Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI Security サービス 概要

OCI Security サービス 概要

OCI Security の各サービスの特徴を網羅的に紹介した資料です

oracle4engineer

November 18, 2024
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. オラクルが実現する堅牢なセキュリティ データ中心の セキュリティ 自動化された セキュリティ 管理 セキュリティ ・バイ・デザイン SECURITY OF

    THE CLOUD SECURITY ON THE CLOUD + 強力、完全なテナント分離 強制的な暗号化 (Database/Storage/Network) 階層型権限管理 リスクのある設定・行動を自動検知 3 * WAF: Web Application Firewall 脆弱性スキャン セキュリティポリシーの自動有効 特権ユーザーのアクセス制御 ボット対策とWAF/ 次世代ファイアウォール 多要素認証とリスクベース認証 重要情報の隠蔽 セキュリティ構成 機密データ発見 アクティビティ監査 DBセキュリティ対策の自動化 脆弱性自動修復 青字:他社にないもの バックアップ保護と確実なデータ復旧 3 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  2. クラウドプラットフォームレベルでの環境隔離と暗号化 階層型権限管理 ✓ 部署ごとの権限設定を実現 ✓ コンパートメント間のリソースアクセ スが可能、部署を跨いだシステム 構築も容易 ✓ コンパートメント毎のクオータ設定に

    より 使い過ぎを抑止 強制的な暗号化 ✓ すべてのデータ・サービスはOracle がフルマネージドで暗号化 ✓ データベースファイル,ストレージ Block Volume, Boot Volume ✓ すべてのネットワーク通信も暗号化 強力、完全なテナント分離 ✓ 分離された仮想ネットワークにより 情報漏洩のリスクを最小化 4 セキュリティ ・バイ・デザイン AD2 リージョン1 AD2 リージョン2 MACSec 高速・スケーラブルな Layer2 暗号化 部署ごとにCompartment(サブアカウント)を作成 「コンパートメント」モデル テナント コンパートメント A コンパートメントB ユーザー グループ ポリシー ポリシー ポリシー 部署-A 部署-B Hypervisor VM VM VM VM VM VM ホストOS / カーネル ネットワーク仮想化 物理サーバー すべてのデータ を暗号化 4 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  3. リスクのある設定を自動検知 • 構成とアクティビティを監視 • 問題の特定、脅威を検出 • 問題の是正、顧客通知 セキュリティポリシーの自動有効 • ベスト・プラクティスを強制的に適用

    • 初期段階からリソースの セキュリティを確保 バックアップ保護と確実なデータ復旧 • ファイルを不可視化し、盗難を防止 • リアルタイムバックアップにより、感染直前 までのリカバリーを可能 • 完全性が担保されたバックアップにより、 確実に復旧可能 自動化されたEnd-to-Endのセキュリティで人的ミスを排除 パブリックアクセス不可 Oracle Cloud Guard Oracle Security Zones 5 自動化された セキュリティ 管理 Zero Data Loss Autonomous Recovery Service 5 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  4. 多層防御によるデータ中心のセキュリティ 外部からの攻撃 » ボットによる攻撃 » 標的型攻撃 » ランサムウェア » DDoS

    内部からの攻撃 » バックドア » 内部不正 » 不正アクセス 特権ユーザー 管理 ネットワーク IDアクセス 管理 インフラ ストラクチャ データベース 6 データ 強制的な 暗号化 監査証跡 行列レベルの アクセス制御 データ中心の セキュリティ 設定ミスの 検知・是正 多要素認証 強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理 データ中心の セキュリティ Web Application Firewall IAM Identity Domains Security Zones Data Safe Observability and Management Threat Intelligence Autonomous Database OCI Network Firewall Cloud Guard Database Vault Zero Data Loss Autonomous Recovery Service Vulnerability Scanning 6 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  5. Oracle Cloud のセキュリティの強み 7 設計から組み込まれ セキュリティ不備を最小化 標準機能で提供 データ中心のセキュリティ • 全リージョン、全インスタンスがセキュリ

