Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI Cloud Guard 概要及び設定方法

oracle4engineer
February 15, 2021
5.8k

OCI Cloud Guard 概要及び設定方法

Cloud Guardは、Oracle Cloud Infrastructure内の様々なサービスの設定やアクティビティを継続的に監視し、即座に通知・是正する

oracle4engineer

February 15, 2021
Tweet

More Decks by oracle4engineer

Transcript

  1. Safe harbor statement The following is intended to outline our

    general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, timing, and pricing of any features or functionality described for Oracle’s products may change and remains at the sole discretion of Oracle Corporation. Copyright © 2021, Oracle and/or its affiliates 2
  2. Oracle Cloudを安全にかつ効率的に運用するためのサービス群 OCI Security & Observability and Management Platform Copyright

    © 2021, Oracle and/or its affiliates. All rights reserved. 3 VCN Compute (APサーバ) Oracle Cloud Infrastructure Object Storage (バックアップ用) 強制的な暗号化 階層型権限管理 完全テナント分離 リスクのある設定を検知 Cloud Guard Security Zons 強力な保護エリア Security Zones VMの脆弱性を検知 Vulnerability Scanning 運用・ログ監視 O&M / OMC 認証・アクセス管理 IDCS VPN FastConnect Database Cloud Autonomous Database Exadata Cloud Security Zons 機密データを安全に保護 Database Security 安全な暗号鍵の管理 Vault セキュリティ・ファーストで設計されたOracle Cloudは、クラウドの認証からネットワーク、アプリケーション、データベース といった様々なレイヤーを強固に保護し、安全にかつ運用効率の向上を実現 Internet Gateway Security Zons DB Securityを補完 Data Safe 今回の範囲
  3. Amazon S3のようなクラウドストレージの設定を 誤ってパブリックの設定にしていたことに起因する 情報漏洩 米大手通信業: 1400万人の加入者の個人情報 米データ分析会社: 1億2千万世帯の個人情報 米刑務所: 3万6千人の受刑者の個人情報や独房の位置情報

    米国家安全保障局:100Gを超える米政府の機密書類 米民間警備会社: 求職者の個人情報や職務経歴等の約9000ファイル 英陸運業: 1万人の乗客の個人情報 国内製造業: 海外法人の5万人の顧客データおよび車両情報 国内医療業: 600件の取引先履歴 クラウドの設定や運用ミスを利用された情報漏洩 国内情報通信業 クラウドの認証キーが流出し、管理しているクラウド環境に 不正にインスタンスを構築され、仮想通貨の発掘に利用 された。また、他インスタンスにも不正アクセスの形跡 米金融サービス業 Web Application Firewallの設定ミスによる1億600 万人のクレジットカードに関連する個人情報。さらに容疑 者は30社以上同様にハッキング ユーザーの設定ミスに起因した情報漏洩 Copyright © 2021, Oracle and/or its affiliates 4
  4. Oracle Cloud Infrastructureの様々なサービスの設定や アクティビティを継続的に監視し、即座に通知・アクションを実行 することで、安全なクラウドの利用を促進 認証やネットワーク、ストレージ等の脆弱な設定を自動的に検出 検出ルールはOracle管理で提供され、ユーザーがメンテナンスする 必要はなし 疑わしいIPアドレスからの接続やセキュリティポリシーの変更と いったリスクの高いユーザー・アクティビティも常時監視

    問題を是正するための具体的なアクションを自動実行 検出された問題はリスクレベルで評価し、テナント全体を スコアリング 基本機能として無償 OCI Cloud Guard Copyright © 2021, Oracle and/or its affiliates 5 Cloud Guard Vault Scanning VCN, Load Balancer Compute, Storages Databases IAM 問題の検知 アクション実行 リスク評価
  5. OCIのセキュリティの状態をスコアリングし、問題を可視化 Copyright © 2021, Oracle and/or its affiliates 6 Cloud

    Guardダッシュボード 検出された問題 クリティカルな問題への推奨事項
  6. Cloud Guardの動作フロー Copyright © 2021, Oracle and/or its affiliates 7

    Detectors Public Instance TOR log-in Public Bucket ディテクタは、監視対象と なる各サービスリソースの 設定やユーザーアクテビティ について、不備な点がない かどうかを用意されたレシピ に基づいて検出する Responders Stop Instance Suspend User Disable Bucket レスポンダは、ユーザーへの 通知し、問題に対しての対応 方法を提供し、実行する Targets ターゲットは、CGが監視対象 にするコンパートメント 指定されたコンパートメント下 のサブコンパートメントも対象 となる。例えば、 rootを指定時は、コンパート メント全てが対象になる Problems 潜在的なセキュリティ課題 や不審なアクテビティがあっ た場合、CGは問題として 認識し、リスクレベルを分類 する
  7. Cloud Guardのディテクタは、OCIの監査イベントや 各サービスの様々なシグナルに適用されるベースライン 2種類のディテクタ - 構成ディテクタ - アクティビティ・ディテクタ それぞれのディテクタには、Oracle管理のレシピ(検出 ルール)が適用され、レシピに基づいて問題が検出される

