Upgrade to Pro — share decks privately, control downloads, hide ads and more …

クラウド・ガードについて<概要編>

 クラウド・ガードについて<概要編>

Database Technology Inc.

September 30, 2024
Tweet

More Decks by Database Technology Inc.

Other Decks in Technology

Transcript

  1. © 2024 Database Technology Inc. All Rights Reserved. 2 はじめに

    本書は、Oracle Cloud Infrastructure(以下「OCI」)のマネージドサービ スであるクラウド・ガードについて、弊社の解釈による解説を付記して紹介 するものです。 OCIの各サービスにおける最新情報については、オラクル社による公式情報 をご確認ください。 OCIコンソールの実際の画面は、本書と若干異なる可能性がございます。
  2. © 2024 Database Technology Inc. All Rights Reserved. 3 第1回:クラウド・ガードの概要

    第2回:ディテクタの説明 第3回:レスポンダの説明 第4回:問題・問い合わせの説明、まとめ ※クラウド・ガードは、4回に分けて機能紹介を行います。本書は1回目です。 各回のタイトル
  3. © 2024 Database Technology Inc. All Rights Reserved. 4 Index

    1. クラウド・ガードとは 2. クラウド・ガードの特徴 1. クラウド・ガードの有効化の手順 2. クラウド・ガードの概要ページ 3. クラウド・ガードの無効化の手順 3. クラウド・ガードの設定および動作フロー 4. ちょこっとコラム 5. まとめ Cloud Guard
  4. © 2024 Database Technology Inc. All Rights Reserved. 6 1:クラウド・ガードとは

    ⚫ OCIのセキュリティサービスの一種 ⚫ テナンシレベルで以下の問題を検出する ⚫ クラウドの構成の危険個所 ⚫ クラウドや特定のコンピュートインスタンス内での、不審なアクティビティ ⚫ 検出した問題に対して、手動対応やOracleが設定した自動対応を行う事も 可能 テナンシレベルで機能するセキュリティサービス
  5. © 2024 Database Technology Inc. All Rights Reserved. 7 Tenancy

    1:クラウド・ガードの概要図 Cloud Guard OCI Region:AP-OSAKA-1 Availability Domain 1 Subnet VCN Virtual Machine OCI Region:AP-TOKYO-1 Availability Domain 1 Subnet VCN Virtual Machine リージョンより上の、 テナンシレベルで機能する
  6. © 2024 Database Technology Inc. All Rights Reserved. 8 Tips:OCIのコアセキュリティサービス一覧

    ⚫ IAM(Identity and Access Management)……柔軟なアクセス制御 ⚫ 監査ログ(Audit)……OCI内の全てのアクティビティログを管理 ⚫ 要塞(Bastion)……VM (Virtual Machine)やデータベースへのセキュアな接続 ⚫ DDoS保護(DDoS Protection)……レイヤー3/4のDDoS攻撃から保護 ⚫ クラウド・ガード(Cloud Guard)……クラウド全体の脆弱性を監視 ⚫ 脅威インテリジェンス(Threat Intelligence Service)……疑わしいアクティビティを検出 ⚫ セキュリティゾーン(Security Zones)……コンパートメントをセキュアに保護 ⚫ 脆弱性スキャン(Vulnerability Scanning Service)……VMやコンテナの脆弱性を監視 ⚫ 証明書(Certificates)……電子証明書や認証局(Certificate Authorities)の作成
  7. © 2024 Database Technology Inc. All Rights Reserved. 10 2:クラウド・ガードの特徴1

    ⚫ 大半の機能が無料で使えるサービス ⚫ 無料でも十分な検出機能が利用可能 ⚫ 課金すれば、より詳細な検出が可能(課金が発生する場合の説明はp.26へ) 無料で使えるので、気軽に使用可能
  8. © 2024 Database Technology Inc. All Rights Reserved. 11 2:クラウド・ガードの特徴2

    ⚫ デフォルトでは無効化状態なので、有効化する必要がある ⚫ 前提条件として、有料のテナンシが必要 ⚫ レポートリージョンの設定に注意(レポートリージョンの説明はp.12へ) ⚫ サービスを停止したい場合は、無効化を行う ⚫ 無効化した場合は、設定が全てリセットされてしまう点に注意する 停止したい場合は無効化しかない
  9. © 2024 Database Technology Inc. All Rights Reserved. 12 Tips:レポートリージョンとは?

