Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI Cloud Guardの概要

3115a782126be714b5f94d24073c957d?s=47 oracle4engineer
February 15, 2021
210

OCI Cloud Guardの概要

Cloud Guardは、Oracle Cloud Infrastructure内の様々なサービスの設定やアクティビティを継続的に監視し、即座に通知・是正する

3115a782126be714b5f94d24073c957d?s=128

oracle4engineer

February 15, 2021
Tweet

Transcript

  1. Oracle Cloud Guard 概要 日本オラクル株式会社 テクノロジー事業戦略統括 テクノロジー・クラウド・エンジニアリング本部 セキュリティ&マネジメントソリューション部

  2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とする ものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約 するものではないため、購買決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変 更される可能性があります。 2 Copyright

    © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]
  3. 3 Copyright © 2020, Oracle and/or its affiliates | Confidential:

    Internal/Restricted/Highly Restricted [Date]
  4. ユーザーの設定ミスによる情報漏洩リスク Amazon S3のようなクラウドストレージの設定を 誤ってパブリックの設定にしていたことに起因する 情報漏洩 米大手通信業: 1400万人の加入者の個人情報 米データ分析会社: 1億2千万世帯の個人情報 米刑務所:

    3万6千人の受刑者の個人情報や独房の位置情報 米国家安全保障局:100Gを超える米政府の機密書類 米民間警備会社: 求職者の個人情報や職務経歴等の約9000ファイル 英陸運業: 1万人の乗客の個人情報 国内製造業: 海外法人の5万人の顧客データおよび車両情報 国内医療業: 600件の取引先履歴 クラウドの設定や運用ミスを利用された情報漏洩 国内情報通信業 クラウドの認証キーが流出し、管理しているクラウド環境に 不正にインスタンスを構築され、仮想通貨の発掘に利用 された。また、他インスタンスにも不正アクセスの形跡 米金融サービス業 Web Application Firewallの設定ミスによる1億600 万人のクレジットカードに関連する個人情報。さらに容疑 者は30社以上同様にハッキング 4 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]
  5. Oracle Cloud Guard Oracle Cloud Infrastructure内の様々なサービスの 設定やアクティビティを継続的に監視し、即座に 通知・是正することで安全なクラウドの利用を サポート Oracle

    Cloudを設定する際に 脆弱な設定になりがちな項目をチェックする 検出ルールをOracleマネージドで提供 ユーザーの疑わしいアクティビティも常に監視 検出された問題の修正方法の提供 すべてのリージョン、コンパートメントの は一元的なビューから管理・監視が可能 無償で提供 5 Copyright © 2020, Oracle and/or its affiliates | Restricted: Limited Availability
  6. Oracle Cloud Guardの動作フロー 6 Copyright © 2020, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Detectors Public Instance TOR log-in Public Bucket ディテクタは、監視対象と なる各サービスリソースの 設定やユーザーアクテビティ について、不備な点がない かどうかを用意されたレシピ に基づいて検出する Responders Stop Instance Suspend User Disable Bucket レスポンダは、ユーザーへの 通知し、問題に対しての対応 方法を提供し、実行する Targets ターゲットは、CGが監視対 象にするコンパートメント。 指定されたコンパートメント 下のサブコンパートメントも 対象となる。例えば、 rootを指定時は、コンパー トメント全てが対象になる Problems 潜在的なセキュリティ課題 や不審なアクテビティがあっ た場合、CGは問題として 認識し、リスクレベルを分類 する
  7. 例) オブジェクト・ストレージのバケットがパブリック 7 Copyright © 2020, Oracle and/or its affiliates

    | Confidential: Internal/Restricted/Highly Restricted [Date] ディテクタ 「バケットがパブリック」のルールがトリガーされ、 問題が作成(重大度:クリティカル) “バケットがパブリック” (重大度:クリティカル) プログラム 「クラウドイベント」は有効か => Yes レスポンダ Cloud Guard オペレーター 問題を修正するか? => Yes レスポンダー レスポンダがバケットの をプライベートに 重大なリスク ユーザーがバケットを パブリックに設定 バケット バケットをプライベート に設定 バケット OCI Events OCI Functions OCI Notifications 「バケットをプライベートにする」が 有効か=> Yes
  8. Cloud Guard Detectors & Detector Recipes 8 Copyright © 2020,