    Oracle管理のレシピに含まれる様々なルールに対して 検出条件の変更など一部のカスタマイズすることで 独自のユーザーレシピを作成することが可能 Cloud Guardの検出アーキテクチャ Copyright © 2021, Oracle and/or its affiliates 8 Audit Event Compute Object Storage Networking …etc. Cloud Guard detectors Activityのシグナルを 監視 Configurationのシグナル を監視 Configuration Detector Recipe Activity Detector Recipe
  8. 構成ディテクタ・レシピ (クリティカル~高) Copyright © 2021, Oracle and/or its affiliates 9

    ディテクタ・ルール リスク・レベル 1 Instance is publicly accessible クリティカル 2 Database System version is not sanctioned クリティカル 3 Bucket is public クリティカル 4 VCN Security list allows traffic to non-public port from all sources (0.0.0.0/0) クリティカル 5 VCN Security list allows traffic to restricted port クリティカル 6 Load balancer SSL certificate expiring soon クリティカル 7 Database version is not sanctioned クリティカル 8 Scanned host has open ports クリティカル 9 Scanned host has vulnerabilities クリティカル 10 Instance has a public IP address 高 11 Database System has public IP address 高 12 Database is not backed up automatically 高 13 NSG ingress rule contains disallowed IP/port 高 14 Load balancer allows weak SSL communication 高
  9. アクティビティ・ディテクタ・レシピ (クリティカル~中) Copyright © 2021, Oracle and/or its affiliates 10

    ディテクタ・ルール リスク・レベル 1 Suspicious Ip Activity クリティカル 2 VCN Network Security Group Deleted 高 3 Instance terminated 高 4 Database System terminated 高 5 VCN Local Peering Gateway changed 中 6 VCN Route Table changed 中 7 VCN DHCP Option changed 中 8 VCN Security List deleted 中 9 VCN Internet Gateway created 中 10 VCN deleted 中 11 VCN Network Security Group ingress rule changed 中 12 VCN Network Security Group egress rule changed 中 13 VCN Security List ingress rules changed 中 14 VCN Security List egress rules changed 中
  10. 検出した問題は以下の対応を実施 修正 – Cloud Guard レスポンダで修正 解決済みとしてマーク – 他の方法で対応・解決 終了

    – 特に対応せずクローズ オープン(未解決)の問題をCloud Guardが再度検出した 場合、新たな問題としてではなく、履歴としてアップデートされていく 過去に解決済みにした設定に関する問題が再び検出された場合 問題は再オープンされ履歴にアップデートされる 過去に終了にした設定に関する問題が再び検出された場合問題は 履歴にアップデートされる 過去に解決済み、または終了にしたアクテビティに関する問題が再び検 出された場合、新たな問題として作成される 問題に対しての対応は、セキュリティスコアに反映される すべてのデータはレポート・リージョンに格納される 検出した問題に対するライフサイクル Copyright © 2021, Oracle and/or its affiliates 11 Finding Open Resolved Dismissed Dismissed problem updated finding, but not re-opened New finding
  11. レスポンダは、Cloud Guardが検出した問題に対するアクションを実行する 2種類のレスポンダ Notification : 検出した問題をEventsサービスに送信。Eventsで、FunctionsやNotificationsと連携し問題をハンドリング Remediation :検出した問題を手動または自動での修復を実行 Oracle管理で提供されているレスポンダ・レシピ IAMユーザーの削除、

    IAMポリシーの削除、 Internet Gatewayの削除、 Public IPの削除 コンピュートインスタンスの停止・削除、 バケットをプライベートに変更、DBバックアップの有効化, キーのローテーション レスポンダのデフォルトは、検知した問題に対しての手動実行。自動実行は明示的に指定が必要 レスポンダの実行対象は条件で限定することが可能 レスポンダーの実行した結果は、Auditイベントとして記録される レスポンダ Copyright © 2021, Oracle and/or its affiliates 12
  12. サービス同士を連動させるイベント・ルーティングの管理、配信をシンプルに Events (イベント・サービス) ▪ 関連するOracle Cloud Service • Oracle Functions

    (ファンクション) • Streaming (ストリーミング) • Notification (通知) ▪ ユースケース クラウド上のリソースの変化を捉え、サービスが自動的に連動する 仕組みを実現 ▪ 特徴 CNCFのCloudEventsに準拠した標準フォーマット • CloudEventsに準拠した他社クラウドサービスと連携したアプリケーションを構 築可能 EventsとOracle Functionsを連携し、イベント・ドリブンの サーバーレス・プラットフォームとして動作可能 ▪ 価格 無料 Functions Streaming Events Notifications Oracle Cloud Infrastructure … ※Cloud Guardのイベントタイプ Detected Problem, Dismiss Problem, Problem Threshold Reached, Remediated Problem Copyright © 2021, Oracle and/or its affiliates 13
  13. 例)オブジェクト・ストレージのバケットがパブリックに設定変更された場合 Copyright © 2021, Oracle and/or its affiliates 14 ディテクター