    ティ・バイ・デザインされた環境 • デフォルトがセキュアな設定で安全側に 倒されている (Default Deny) • データの暗号化はデフォルトで実施、 ユーザーが解除できない • 自動化されたセキュリティ管理を標 準・無償で提供されている • 他社では複数サービスが必要で、開 発工数とサブスクリプション価格で高コ ストになる • データベースのセキュリティ対策まできちん と取り組んでいるのは、Oracleぐらい • 重要データの所在・リスク評価・監査する データ・セキュリティ監視を無償で利用できる • データを中心に多層で保護するための構築 済みセキュリティサービスを提供している お客様からの評価から “最新のセキュリティ機能を積極的に無償で機能追加しているOCIも高く評価しています。私たちは これら新機能をいち早く利用し、セキュリティ強化に役立てています。” 株式会社マイネット 技術統括部 セキュリティグループ長, 前田 高宏 氏 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  6. NISC 令和5年度 政府機関等のサイバーセキュリティ対策のための統一基準 - 7.1 情報システムセキュリティ要件 から引用 サイバー・セキュリティ要件に対応するOCI機能とサービス 8 要件

    目的 遵守事項 (主なポイント) 必須となる 機能・サービス 追加検討 サービス 1 主体認証 機能の導入 アクセス権限のある主体へのなりすま しや脆弱性を悪用した攻撃による 不正アクセス行為を防止する • 主体の識別及び認証機能の導入 • 認証情報の漏えいによる不正行為の防止、 不正な主体認証の試行に対抗するための措置 • すべての主体に識別コード、主体認証情報を付与 し適切に管理する Identity and Access Management (IAM) N/A 2 アクセス 制御機能 取り扱う情報へのアクセスを業務上 必要な主体のみに限定することにより 情報漏えい等のリスクを軽減する • セキュリティ責任者は、情報の格付・取扱制限に 従いアクセス制御の設定等を行う • アクセスを許可する主体が確実に制限されるように アクセス制御機能を適切に運用する IAM Security Zones Network Firewall WAF 3 権限の管理 アクセス権限の不適切な管理に起因 する不正アクセスや管理者権限の 悪用を防止する • アクセス権限を必要最小限に限定 • 管理者権限の主体情報が盗まれた際の被害の 最小化、内部からの不正操作の防止措置 • 不要なアクセス権限の付与がないか定期的に監視 IAM Cloud Guard Data Safe N/A Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  7. サイバー・セキュリティ要件に対応するOCI機能とサービス 9 要件 目的 遵守事項 (主なポイント) 必須となる 機能・サービス 追加検討 サービス

    4 ログの取得・ 管理 不正侵入や不正操作等のセキュリ ティ・インシデント及びその予兆を検知 するための重要な材料として活用する • 不正侵入、不正操作等を検証できるログを取得 • 保存期間や改ざん防止など適切な運用管理 • 取得したログを定期的に点検又は分析する Audit Logging Analytics Logging WAF Network Firewall 5 暗号・ 電子署名 情報の漏えい、改ざん等を防ぐための 手段として、情報システムへ適切に 実装する • 要機密情報は、暗号化の有無を検討 • 要保存情報は、電子署名の付与・検証を検討 • 電子政府推奨暗号リストの暗号鍵を使用 デフォルト 暗号化 Vault 6 監視機能 セキュリティ・インシデントや不正利用 の速やかな認知、セキュリティ対策の 実効性の確認のために、適切な監視 機能の実装と運用を行う • 運用管理機能要件を策定し、監視機能を実装 • 情報セキュリティ責任者は、情報システムの監視 機能を適切に運用する • 新たな脅威に備えて、監視の対象や手法を 定期的に見直す Cloud Guard Vulnerability Scanning Instance Security Data Safe Logging Analytics Logging Logging Analytics Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  8. Cloud Guard, Vulnerability Scanning, Data Safe, IAM, Logging Analytics 必須となる基本のセキュリティ・サービス