    ⚫ 検出された問題の結果を管理するリージョン ⚫ レポートリージョンは、OCIホームリージョンと同じ意味ではない ⚫ クラウド・ガードを有効化する際に、最初に選択する ⚫ クラウド・ガードを無効化しない限り、レポートリージョンの再設定は不可能 ⚫ レポートリージョンに設定した国の、全ての法的要件に準拠する ⚫ READを除く全てのAPIコールは、レポートリージョンで実行する必要がある レポートリージョンの設定には注意が必要
  10. © 2024 Database Technology Inc. All Rights Reserved. 13 2-1.

    クラウド・ガードの有効化の手順
  11. © 2024 Database Technology Inc. All Rights Reserved. 14 2-1:クラウド・ガードの有効化の手順1

    1. ホーム画面のメニューを選択 2. アイデンティティとセキュリティを選択 3. クラウド・ガードを 選択
  12. © 2024 Database Technology Inc. All Rights Reserved. 15 2-1:クラウド・ガードの有効化の手順2

    4. クラウド・ガードの有効化を 選択 5. レポートリージョンを選択
  13. © 2024 Database Technology Inc. All Rights Reserved. 16 2-2.

    クラウド・ガードの概要ページ
  14. © 2024 Database Technology Inc. All Rights Reserved. 17 2-2:概要ページ

    ⚫ 全体的なセキュリティ状況を、迅速に把握 ⚫ 総合的なセキュリティスコアを、4段階で評価 ⚫ セキュリティスコアは、あくまで大まかな評価である事に注意する ⚫ セキュリティスコアに囚われ過ぎず、環境に合わせた構成を心掛ける 不可(0~39) 可(40~59) 良(60~79) 優(80~100) セキュリティスコア
  15. © 2024 Database Technology Inc. All Rights Reserved. 18 2-2:実際の概要ページ画面

    テナンシで有効化している 全てのリージョンを監視 セキュリティスコア
  16. © 2024 Database Technology Inc. All Rights Reserved. 19 2-3.

    クラウド・ガードの無効化の手順
  17. © 2024 Database Technology Inc. All Rights Reserved. 20 2-3:クラウド・ガードの無効化の手順

    2. 設定からクラウド・ガードの無効化を選択 1. 項目一覧から構成を選択
  18. © 2024 Database Technology Inc. All Rights Reserved. 21 2-3:クラウド・ガードの無効化の注意点

    無効化すると、有効化前の画面になる 無効化すると設定がリセットされてしまうので、慎重に行う
  19. © 2024 Database Technology Inc. All Rights Reserved. 22 3.

    クラウド・ガードの設定および 動作フロー
  20. © 2024 Database Technology Inc. All Rights Reserved. 23 3:クラウド・ガードの設定および動作フロー

    1. ターゲット……監視対象とするコンパートメントの設定 ⚫ 監視対象の設定は、最初に行う 2. ディテクタ……問題を検出 3. 問題……問題を表示 4. レスポンダ……検出された問題に対して通知・対応 監視対象を設定した後は、問題を検出→対応の繰り返し
  21. © 2024 Database Technology Inc. All Rights Reserved. 24 3:ターゲット

    ⚫ クラウド・ガードで監視する対象の範囲を設定 ⚫ 1つのコンパートメントに、1つのターゲットを設定可能 ⚫ 選択したコンパートメントおよび、子コンパートメントもチェック対象 ⚫ 別のターゲットに出会うまでは、いくらでも子コンパートメントを下る 監視対象となるコンパートメントを選択
  22. © 2024 Database Technology Inc. All Rights Reserved. 25 3:ディテクタ