    検知ルールのトリガーとして、“バケットがパブリックに変更”された 際に問題として認識(重大度:クリティカル) “バケットがパブリック” (重大度:クリティカル) プログラム 「クラウドイベント」は有効か? => Yes レスポンダー Cloud Guard オペレーター 問題を修正するか? => Yes レスポンダー レスポンダがバケットを プライベートに設定変更 重大なリスク ユーザーがバケットを パブリックに設定 バケット OCI Events OCI Functions OCI Notifications 「バケットをプライベートにする」が有効か? => Yes バケット
  14. 前提条件と構成図 Cloud Guard設定手順 Copyright © 2021, Oracle and/or its affiliates

    17 システム構成図: Tenancy Target1/Compartment Object Storage Block Storage Buckets Database System VCN Instance Object Storage Block Storage Buckets Database System VCN Instance Target2/Compartment Cloud Guard 前提条件: 本資料にOCIの管理権限を持つユーザーを利用し、Cloud Guardの設定手順とユースケースを作成する。 補足: 参照のみのユーザーやコンパートメント単位で管理ユーザーを作成したいなどユーザーごとにアクセス制御の設定を追加したい場合はドキュメントのポリシーのユース ケースを参考にして下さい ドキュメント: https://docs.cloud.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm
  15. 参考: Cloud Guardユーザーおよびグループの作成 Cloud Guard設定手順 Copyright © 2021, Oracle and/or

    its affiliates 18 Cloud Guardユーザーおよびグループの作成(Cloud Guardを使用するための管理者権限を持つユーザーを作成) 1. テナント管理者としてOracle Cloud Infrastructureコンソールにログイン 2. Oracle Cloud Infrastructureコンソールで、ナビゲーション・ドロワーから「アイデンティティ」、「グループ」を選択 3. 「グループの作成」をクリック 4. 必須フィールドに入力し、「作成」をクリックします。CloudGuardUsersなど、グループを明確に識別する名前を指定 5. ナビゲーション・ドロワーから、「アイデンティティ」、「ユーザー」を選択 6. 「ユーザーの作成」をクリック 7. 必須フィールドに入力し、「作成」をクリックします。これがCloudGuard Console Operatorなどのプライマリ・クラウド・ガードのユーザーであることを 明確に識別する名前を指定 8. 詳細を表示する新規作成ユーザーを選択 9. 左側のパネルで「グループ」をクリック 10. グループへのユーザーの追加をクリック 11. ドロップダウンから、前述のステップ3で作成したグループを選択し、「追加」をクリック 参照: https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/prerequisites.htm
  16. Cloud Guardを有効化 Oracle Cloud Guard設定手順 Copyright © 2021, Oracle and/or

    its affiliates 19 Cloud Guardを有効化 • OCIのコンソールのアイデンティとセキュリティ -> クラウド・ガード をクリック ①「クラウド・ガード」をクリック
  17. Cloud Guardを有効化 Oracle Cloud Guard設定手順 Copyright © 2021, Oracle and/or

    its affiliates 20 Cloud Guardを有効化 • クラウド・ガードの画面に「クラウド・ガードの有効化」をクリック ①「クラウド・ガードの有効化」をクリック
  18. Cloud Guardを有効化 Oracle Cloud Guard設定手順 Copyright © 2021, Oracle and/or

    its affiliates 21 ①「ポリシー作成」をクリック ②ポリシーが追加済と表示され、 「次」をクリック Cloud Guardを有効化 • クラウド・ガード・ポリシーを作成
  19. Cloud Guardを有効化 Oracle Cloud Guard設定手順 Copyright © 2021, Oracle and/or

    its affiliates 22 ②コンパートメントに「なし」をクリック ③「有効化」をクリック Cloud Guardを有効化 • クラウド・ガード・ポリシーを作成し、基本情報を記入 ①レポートリージョンを指定 レポート・リージョンは、ログデータのリポジトリが構築される 指定後の変更はできない
  20. Cloud Guardを有効化 Oracle Cloud Guard設定手順 Copyright © 2021, Oracle and/or

    its affiliates 23 Cloud Guardを有効化 • クラウド・ガードが有効化になる
  21. ディテクタ・レシピをクローン Oracle Cloud Guard設定手順 Copyright © 2021, Oracle and/or its

    affiliates 24 ①「ディテクタ・レシピ」をクリック ②「クローン」をクリック ③クローニング:「OCI Configuration Detector Recipe」を選択 名前:任意 コンパートメントの割当て:監視先を選択 ④「クローン」をクリック ディテクタ・レシピをクローン • クラウド・ガードのコンソールに構成ディテクタ・レシピをクローン
  22. Copyright © 2021, Oracle and/or its affiliates 25 ①「ディテクタ・レシピ」をクリック ②「クローン」をクリック

    ④「クローン」をクリック ③クローニング:「OCI Activity Detector Recipe」を選択 名前:任意 コンパートメントの割当て:監視先を選択 ディテクタ・レシピをクローン • クラウド・ガードのコンソールにアクティビティ・ディテクタ・レシピをクローン ディテクタ・レシピをクローン Oracle Cloud Guard設定手順
  23. Copyright © 2021, Oracle and/or its affiliates 26 ②クローンしたディテクタ・レシピが表示 ①監視先のコンパートメントを選択