    10 Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN OCI全体の脆弱性を監視 クラウド内の脆弱な設定やユーザーの アクティビティを追跡しリスクをスコアリング アラートや是正処理を自動化 VMの脆弱性・ワークロード監視 パッケージの脆弱性やオープンポート をスキャンし、VM内ワークロードを保護 Vulnerability Scanning Cloud Guard IAM 認証強化・アクセス制御 多要素による認証強化・連携 ポリシーによるアクセス制御 認証ログ 権限管理 ログ 操作 アクセスログ Logging Analytics Auditログの可視化・長期保存 Auditログから不正ログインや疑わしい 操作を監視し、セキュリティ・インシデント を速やかに検知する Audit Data Safe データベースのセキュリティ強化 Oracle Databaseの脆弱な設定や 不正と疑わしいアクセスを検出 Copyright © 2024, Oracle and/or its affiliates. All rights reserved Instance Security
  9. Web Application Firewall, Network Firewall, Security Zones, 追加検討サービス① - アクセス制御を強化するセキュリティ・サービス

    - 11 Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN with Security Zones WEBアプリケーションを保護 多種多様なサイバー攻撃から WEBサイトを保護する Network Firewall Web Application Firewall 不正なネットワーク通信を監視 インターネットやVCN内の相互通信 から不正なトラフィックを検知し遮断 Security Zones セキュアに保護されたコンパートメント コンパートメントには、セキュリティポリシーの 要件に満たしたリソースしか作成させない Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  10. Vault 追加検討サービス② - 電子・暗号署名を強化するセキュリティ・サービス - 12 Tokyo Region Compartment /

    VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN 暗号化 Vault ユーザー自身による暗号鍵管理 ストレージ、データベースの暗号化をユーザー 自身が持ち込んだ暗号鍵を使用し管理する 各ストレージサービスはOracle管理に によりデフォルト暗号化されている Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  11. Tokyo Region 各種ログ (Audit, サービス, OS) + Logging Analytics 追加検討サービス③

    - ログ取得・管理及び監視を強化する統合ログ分析 - 13 Logging Analytics 認証ログ OS Network Firewall Load Balancer VCN Flow Logs Object Storage等 WAF Middleware Database Application 権限管理 ログ 操作 アクセスログ Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN with Security Zones Management Agent for LA Audit サービス・ログ OS内のログ 統合ログ分析基盤 OCIの様々なログを一元的に集約 セキュリティの観点で不正なアクティビティを 横断的に分析するSIEM的なログ分析基盤 セキュアにログを長期保管 Logging Analyticsに ログをアップロードする エージェンド Logging ログ出力管理 ネットワークやFirewallのログなど 様々なサービスログの出力管理 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  12. 各サービスの価格 14 サービス 機能 無償枠 価格 (※詳しくは各サービス価格にて) Cloud Guard OCI全体の脆弱性を監視