    Oracle and/or its affiliates | Restricted: Limited Availability • ディテクタは、OCI Auditや各リソースから 様々なシグナルを監視し、問題の特定を 行うベースラインとして動作する • ターゲットには、1つのディテクタ • ディテクタは、ディタクタ・レシピという検出 ルールを定義したルールセットを持つ • ディテクタ・レシピは、2種類 • 構成ディテクタ・レシピ • アクテイビティ・ディテクタ・レシピ Audit Event Compute Object Storage Networking …etc. Cloud Guard detectors Activityのシグナルを 監視 Configurationのシグナル を監視 Configuration Detector Recipe Activity Detector Recipe
  9. 9 Copyright © 2020, Oracle and/or its affiliates | Confidential:

    Internal/Restricted/Highly Restricted [Date]
  10. Detector Recipes 10 Copyright © 2020, Oracle and/or its affiliates

    | Restricted: Limited Availability • ディテクタレシピは、具体的な検出ルールを定義したルールセット • 構成ディテクタ・レシピ: オブジェクトストレージやVNC等のOCIの各サービスの設定に関する検出ルール • アクテイビティ・ディテクタ・レシピ: VCNのセキュリティルールの変更やユーザーのグループ追加などOCI上の操作に関する検出ルール • Oracleマネージドとして提供され、新規追加やアップデートは随時実施される • Cloneしてそれぞれのルールを個別にEnable/Disable可能 • 特定のIPアドレスやCIDRブロックをルールに条件づけることも可能 Oracle Managed Recipe User Managed Recipe Clone Bucket is public ENABLED HIGH KMS Key not rotated ENABLED MEDIUM Instance has public IP address ENABLED CRITICAL Bucket is public DISABLED HIGH KMS Key not rotated ENABLED HIGH Instance has public IP address ENABLED CRITICAL
  11. 11 Copyright © 2020, Oracle and/or its affiliates | Confidential:

    Internal/Restricted/Highly Restricted [Date] 構成ディテクタ・レシピ(一部) アクテイビティ・ディテクタ・レシピ(一部)
  12. Copyright © 2020, Oracle and/or its affiliates | Restricted: Limited

    Availability 12 • 検出した問題は以下の対応を実施 • 修正 – Cloud Guard レスポンダで修正 • 解決済みとしてマーク – 他の方法で対応・解決 • 終了 – 特に対応せずクローズ • オープン(未解決)の問題をCloud Guardが再度検出した 場合、新たな問題としてではなく、履歴としてアップデートされて いく • 過去に解決済みにした設定に関する問題が再び検出された 場合、問題は再オープンされ履歴にアップデートされる • 過去に終了にした設定に関する問題が再び検出された場合 問題は履歴にアップデートされる • 過去に解決済み、または終了にしたアクテビティに関する問題 が再び検出された場合、新たな問題として作成される • 問題に対しての対応は、セキュリティスコアに反映される 検出した問題に対するライフサイクル Finding Open Resolved Dismissed Dismissed problem updated finding, but not re-opened New finding
  13. Copyright © 2020, Oracle and/or its affiliates | Restricted: Limited

    Availability 13 • レスポンダは、Cloud Guardが検出した問題に対して修正するアクションを実施 • レスポンダ・レシピとして以下検出項目に対してCloud Guardコンソールから対応が可能 • 削除: IAMユーザー, IAMポリシー, Internet Gateway, Public IP, • コンピュートインスタンスの停止・削除、バックアップの有効化, キーのローテーション • 2種類のレスポンダ • Notification responder: Eventsサービスから検出された問題の詳細をユーザーに送信 • Remediation responder: 検出された問題に対して手動または自動での修正を実行 • レスポンダーの実行した結果は、Auditイベントとして記録される Responders
  14. Copyright © 2020, Oracle and/or its affiliates | Restricted: Limited

    Availability 14
  15. Copyright © 2020, Oracle and/or its affiliates | Restricted: Limited

    Availability 15 Events & Notificationsとの連携 Target Detector Recipe Problem <riskLevel: CRITICAL> Rule Responder Recipe Cloud Event (Notification ) OCI Events Service OCI Functions Notifications: Email Bare Metal Compute Object Storage Block Storage Buckets Database System Make bucket private
  16. Copyright © 2020, Oracle and/or its affiliates | Restricted: Limited

    Availability 16 Cloud Guardの有効化設定 レポート・リージョンは、ログデータのリポジトリが構築される 指定後の変更はできない
  17. None