    ⚫ ターゲットのセキュリティ状況をチェックし、問題を検出 ⚫ 4種類のディテクタレシピに基づいて、問題のディテクタタイプを分別 ⚫ 構成……OCIのリソース構成・設定をチェック ⚫ アクティビティ……OCIのリソース作成・削除・更新等のアクティビティをチェック ⚫ 脅威……OCIのユーザの悪質性をチェック ⚫ インスタンスセキュリティ……コンピュートインスタンスに特化したチェック ⚫ 1つのターゲットに、各ディテクタタイプのレシピを1つずつ設定可能 ディテクタによって、セキュリティ状況をチェック
  23. © 2024 Database Technology Inc. All Rights Reserved. 26 Tips:クラウド・ガードで課金が発生する場合とは?

    ⚫ ディテクタレシピの内、インスタンスセキュリティ・ディテクタレシピのみ2種類のタイ プが存在する ⚫ Standard……無料で使えるレシピ。基本的な検出のみ可能 ⚫ Enterprise……有料で使えるレシピ。1ノードあたり1.0695円/月。豊富な検出が可能 課金の有無はタイプを確認
  24. © 2024 Database Technology Inc. All Rights Reserved. 27 3:問題

    ⚫ ディテクタによって検出された問題を表示 ⚫ 検出された問題に対して、3種類の対応が可能 ⚫ 修正……クラウド・ガードのレスポンダを使用して対応(レスポンダの説明はp.28へ) ⚫ 解決済としてマーク……手動で対応。対応が不十分だと問題が再検出される可能性があ り、その場合は再度オープン ⚫ 終了……終了済みとして問題をクローズ。問題が再検出されても、オープンはしない 検出された問題に対して、どのように対応するかを決定
  25. © 2024 Database Technology Inc. All Rights Reserved. 28 3:レスポンダ

    ⚫ 問題に対してクラウド・ガードが実行可能なアクション ⚫ レスポンダレシピに基づいて、アクションを実行 ⚫ レスポンダレシピは1種類のみ ⚫ イベント生成による通知や、個別の対応を行う ⚫ 1つのターゲットに、レスポンダレシピを1つ設定可能 レスポンダによって、クラウド・ガードのアクションを実行可能
  26. © 2024 Database Technology Inc. All Rights Reserved. 30 4:クラウド・ガードの画面の昔と今

    ⚫ クラウド・ガードの画面は、昔と今とでかなり違う ⚫ 機能追加によって画面が変化 ⚫ 機能追加がなくても、レイアウトが変わる事がある ⚫ 昔の画面は各種設定がそのまま表示されていたが、今の画面は分類ごとに 整理されていて、見やすくなっている 常に変化があるのがクラウドサービスの特徴
  27. © 2024 Database Technology Inc. All Rights Reserved. 32 4:クラウド・ガードの昔の画面2

    クラウド・ガード無効化の 画面。 各種設定がそのまま
  28. © 2024 Database Technology Inc. All Rights Reserved. 34 4:クラウド・ガードの今の画面2

    クラウド・ガード無効化の画面。 構成という分類に含まれている
  29. © 2024 Database Technology Inc. All Rights Reserved. 36 5:まとめ

    ⚫ クラウド・ガードは基本的に無料で使える、セキュリティサービス ⚫ テナンシレベルで機能する ⚫ 最初に監視対象を決めて、その後は問題を検出して対応していく ⚫ セキュリティスコアはあくまで指標 クラウド・ガードでテナンシ全体のセキュリティ向上を!
  30. © 2024 Database Technology Inc. All Rights Reserved. 37 お問い合わせ

    OCIに関するお困りごとは,ぜひ弊社までご相談ください。 お電話でのお問い合わせ 075-231-6131 受付時間:平日 10:00~17:00 メールでのお問い合わせ [email protected] ※お手数ですが、御社名、ご氏名、 お問い合わせ内容を本文中にご記載ください。 https://www.db-tec.com/ 弊社ホームページからも、お問い合わせを承っております。 Oracleは、オラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標である場合があります。