    完全無償 N/A Vulnerability Scanning VMの脆弱性を監視 完全無償 N/A Instance Security VMのワークロードを監視 パッケージ脆弱性とオープンポートは 5インスタンスまで無償 ワークロード監視を含めて 1インスタンスあたり約750円/月 Data Safe データベースのセキュリティ強化 Autonomous Database BaseDB, ExaDB-Dは無償 オンプレミス、DB on IaaSの場合: 1DBあたり¥31000/月 Identity and Access Management 認証強化・連携及びアクセス制御 2000ユーザー、多要素認証、 SSO(Oracle以外2つ)など幅広く無償 アプリケーション認証基盤として大規模 ユーザー管理の場合は有償になる場合あり Logging Analytics Auditログの可視化・長期保存 統合ログ分析基盤 10GB/月まで無償 300GB単位で¥57660/月 Security Zones セキュアに保護されたコンパートメント 完全無償 N/A Web Application Firewall WEBアプリケーションを保護 最初の1インスタンスと 1000万リクエスト/月まで無償 1インスタンスあたり ¥93/月 100万リクエストごとに¥775/月 Network Firewall 不正なネットワーク通信を監視 10TBまでトラフィック処理が無償 1インスタンスあたり ¥426/時間 1GBごとに1.6/円 Logging サービスログの出力管理 10GB/月まで無償 1GBあたり¥8/月 Vault ユーザー自身による暗号鍵管理 Default Vault: 20キーバージョンまで Software: 制限なし Default Vault: 1キーあたり¥74/月 Virtual Private Vault: 1Vaultあたり¥577 /時間 基 本 追 加 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  13. クラウド全体の脆弱性を監視 OCIの様々なリソース設定やユーザー操作を 監査ログや設定情報から読み取り、脆弱性を検出し是正する - 各サービスの設定に関連するリスクを診断 - ユーザーやネットワークに関する設定変更など、構築・運用で 発生する様々なアクティビティに対するリスクを診断 - 脅威インテリジェンスと連携し、ユーザーのふるまいを学習し診断

    検出された問題へのリスク評価と推奨事項をガイド アラートによる通知だけでなく、自動的に修正するレスポンダ処理 リスク検出ポリシーは、Oracleが提供しメンテナンス テナント内の全リージョン・リソースを評価しスコアリング 基本機能として無償、設定も非常に簡単 Cloud Guard 16 Cloud Guard Vault Scanning VCN, Load Balancer Compute, Storages Databases IAM 問題の検知 アクション実行 リスク評価 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  14. 動作フロー Cloud Guard 18 Detectors Configuration Activity Threat 脆弱性を検出するディテクタは 構成、アクティビティ、脅威の

    3タイプで構成され、それぞれに レシピと呼ばれるポリシーに基づき チェックする レシピは、Oracleマネージドにより メンテナンスされる Responders Stop Instance Suspend User Disable Bucket レスポンダは、検出された問題を ユーザーに通知する または、対応する是正処理を自動 実行し、問題を自己解決する Targets ターゲットは、Cloud Guardが 監視対象にするコンパートメント 指定されたコンパートメント下の サブコンパートメントも対象となり rootを指定時は、コンパートメント 全てが対象になる Problems リソースの設定に不備や疑わしい アクセスが発生した場合、 Cloud Guardは、問題として 検出し、レシピ内容に応じた リスクレベルに分類する Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  15. 構成ディテクタ・レシピ Cloud Guard 19 ディテクタ・ルール 推奨事項 デフォルト リスク・レベル インスタンスにパブリックIPアドレスがあります すべてのインスタンスへのインターネット・アクセスを許可することは慎重

    に検討してください クリティカル データベース・システムにパブリックIPアドレスがあります データベース・システムにパブリックIPアドレスが割り当てられていないこと を確認します クリティカル ユーザーがMFAを有効にしていません Oracle Mobile Authenticatorやワンタイム・パスコード等を使用 して、すべてのユーザーに対してMFAを有効にします クリティカル バケットがパブリックです バケットのパブリック・アクセスが容認されていることを確認し、ポリシーで 制限してアクセスを特定のユーザーのみに許可させます クリティカル スキャンされたホストには脆弱性があります OSパッチを適用するなど、脆弱性ごとにドキュメントに記載されている 推奨アクションを実行します クリティカル VCNセキュリティ・リストでは、すべてのソース(0.0.0.0/0)からの 非パブリック・ポートへのトラフィックが許可されます。 VCNセキュリティ・リストを使用して、サブネット内のインスタンスへの ネットワーク・アクセスを制限します。例えば、コンピュート・インスタンス をインターネット(0.0.0.0/0)に対して公開しない クリティカル VCNセキュリティ・リストにより、制限されたポートへのトラフィックが 許可されます 制限ポートへのアクセス許可がないかセキュリティ・リストを確認します 例) TCP (11,17-19,21,23-25,43,49,53,70-74,79- 81,88,111,123,389,636,445,500,3306,3389,5901,5985,5986,70 01,8000,8080,8443,8888) クリティカル Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  16. アクティビティ・ディテクタ・レシピ Cloud Guard 20 ディテクタ・ルール 推奨事項 デフォルト リスク・レベル 疑わしいIPアクティビティ マルチファクタ認証(MFA)を有効にして、ユーザーがログインしている