    ディテクタ・レシピをクローン • クラウド・ガードのコンソールにディテクタ・レシピをクローン ディテクタ・レシピをクローン Oracle Cloud Guard設定手順
  24. レスポンダ・レシピをクローン Oracle Cloud Guard設定手順 Copyright © 2021, Oracle and/or its

    affiliates 27 レスポンダ・レシピをクローン • クラウド・ガードのコンソールにレスポンダ・レシピをクローン ① 「レスポンダ・レシピ」をクリック ②「クローン」をクリック ④「クローン」をクリック ③クローニング:「OCI Responder Recipe」 を選択 名前:任意 コンパートメントの割当て:監視先を選択
  25. Copyright © 2021, Oracle and/or its affiliates 28 ②クローンしたレスポンダ・レシピが表示 ①監視先のコンパートメントを選択

    レスポンダ・レシピをクローン • クラウド・ガードのコンソールにレスポンダ・レシピをクローン レスポンダ・レシピをクローン Oracle Cloud Guard設定手順
  26. Copyright © 2021, Oracle and/or its affiliates 29 ①「ターゲット」をクリック ②「新規ターゲットの作成」をクリック

    ターゲットの作成 • クラウド・ガードのコンソールにターゲットを作成 レスポンダ・レシピをクローン Oracle Cloud Guard設定手順
  27. ターゲットの作成 Oracle Cloud Guard設定手順 Copyright © 2021, Oracle and/or its

    affiliates 30 ①「ターゲット」をクリック ②「新規ターゲットの作成」をクリック ターゲットの作成 • クラウド・ガードのコンソールにターゲットを作成
  28. Copyright © 2021, Oracle and/or its affiliates 31 ①任意 ②監視先のコンパートメントを選択

    ③4ページ前に作成した構成ディテクタ・レシピを 選択 ④4ページ前に作成したアクティビティ・ディテクタ・ レシピを選択 ⑤2ページ前に作成したレスポンダ・レシピを選択 ⑥「作成」をクリック ターゲットの作成 • クラウド・ガードのコンソールにターゲットを作成 ターゲットの作成 Oracle Cloud Guard設定手順
  29. Copyright © 2021, Oracle and/or its affiliates 32 ①作成したターゲットが表示、ターゲットをクリック ※

    これでCloud Guardの設定が完了となり、作成したディテクタ・レシピとレスポンダ・レシピを用いて、ターゲットを 監視できるようになる。ターゲット追加後、30分~1時間程度でコンソールに検出データが表示される ターゲットの作成 • クラウド・ガードのコンソールにターゲットを作成 ターゲットの作成 Oracle Cloud Guard設定手順
  30. 通知の作成 Oracle Cloud Guard設定手順 Copyright © 2021, Oracle and/or its

    affiliates 33 ①レスポンダ・レシピをクリック ②作成したレスポンダ・レシピをクリック Cloud Guardの検知内容を管理者に通知できる様に通知を作成 • クラウド・ガードのコンソールにターゲットをクリック、ターゲットの詳細画面に入る
  31. Copyright © 2021, Oracle and/or its affiliates 34 ①Cloud Eventルールのタイプ→NOTIFICATION、

    ステータス→有効になる事を確認 Cloud Guardの検知内容を管理者に通知できる様に通知を作成 • レスポンダ・レシピの詳細画面にレスポンダ・ルールを確認 通知の作成 Oracle Cloud Guard設定手順
  32. Copyright © 2021, Oracle and/or its affiliates 35 Cloud Guardの検知内容を管理者に通知できる様に通知を作成

    • OCIのコンソールに開発者サービス -> 通知をクリック 通知の作成 Oracle Cloud Guard設定手順 ①「通知」をクリック
  33. Copyright © 2021, Oracle and/or its affiliates 36 ②「トピックの作成」をクリック ①監視先のコンパートメントを選択

    Cloud Guardの検知内容を管理者に通知できる様に通知を作成 • 通知の画面にトピックを作成 通知の作成 Oracle Cloud Guard設定手順
  34. Copyright © 2021, Oracle and/or its affiliates 37 ① 名前:任意

    説明:任意 ②「作成」をクリック Cloud Guardの検知内容を管理者に通知できる様に通知を作成 • 通知の画面にトピックを作成 通知の作成 Oracle Cloud Guard設定手順
  35. Copyright © 2021, Oracle and/or its affiliates 38 ①「サブスクリプションの作成」 をクリック

    ②「電子メール」を選択 ③通知先のメールアドレスを記入 ④「作成」をクリック Cloud Guardの検知内容を管理者に通知できる様に通知を作成 • 作成したトピックの詳細画面にサブスクリプションを作成 通知の作成 Oracle Cloud Guard設定手順
  36. Copyright © 2021, Oracle and/or its affiliates 39 ①「確認待ち」と表示 Cloud

    Guardの検知内容を管理者に通知できる様に通知を作成 • 作成したサブスクリプションの詳細画面に詳細を確認 通知の作成 Oracle Cloud Guard設定手順
  37. Copyright © 2021, Oracle and/or its affiliates 40 ①「Confirm subscription」をクリ

