OCI IAM Identity Domains_IPアドレスによるOCIコンソールアクセスの制御 / OCI IAM Identity Domains_Control OCI console access by IP Address

Transcript

1. OCI IAM Identity Domains IPアドレスによるOCIコンソールへのアクセス制御 日本オラクル株式会社 2024/1/10

2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

   © 2024, Oracle and/or its affiliates 2

3. 3 Copyright © 2024, Oracle and/or its affiliates はじめに Identity

   Domainsを持つOCIテナンシにおいて、OCIコンソールへのアクセスをIPアドレスにより制御(アクセス 許可 or 拒否) するためには、Identity Domainsのネットワークペリメータ機能 および サインオンポリシー機能を使い設定を行う必要があります。 本資料では、OCIコンソールアクセスのIPアドレス制御を実現するための2種類の設定方法を説明します。 ・ケース1：OCIコンソール用のMFA強制サインオンポリシー「Security Policy for OCI Console」を活用する方法 ⇒利用シーン(例)：OCIコンソールアクセス時にMFA＋IPアドレス制御の両方を実施したい場合 ・ケース2：Defaultサインオンポリシーを活用する方法 (OCIコンソール用のMFA強制ポリシーは使わない方法) ⇒利用シーン(例)：OCIコンソールアクセス時にIPアドレス制御のみを実施したい場合

4. ケース1： OCIコンソール用のMFA強制サインオンポリシー 「Security Policy for OCI Console」を活用する方法 Copyright © 2024,

   Oracle and/or its affiliates 4

5. 本手順で実現する内容 Copyright © 2024, Oracle and/or its affiliates 5 •

   OCIコンソール用MFA強制化サインオン・ポリシー「Security Policy for OCI Console」の設定内容を活かして、 MFA強制化に加えてIPアドレスによるアクセス制御の設定を追加します。 管理者 社内NWからのアクセス AND Administratorグループ所属 社内NWからのアクセス 社内以外NWからのアクセス 2要素認証要求 (MFA強制) 2要素認証要求 (MFA強制) アクセス拒否 条件 アクション 社 外 NW 社 内 NW 一般ユーザー 全員 2要素認証 (MFA強制) OCIコンソール パスワード認証 ルール：MFA for administrators ルール：MFA for all users ルール：新規 Security Policy for OCI Console 【 実 現 イ メ ー ジ 】 【 サ イ ン オ ン ポ リ シ ー 構 成 】 アクセス可 アクセス可 アクセス不可 アクセス許可 アクセス許可

6. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024,

   Oracle and/or its affiliates 6 1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定し、MFAを実施し、OCIコンソールにログインします。

7. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024,

   Oracle and/or its affiliates 7 2) 左上メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。

8. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024,

   Oracle and/or its affiliates 8 3)ドメイン画面にてrootコンパートメントを指定し、アイデンティティ・ドメイン「Default」を選択します。 ※Defaultドメイン以外のアイデンティティ・ドメインに対してもIPアドレス制御を設定する場合には、ここで該当ドメインを選択し後続手順を実施します。

9. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024,

   Oracle and/or its affiliates 9 4)ネットワーク・ペリメータを登録するため、左側メニューより「セキュリティ」ー「ネットワーク・ペリメータ」を選択します。 「ネットワーク・ペリメータの作成」を選択します。 ※ネットワークペリメータとは、IPアドレス制御の条件設定で使うIPアドレスを定義するための機能です。

10. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024,

    Oracle and/or its affiliates 10 5)ネットワーク・ペリメータの作成画面にて、名前に適当な名前(今回はInternal NW）、 IPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。 ネットワーク・ペリメータではいくつかの方法でIPアドレスを登録可能 ・1つのIPアドレスを登録（例：10.0.0.1) ・カンマ区切りで複数のIPアドレスを登録（例：10.0.0.1,10.0.0.1,10.1.0.100) ・ハイフンを利用しIPアドレス範囲を登録（例：10.0.0.1-10.0.0.100) ・CIDR表記によるIPアドレス範囲を登録（例：10.0.0.1/16)

11. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024,

    Oracle and/or its affiliates 11 6)サインオン・ポリシーの設定のため、左メニューより「セキュリティ」－「サインオン・ポリシー」を選択します。 「Security Policy for OCI Console」がアクティブ化済になっていることを確認し、このポリシーを選択します。 ※ 「Security Policy for OCI Console」が非アクティブになっている場合には、 より「アクティブ化」を選択しアクティブ化します。 ・ ・ ・

12. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024,

    Oracle and/or its affiliates 12 7) Security Policy for OCI Consoleの詳細画面にて、画面下部のサインオン・ルール「MFA for administrators」の編集マークを 開き、「サインオン・ルールの編集」を選択します。

13. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024,

    Oracle and/or its affiliates 13 8) サインオン・ルール「MFA for administrators」の編集画面にて、”クライアントIPアドレスでフィルタ”部分にて下記を設定します。 ・次のネットワーク・ペリメータに制限します ： チェックONにする ・ネットワーク・ペリメータ ： 上記にて定義した社内NWを示すネットワーク・ペリメータを選択(例：Internal NW) 「変更の保存」を選択します。 本手順ではデフォルトのMFA設定を そのままの状態に保つ内容になってます。 必要に応じてMFA要素の追加等を実施 してください。

14. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024,

    Oracle and/or its affiliates 14 9) Security Policy for OCI Consoleの詳細画面にて、画面下部のサインオン・ルール「MFA for all users」の編集マークを 開き、「サインオン・ルールの編集」を選択します。

15. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024,

    Oracle and/or its affiliates 15 10) サインオン・ルール「MFA for all users」の編集画面にて、”クライアントIPアドレスでフィルタ”部分にて下記を設定します。 ・次のネットワーク・ペリメータに制限します ： チェックONにする ・ネットワーク・ペリメータ ： 上記にて定義した社内NWを示すネットワーク・ペリメータを選択(例：Internal NW) 「変更の保存」を選択します。 本手順ではデフォルトのMFA設定を そのままの状態に保つ内容になってます。 必要に応じてMFA要素の追加等を実施 してください。

16. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024,

    Oracle and/or its affiliates 16 11) 続けて、社内NW以外からのアクセスの場合にはアクセス拒否をするための新規ルールを作成するため、 Security Policy for OCI Consoleの詳細画面にて、画面下部のサインオン・ルールにて「サインオン・ルールの追加」選択します。

17. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024,

    Oracle and/or its affiliates 17 12) サインオン・ルールの追加画面にて、ルール名に適当な名前(例：Not Internal NW)を指定します。 ”アクション”部分にて下記を設定します。 ・アクセスの拒否 ： チェックONにする 「サインオン・ルールの追加」を選択します。

18. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024,

    Oracle and/or its affiliates 18 13) Security Policy for OCI Consoleの詳細画面にて、画面下部のサインオン・ルールにて各ルールが下記の優先度になっていることを 確認します。 1．MFA for administrators 2．MFA for all users 3．上記で新規作成したルール（例：Not Internal NW）

19. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2024,

    Oracle and/or its affiliates 19 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない 状況になる可能性があります。 そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで 動作確認を行うことを強くお勧めします。

20. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2024,

    Oracle and/or its affiliates 20 【社内NW＋管理者(Administratorsグループ所属)でOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定するとMFAを求められることを確認します。 MFA実施後、OCIコンソールにアクセスできることを確認します。

21. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2024,

    Oracle and/or its affiliates 21 【社内NW＋一般ユーザーでOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定するとMFAを求められることを確認します。 MFA実施後、OCIコンソールにアクセスできることを確認します。

22. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2024,

    Oracle and/or its affiliates 22 【社外NWからOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にてユーザーのID/パスワードを指定するとアクセス拒否の画面が表示されOCIコンソールにアクセスできないことを確認します。

23. ケース2： Defaultサインオンポリシーを活用する方法 (OCIコンソール用のMFA強制ポリシーは使わない方法) Copyright © 2024, Oracle and/or its affiliates

    23 ※MFAを利用しない際のセキュリティ上の懸念等を精査・理解した上で実施をお願いします。

24. 本手順で実現する内容 Copyright © 2024, Oracle and/or its affiliates 24 •

    OCIコンソール用MFA強制化サインオン・ポリシー「Security Policy for OCI Console」の設定内容を活かして、 MFA強制化に加えてIPアドレスによるアクセス制御の設定を追加します。 社内NWからのアクセス 社内以外NWからのアクセス アクセス許可 アクセス拒否 条件 アクション 社 外 NW 全員 OCIコンソール ルール：新規ルール1 ルール：新規ルール2 Default Sign-On Policy 【 実 現 イ メ ー ジ 】 【 サ イ ン オ ン ポ リ シ ー 構 成 】 アクセス不可 社 内 NW 全員 パスワード認証 アクセス可

25. Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 25

    1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定し、MFAを実施し、OCIコンソールにログインします。

26. Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 26

    2) 左上メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。

27. Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 27

    3)ドメイン画面にてrootコンパートメントを指定し、アイデンティティ・ドメイン「Default」を選択します。 ※Defaultドメイン以外のアイデンティティ・ドメインに対してもIPアドレス制御を設定する場合には、ここで該当ドメインを選択し後続手順を実施します。

28. Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 28

    4)ネットワーク・ペリメータを登録するため、左側メニューより「セキュリティ」ー「ネットワーク・ペリメータ」を選択します。 「ネットワーク・ペリメータの作成」を選択します。 ※ネットワークペリメータとは、IPアドレス制御の条件設定で使うIPアドレスを定義するための機能です。

29. Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 29

    5)ネットワーク・ペリメータの作成画面にて、名前に適当な名前(今回はInternal NW）、 IPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。 ネットワーク・ペリメータではいくつかの方法でIPアドレスを登録可能 ・1つのIPアドレスを登録（例：10.0.0.1) ・カンマ区切りで複数のIPアドレスを登録（例：10.0.0.1,10.0.0.1,10.1.0.100) ・ハイフンを利用しIPアドレス範囲を登録（例：10.0.0.1-10.0.0.100) ・CIDR表記によるIPアドレス範囲を登録（例：10.0.0.1/16)

30. Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 30

    6)MFA強制化ポリシーを無効化するため、左メニューより「セキュリティ」－「サインオン・ポリシー」を選択します。 「Security Policy for OCI Console」の編集マークより「サインオン・ポリシーの非アクティブ化」を選択します。 確認画面でも「サインオン・ポリシーの非アクティブ化」を選択し、非アクティブ化されたことを確認します。 ※ 本手順にて「Security Policy for OCI Console」を非アクティブ化しないと OCIコンソールアクセス時のポリシーとしてDefault Sign-On Policyが 使われません。 ※ 本手順にて「Security Policy for OCI Console」を非アクティブ化する際、 MFAを利用しないセキュリティ上の懸念等を精査・理解した上で実施をお願い します。

31. Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 31

    7)Default Sign-On PolicyへIP制御の設定を追加するため、「Default Sign-On Policy」を選択します。

32. Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 32

    8) Default Sing-On Policyの詳細画面にて、画面下部のサインオン・ルールの「サインオン・ルールの追加」を選択します。

33. Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 33

    9) サインオン・ルールの追加画面にて、ルール名に適当な名前(例：Internal NW)を指定します。 ・次のネットワーク・ペリメータに制限します ： チェックONにする ・ネットワーク・ペリメータ ： 上記にて定義した社内NWを示すネットワーク・ペリメータを選択(例：Internal NW) 「サインオン・ルールの追加」を選択します。 サインオンルール作成の際にMFAの設定を 追加することも可能です。

34. Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 34

    10) サインオン・ルールが作成されたことを確認します。 続けて、 「サインオン・ルールの追加」を選択します

35. Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 35

    11) サインオン・ルールの追加画面にて、ルール名に適当な名前(例：Not Internal NW)を指定します。 ”アクション”部分にて下記を設定します。 ・アクセスの拒否 ： チェックONにする 「サインオン・ルールの追加」を選択します。

36. Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 36

    12) サインオン・ルールが作成されたことを確認します。 「優先度の編集」を選択します

37. Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 37

    13) 優先度の編集画面にて、下記の順序になるように変更し、「変更の保存」を選択します。 1．Internal NW ※上記9)で作成したルール 2．Not Internal NW ※上記11)で作成したルール 3．Default Singn-On Rule

38. Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 38

    14) サインオン・ルールの順序が変更されたことを確認します。

39. Defaultサインオンポリシーを活用したIPアドレス制御 ~確認 Copyright © 2024, Oracle and/or its affiliates 39

    ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない 状況になる可能性があります。 そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで 動作確認を行うことを強くお勧めします。

40. Defaultサインオンポリシーを活用したIPアドレス制御 ~確認 Copyright © 2024, Oracle and/or its affiliates 40

    【社内NWOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定するとOCIコンソールにアクセスできることを確認します。 OCIコンソール

41. Defaultサインオンポリシーを活用したIPアドレス制御 ~確認 Copyright © 2024, Oracle and/or its affiliates 41

    【社外NWからOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にてユーザーのID/パスワードを指定するとアクセス拒否の画面が表示されOCIコンソールにアクセスできないことを確認します。
42. None