュリティ状況を、迅速に把握 ⚫ 総合的なセキュリティスコアを、4段階で評価 ⚫ セキュリティスコアは、あくまで大まかな評価である事に注意する ⚫ セキュリティスコアに囚われ過ぎず、環境に合わせた構成を心掛ける 不可（0～39） 可（40～59） 良（60～79） 優（80～100） セキュリティスコア

18. © 2024 Database Technology Inc. All Rights Reserved. 18 2-2：実際の概要ページ画面

    テナンシで有効化している 全てのリージョンを監視 セキュリティスコア

19. © 2024 Database Technology Inc. All Rights Reserved. 19 2-3.

    クラウド・ガードの無効化の手順

20. © 2024 Database Technology Inc. All Rights Reserved. 20 2-3：クラウド・ガードの無効化の手順

    2. 設定からクラウド・ガードの無効化を選択 1. 項目一覧から構成を選択

21. © 2024 Database Technology Inc. All Rights Reserved. 21 2-3：クラウド・ガードの無効化の注意点

    無効化すると、有効化前の画面になる 無効化すると設定がリセットされてしまうので、慎重に行う

22. © 2024 Database Technology Inc. All Rights Reserved. 22 3.

    クラウド・ガードの設定および 動作フロー

23. © 2024 Database Technology Inc. All Rights Reserved. 23 3：クラウド・ガードの設定および動作フロー

    1. ターゲット……監視対象とするコンパートメントの設定 ⚫ 監視対象の設定は、最初に行う 2. ディテクタ……問題を検出 3. 問題……問題を表示 4. レスポンダ……検出された問題に対して通知・対応 監視対象を設定した後は、問題を検出→対応の繰り返し

24. © 2024 Database Technology Inc. All Rights Reserved. 24 3：ターゲット

    ⚫ クラウド・ガードで監視する対象の範囲を設定 ⚫ 1つのコンパートメントに、1つのターゲットを設定可能 ⚫ 選択したコンパートメントおよび、子コンパートメントもチェック対象 ⚫ 別のターゲットに出会うまでは、いくらでも子コンパートメントを下る 監視対象となるコンパートメントを選択

25. © 2024 Database Technology Inc. All Rights Reserved. 25 3：ディテクタ

    ⚫ ターゲットのセキュリティ状況をチェックし、問題を検出 ⚫ 4種類のディテクタレシピに基づいて、問題のディテクタタイプを分別 ⚫ 構成……OCIのリソース構成・設定をチェック ⚫ アクティビティ……OCIのリソース作成・削除・更新等のアクティビティをチェック ⚫ 脅威……OCIのユーザの悪質性をチェック ⚫ インスタンスセキュリティ……コンピュートインスタンスに特化したチェック ⚫ 1つのターゲットに、各ディテクタタイプのレシピを1つずつ設定可能 ディテクタによって、セキュリティ状況をチェック

26. © 2024 Database Technology Inc. All Rights Reserved. 26 Tips：クラウド・ガードで課金が発生する場合とは？

    ⚫ ディテクタレシピの内、インスタンスセキュリティ・ディテクタレシピのみ2種類のタイ プが存在する ⚫ Standard……無料で使えるレシピ。基本的な検出のみ可能 ⚫ Enterprise……有料で使えるレシピ。1ノードあたり1.0695円／月。豊富な検出が可能 課金の有無はタイプを確認

27. © 2024 Database Technology Inc. All Rights Reserved. 27 3：問題

    ⚫ ディテクタによって検出された問題を表示 ⚫ 検出された問題に対して、3種類の対応が可能 ⚫ 修正……クラウド・ガードのレスポンダを使用して対応（レスポンダの説明はp.28へ） ⚫ 解決済としてマーク……手動で対応。対応が不十分だと問題が再検出される可能性があ り、その場合は再度オープン ⚫ 終了……終了済みとして問題をクローズ。問題が再検出されても、オープンはしない 検出された問題に対して、どのように対応するかを決定

28. © 2024 Database Technology Inc. All Rights Reserved. 28 3：レスポンダ

    ⚫ 問題に対してクラウド・ガードが実行可能なアクション ⚫ レスポンダレシピに基づいて、アクションを実行 ⚫ レスポンダレシピは1種類のみ ⚫ イベント生成による通知や、個別の対応を行う ⚫ 1つのターゲットに、レスポンダレシピを1つ設定可能 レスポンダによって、クラウド・ガードのアクションを実行可能

29. © 2024 Database Technology Inc. All Rights Reserved. 29 4.

    ちょこっとコラム

30. © 2024 Database Technology Inc. All Rights Reserved. 30 4：クラウド・ガードの画面の昔と今

    ⚫ クラウド・ガードの画面は、昔と今とでかなり違う ⚫ 機能追加によって画面が変化 ⚫ 機能追加がなくても、レイアウトが変わる事がある ⚫ 昔の画面は各種設定がそのまま表示されていたが、今の画面は分類ごとに 整理されていて、見やすくなっている 常に変化があるのがクラウドサービスの特徴

31. © 2024 Database Technology Inc. All Rights Reserved. 31 4：クラウド・ガードの昔の画面1

    各種設定がそのまま

32. © 2024 Database Technology Inc. All Rights Reserved. 32 4：クラウド・ガードの昔の画面2

    クラウド・ガード無効化の 画面。 各種設定がそのまま

33. © 2024 Database Technology Inc. All Rights Reserved. 33 4：クラウド・ガードの今の画面1

    各種設定が分類分けされている

34. © 2024 Database Technology Inc. All Rights Reserved. 34 4：クラウド・ガードの今の画面2

    クラウド・ガード無効化の画面。 構成という分類に含まれている

35. © 2024 Database Technology Inc. All Rights Reserved. 35 5.

    まとめ

36. © 2024 Database Technology Inc. All Rights Reserved. 36 5：まとめ

    ⚫ クラウド・ガードは基本的に無料で使える、セキュリティサービス ⚫ テナンシレベルで機能する ⚫ 最初に監視対象を決めて、その後は問題を検出して対応していく ⚫ セキュリティスコアはあくまで指標 クラウド・ガードでテナンシ全体のセキュリティ向上を！

37. © 2024 Database Technology Inc. All Rights Reserved. 37 お問い合わせ

    OCIに関するお困りごとは，ぜひ弊社までご相談ください。 お電話でのお問い合わせ 075-231-6131 受付時間：平日 10:00～17:00 メールでのお問い合わせ [email protected] ※お手数ですが、御社名、ご氏名、 お問い合わせ内容を本文中にご記載ください。 https://www.db-tec.com/ 弊社ホームページからも、お問い合わせを承っております。 Oracleは、オラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標である場合があります。