    ック ②Subscription confirmed のページがブラウザに表示 Cloud Guardの検知内容を管理者に通知できる様に通知を作成 • 通知先のメールアドレスに通知確認のメールが届く 通知の作成 Oracle Cloud Guard設定手順
  38. Copyright © 2021, Oracle and/or its affiliates 41 ①サブスクリプションが「ACTIVE」と表示 Cloud

    Guardの検知内容を管理者に通知できる様に通知を作成 • 作成したサブスクリプションの詳細画面に詳細を確認 通知の作成 Oracle Cloud Guard設定手順
  39. Copyright © 2021, Oracle and/or its affiliates 42 ①「イベント・サービス」をクリック Cloud

    Guardの検知内容を管理者に通知できる様にイベントを作成 • OCIのコンソールにアプリケーション統合 -> イベント・サービスをクリック イベントの作成 Oracle Cloud Guard設定手順
  40. Copyright © 2021, Oracle and/or its affiliates 43 ①監視先のコンパートメントを選択 ②「ルールの作成」をクリック

    Cloud Guardの検知内容を管理者に通知できる様にイベントを作成 • イベント・サービスの画面にルールを作成 イベントの作成 Oracle Cloud Guard設定手順
  41. Copyright © 2021, Oracle and/or its affiliates 44 ① 表示名:任意

    説明:任意 ②条件:イベント・タイプを選択 サービス名:Cloud Guardを選択 イベントタイプ:Detected-Problemを選択 ③アクション・タイプ:通知を選択 通知コンパートメント:監視先のコンパートメントを選択 トピック:作成したトピックを選択 ④「ルールの作成」をクリック Cloud Guardの検知内容を管理者に通知できる様にイベントを作成 • イベント・サービスの画面にルールを作成 イベントの作成 Oracle Cloud Guard設定手順
  42. Copyright © 2021, Oracle and/or its affiliates 45 ①作成したルールをクリック ②イベントの一致->イベント・タイプの

    追加も可能 Cloud Guardの検知内容を管理者に通知できる様にイベントを作成 • イベント・サービスの画面にルールを作成 ※ これで通知とイベントの設定が完成となり、Cloud Guardが問題を検知した時、メールを通知先に送信する イベントの作成 Oracle Cloud Guard設定手順
  43. Cloud Guardの検知シナリオ Copyright © 2021, Oracle and/or its affiliates 46

    Ⅰ. パブリック・バケットに関するルールを検出
  44. 検知シナリオⅠ(パブリック・バケットに関するルールを検出) Oracle Cloud Guard検知シナリオ Copyright © 2021, Oracle and/or its

    affiliates 47 • 検出後、通知先に「Bucket is public」のメールを送信する • 手動で作成したターゲットにのレスポンダ・レシピにある「Make Bucket Private」ルールを使い、パブリクのバケットを「Private」に 変更 検知シナリオⅠ • 作成したターゲットの構成ディテクタ・レシピにある「Bucket is public」というパブリック・バケットに関するルールを検出
  45. Copyright © 2021, Oracle and/or its affiliates 48 ①監視先のコンパートメント ②「publicbucket2」を例にする

    動作確認 • OCIのオブジェクト・ストレージ画面に監視先のコンパートメントにパブリックのバケットを作成 検知シナリオⅠ(パブリック・バケットに関するルールを検出) Oracle Cloud Guard検知シナリオ
  46. Copyright © 2021, Oracle and/or its affiliates 49 メール内容はJSONのフォッマットである 動作確認

    • 少し待つと、通知先にProblem Detectedの通知メール が届く 検知シナリオⅠ(パブリック・バケットに関するルールを検出) Oracle Cloud Guard検知シナリオ
  47. Copyright © 2021, Oracle and/or its affiliates 50 ①監視先のコンパートメントを選択 ②「問題」をクリック

    ③「Bucket is public」の問題が表示され、 クリック 動作確認 • Cloud Guardのコンソールに戻り、検知内容を確認 検知シナリオⅠ(パブリック・バケットに関するルールを検出) Oracle Cloud Guard検知シナリオ
  48. Copyright © 2021, Oracle and/or its affiliates 51 ①詳細にバケットの詳細を確認 ②「修正」をクリック

    動作確認 • 問題詳細の画面に入り、内容を確認し、問題を解決 検知シナリオⅠ(パブリック・バケットに関するルールを検出) Oracle Cloud Guard検知シナリオ
  49. Copyright © 2021, Oracle and/or its affiliates 52 ①レスポンダ・ルールが選択される ②「ステートメントの追加」をクリック、

    ポリシーを追加 ③ポリシーが追加済みと表示 ④メール通知を選択可能 ⑤「修正」をクリック 動作確認 • 問題詳細の画面に入り、内容を確認し、問題を解決 検知シナリオⅠ(パブリック・バケットに関するルールを検出) Oracle Cloud Guard検知シナリオ
  50. Copyright © 2021, Oracle and/or its affiliates 53 ①「問題が修復中」が表示 動作確認

    • 問題詳細の画面に入り、内容を確認し、問題を解決 検知シナリオⅠ(パブリック・バケットに関するルールを検出) Oracle Cloud Guard検知シナリオ
  51. Copyright © 2021, Oracle and/or its affiliates 54 ①「解決済」が表示 動作確認

    • 数分後、問題詳細の画面に入り、問題が「解決済」と表示 検知シナリオⅠ(パブリック・バケットに関するルールを検出) Oracle Cloud Guard検知シナリオ
  52. Copyright © 2021, Oracle and/or its affiliates 55 ①publicbucket2がプライベートに 変更される

    動作確認 • オブジェクト・ストレージの画面に戻り、バケットが「パブリック」から「プライベート」に変更 検知シナリオⅠ(パブリック・バケットに関するルールを検出) Oracle Cloud Guard検知シナリオ
  53. Copyright © 2021, Oracle and/or its affiliates 56 メール内容はJSONのフォッマットである 動作確認

    • 少し待つと、通知先にProblem Remediatedの通知 メールが届く 検知シナリオⅠ(パブリック・バケットに関するルールを検出) Oracle Cloud Guard検知シナリオ
  54. 検知シナリオⅡ(Route Tableに関するルールを検出) Oracle Cloud Guard検知シナリオ Copyright © 2021, Oracle and/or

    its affiliates 58 • 検出後、手動で作成したターゲットにのレスポンダ・レシピにある「Disable IAM User」ルールを使い、Route Tableを修正した ユーザーをDisableする 検知シナリオⅠ • 作成したターゲットにのアクテビティ・ディテクタ・レシピにある「VCN Route Table changed」というRoute Tableに関するルールを 検出
  55. Copyright © 2021, Oracle and/or its affiliates 59 動作確認 •

    監視先のコンパートメントにVCNを作成、VCNにあるRoute Tableを変更 ①Route Tableを変更 検知シナリオⅡ(Route Tableに関するルールを検出) Oracle Cloud Guard検知シナリオ
  56. Copyright © 2021, Oracle and/or its affiliates 60 ①監視先のコンパートメントを選択 ②「問題」をクリック

    ③「VCN Route Table changed」の問題が表示され、 クリック 動作確認 • Cloud Guardのコンソールに戻り、検知内容を確認 検知シナリオⅡ(Route Tableに関するルールを検出) Oracle Cloud Guard検知シナリオ
  57. Copyright © 2021, Oracle and/or its affiliates 61 ①影響を受けるリソースを確認 ②「修正」をクリック

    動作確認 • 問題詳細の画面に入り、内容を確認し、問題を解決 検知シナリオⅡ(Route Tableに関するルールを検出) Oracle Cloud Guard検知シナリオ
  58. Copyright © 2021, Oracle and/or its affiliates 62 ①レスポンダルールが選択される ②「修正」をクリック

    ※ 検知シナリオⅡの動作確認では、CloudGuardと同じUserでRoute Tableを修正している為、 Userが無効化されると検知シナリオⅢ以降の動作確認が続けられなくなります。 実環境では、 CloudGuardとは別のUserにてRoute Tableを修正することを推奨します。 動作確認 • 問題詳細の画面に入り、内容を確認し、問題を解決 検知シナリオⅡ(Route Tableに関するルールを検出) Oracle Cloud Guard検知シナリオ
  59. Cloud Guardの検知シナリオ Copyright © 2021, Oracle and/or its affiliates 63

    Ⅲ. パブリック・バケットに関するルールを検出し、 レスポンダ・レシピで自動的に対応
  60. 検知シナリオⅢ(パブリック・バケットに関するルールを検出し、レスポンダ・レシピで自動的に対応) Oracle Cloud Guard検知シナリオ Copyright © 2021, Oracle and/or its

    affiliates 64 Tenancy Target1/Compartment Object Storage Ashburn Public Buckets Seoul Public Buckets Object Storage ディテクター レスポンダー・レシピ Cloud Guard オペレーター レスポンダがバケットを自動的 にプライベートに設定変更 Private Buckets 管理対象リスト 問題を修正するか? ⇦YES レスポンダがバケットをプライベート に設定変更 Private Buckets レスポンダー レスポンダー リージョンがSeoulの場合、 自動的に問題を解決 リージョンがSeoulではない場合、 手動で問題を解決 検知シナリオⅢ ① Cloud Guardはディテクタ・レシピを使い、タッゲート内のパブリック・バケットを検知する ② 管理対象リスト内のパブリック・バケットのみをレスポンダ・レシピで自動的に対応する
  61. Copyright © 2021, Oracle and/or its affiliates 65 ①「管理対象リスト」をクリック ②「管理対象リストの作成」をクリック

    ③監視先のコンパートメントを選択 ④「Region」を選択 ⑤「次」をクリック ⑦「次」をクリック ⑥「Seoul」を選択 管理対象リストを作成 • Cloud Guardのコンソールに入り、「管理対象リスト」を作成 検知シナリオⅢ(パブリック・バケットに関するルールを検出し、レスポンダ・レシピで自動的に対応) Oracle Cloud Guard検知シナリオ
  62. Copyright © 2021, Oracle and/or its affiliates 66 ②「managelist2」をクリック ③「ap-seoul-1」が表示

    ①監視先のコンパートメントを選択 管理対象リストを作成 • 作成した「管理対象リスト」を確認 検知シナリオⅢ(パブリック・バケットに関するルールを検出し、レスポンダ・レシピで自動的に対応) Oracle Cloud Guard検知シナリオ
  63. Copyright © 2021, Oracle and/or its affiliates 67 ②作成したターゲットをクリック ①「ターゲット」をクリック

    ③「レスポンダ・レシピ」をクリック ④レシピをクリック ターゲットレベルのレスポンダ・レシピを修正 • Cloud Guardのターゲット画面に入り、レスポンダ・レシピを修正 検知シナリオⅢ(パブリック・バケットに関するルールを検出し、レスポンダ・レシピで自動的に対応) Oracle Cloud Guard検知シナリオ
  64. Copyright © 2021, Oracle and/or its affiliates 68 ①「Make Bucket

    Private」 を例にする ②三つの点をクリック、 「編集」をクリック ターゲットレベルのレスポンダ・レシピを修正 • レスポンダ・レシピ画面に入り、レスポンダ・ルールを修正 検知シナリオⅢ(パブリック・バケットに関するルールを検出し、レスポンダ・レシピで自動的に対応) Oracle Cloud Guard検知シナリオ
  65. Copyright © 2021, Oracle and/or its affiliates 69 ①「自動的に実行」を選択 ②条件グループを次のように修正

    パラメータ:Region 演算子:In リスト:管理対象リスト 値:作成した管理対象リストを選択 ③「保存」をクリック ターゲットレベルのレスポンダ・レシピを修正 • レスポンダ・レシピ画面に入り、レスポンダ・ルールを修正 • ルール修正後、15分後位で動く 検知シナリオⅢ(パブリック・バケットに関するルールを検出し、レスポンダ・レシピで自動的に対応) Oracle Cloud Guard検知シナリオ
  66. Copyright © 2021, Oracle and/or its affiliates 70 ①Ashburnのリージョンにパブリック・バケットを作成 ②Seoulのリージョンにパブリック・バケットを作成

    動作確認 • OCIのオブジェクト・ストレージを作成(2つのリージョンにパブリック・バケットを作成) 検知シナリオⅢ(パブリック・バケットに関するルールを検出し、レスポンダ・レシピで自動的に対応) Oracle Cloud Guard検知シナリオ
  67. Copyright © 2021, Oracle and/or its affiliates 71 ②監視先のコンパートメントを選択 ①「問題」をクリック

    ⑥Cloud Guardは、Seoulのリージョン に作成したパブリックバケットを自動的 にプライベート・バケットに修復 ③ステータスに「オープン」を選択 ④Ashburnのリージョンに作成したバケットが検知されるが、 Seoulのリージョンに作成したバケットは検知されない ⑤ステータスに「解決済」を選択 動作確認 • Cloud Guardのコンソールに戻り、検知内容を確認 検知シナリオⅢ(パブリック・バケットに関するルールを検出し、レスポンダ・レシピで自動的に対応) Oracle Cloud Guard検知シナリオ
  68. Copyright © 2021, Oracle and/or its affiliates 72 ①バケットをプライベートに変更したい場合、 「修正」をクリックする必要がある

    ②レスポンダ・アクティビティを確認 ③「Make Bucket Private」の アクティビティをスキップ 動作確認 • Cloud Guardの問題画面に、オープンの問題(Ashburnに作成したバケット)を確認 検知シナリオⅢ(パブリック・バケットに関するルールを検出し、レスポンダ・レシピで自動的に対応) Oracle Cloud Guard検知シナリオ
  69. Copyright © 2021, Oracle and/or its affiliates 73 ②Cloud Guardが自動的にバケットを

    プライベートに変更 動作確認 • Cloud Guardの問題画面に、解決済の問題(Seoulに作成したバケット)を確認 ①レスポンダ・アクティビティを確認 検知シナリオⅢ(パブリック・バケットに関するルールを検出し、レスポンダ・レシピで自動的に対応) Oracle Cloud Guard検知シナリオ
  70. Copyright © 2021, Oracle and/or its affiliates 74 ①Seoulに作成したバケットが プライベートに変更された

    ②Ashburnに作成したバケットが 「パブリック」のまま 動作確認 • OCIのオブジェクト・ストレージにバケットの属性を確認 検知シナリオⅢ(パブリック・バケットに関するルールを検出し、レスポンダ・レシピで自動的に対応) Oracle Cloud Guard検知シナリオ
  71. Cloud Guardの検知シナリオ Copyright © 2021, Oracle and/or its affiliates 75

    Ⅳ. 特定インスタンスの終了に関する検出
  72. 検知シナリオⅣ(特定インスタンスの終了に関する検出) Oracle Cloud Guard検知シナリオ Copyright © 2021, Oracle and/or its

    affiliates 76 Tenancy Target/Compartment instance Ashburn ディテクター 条件グループ 満たす場合 instance instance Cloud Guard オペレーター 問題をあげる 検知シナリオⅣ ① ディテクタ・レシピを修正し、特定インスタンスの終了を検知 例: 特定のインスタンスを終了するとディテクタ・レシピは検知・問題をあげる
  73. Copyright © 2021, Oracle and/or its affiliates 77 事前に2つのインスタンスを準備、OCIDをメモ書き 後程、ディテクタ・レシピに使用

    検知シナリオⅣ(特定インスタンスの終了に関する検出) Oracle Cloud Guard検知シナリオ
  74. Copyright © 2021, Oracle and/or its affiliates 78 ②作成したターゲットをクリック ①「ターゲット」をクリック

    ③「レスポンダ・レシピ」をクリック ④アクテビティ・レシピをクリック ターゲットレベルのディテクタ・レシピを修正 • Cloud Guardのターゲット画面に入り、レスポンダ・レシピを修正 検知シナリオⅣ(特定インスタンスの終了に関する検出) Oracle Cloud Guard検知シナリオ
  75. Copyright © 2021, Oracle and/or its affiliates 79 ①「Instance terminated」を例にする

    ②三つの点をクリック、「編集」をクリック ターゲットレベルのディテクタ・レシピを修正 • ディテクタ・レシピ画面に入り、ディテクタ・ルールを修正 検知シナリオⅣ(特定インスタンスの終了に関する検出) Oracle Cloud Guard検知シナリオ
  76. Copyright © 2021, Oracle and/or its affiliates 80 ①監視先のコンパートメントを選択 ②条件グループを次のように修正

    パラメータ:Resource OCID 演算子:In リスト:カスタム・リスト 値:3ページ前のインスタンス(osaka)のOCIDを記入 ③「保存」をクリック ターゲットレベルのディテクタ・レシピを修正 • ディテクタ・レシピ画面に入り、ディテクタ・ルールを修正 • ルール修正後、15分後位で動く 検知シナリオⅣ(特定インスタンスの終了に関する検出) Oracle Cloud Guard検知シナリオ
  77. Copyright © 2021, Oracle and/or its affiliates 81 動作確認 •

    OCIのインスタンスに事前準備した2つのインスタンスを終了 検知シナリオⅣ(特定インスタンスの終了に関する検出) Oracle Cloud Guard検知シナリオ
  78. Copyright © 2021, Oracle and/or its affiliates 82 ①2つのインスタンスを終了したが、問題を一つのみが検知 動作確認

    • Cloud Guardの問題画面に、「Instance Terminated」の問題を確認 検知シナリオⅣ(特定インスタンスの終了に関する検出) Oracle Cloud Guard検知シナリオ
  79. Copyright © 2021, Oracle and/or its affiliates 83 ①インスタンス(osaka)のみの終了が問題と検知 動作確認

    • Cloud Guardの問題画面に入り、詳細を確認 検知シナリオⅣ(特定インスタンスの終了に関する検出) Oracle Cloud Guard検知シナリオ
  80. 補足 Oracle Cloud Guard検知シナリオ Copyright © 2021, Oracle and/or its

    affiliates 85 ①「ディテクタ・レシピ」をクリック ②クローンしたレシピをクリック レシピレベルでのディテクタ・レシピの修正 • Cloud Guardのコンソールに入り、クローンしたディテクタ・レシピを修正
  81. Copyright © 2021, Oracle and/or its affiliates 86 ①「Bucket is

    public」を例にする ②三つの点をクリック、「編集」をクリック レシピレベルでのディテクタ・レシピの修正 • 構成ディテクタ・レシピ詳細画面に入り、ディテクタ・ルールを修正 補足 Oracle Cloud Guard検知シナリオ
  82. Copyright © 2021, Oracle and/or its affiliates 87 レシピレベルでディテクタ・レシピを修正 タッゲートレベルでディテクタ・レシピを修正

    修正可能な項目が異なる レシピレベルでのディテクタ・レシピの修正 • 構成ディテクタ・レシピ詳細画面に入り、ディテクタ・ルールを修正 補足 Oracle Cloud Guard検知シナリオ
  83. Copyright © 2021, Oracle and/or its affiliates 88 ①「レスポンダ・レシピ」をクリック ②クローンしたレシピをクリック

    レシピレベルでのディテクタ・レシピの修正 • Cloud Guardのコンソールに入り、クローンしたレスポンダ・レシピを修正 補足 Oracle Cloud Guard検知シナリオ
  84. Copyright © 2021, Oracle and/or its affiliates 89 レシピレベルでのディテクタ・レシピの修正 •

    構成ディテクタ・レシピ詳細画面に入り、ディテクタ・ルールを修正 ①「 Make Bucket Private 」を例にする ②三つの点をクリック、「編集」をクリック 補足 Oracle Cloud Guard検知シナリオ
  85. Copyright © 2021, Oracle and/or its affiliates 90 レシピレベルでレスポンダ・レシピを修正 修正可能な項目が異なる

    タッゲートレベルでレスポンダ・レシピを修正 レシピレベルでのディテクタ・レシピの修正 • 構成ディテクタ・レシピ詳細画面に入り、ディテクタ・ルールを修正 補足 Oracle Cloud Guard検知シナリオ