    ユーザー本人であり、資格証明が侵害されていないことを確認します クリティカル VCNネットワーク・セキュリティ・グループが削除されました NSGの削除が、このVCNと関連リソースで許可されていることを確認し ます 高 インスタンスが終了しました IAMポリシーを使用してインスタンスの終了操作を制限します 高 データベース・システムが終了しました 許可された管理者がデータベース・システムおよび関連データベースの 終了を認可して実行していることを確認します 高 中間認証局(CA)が取り消されました 権限のあるユーザーのみがCAバンドルの中間証明書を取り消すことを 確認します。ユーザーに権限がない場合は、取消しを取り消します 高 VCNセキュリティ・リストが削除されました このセキュリティ・リストの削除が、このVCNと関連リソースで許可されて いることを確認します 中 VCNネットワーク・セキュリティ・グループのイングレス・ルールが 変更されました 新しいイングレス・ルールが、このNSGと関連リソースで許可されている ことを確認します 中 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  17. 脅威モニタリング Cloud Guard 21 OCIの脅威インテリジェンス・サービスと連携し 疑わしいIPアドレスやドメインなど最新の脅威情報を更新 ユーザーのアクティビティ・パターンを機械学習し、ユーザーの リスク・スコアに反映 - 権限が過剰に付与されていないか

    - セキュリティを低下させる設定をしていないか - 普段とは異なる地域からアクセスしていないか - パスワードを突破しようとする行動をしないか リスクの高いユーザーは、悪質なユーザーとしてマークされ レスポンダの対応する問題として認識される アクセス元のIPアドレスと影響を受けるサービスが明確に なり、何を目的としたアクティビティだったのかトレース可能 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  18. レスポンダ レスポンダは、Cloud Guardが検出した問題に対するアクションを実行する 2種類のレスポンダ・タイプ Notification : 検出した問題をイベント・サービスと連携。問題検出のイベント発生時に 通知サービスと連携しメール通知やファンクションによるカスタム・スクリプトを実行 Remediation :

    検出した問題を手動または自動でCloud Guardが修正実行 Remediationで実行可能なレスポンダ・レシピ - IAMユーザー・ポリシーの削除、コンピュートインスタンスの停止・削除 Internet Gatewayの削除、Public IPの削除、バケットをプライベートに変更 DBバックアップの有効化, キーのローテーション 検出された問題は、Notificationがデフォルトとして動作 Remediationによる自動実行はユーザー自身で明示的な設定が必要 レスポンダの実行対象を条件で限定することが可能 レスポンダの実行した結果は、Auditに記録される Cloud Guard 22 Cloud Guard イベント サービス ファンクション サービス 通知サービス Notification 問題 Remediation レスポンダ・レシピを 実行 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  19. 例) オブジェクト・ストレージのバケットがパブリックに設定変更された場合 Cloud Guard 23 ディテクター 検知ルールのトリガーとして、“バケットがパブリックに変更”された 際に問題として認識(重大度:クリティカル) “バケットがパブリック” (重大度:クリティカル)

    プログラム 「クラウドイベント」は有効か? => Yes レスポンダー Cloud Guard オペレーター 問題を修正するか? => Yes レスポンダー レスポンダがバケットを プライベートに設定変更 重大なリスク ユーザーがバケットを パブリックに設定 バケット OCI Events OCI Functions OCI Notifications 「バケットをプライベートにする」が有効か? => Yes バケット Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  20. OCI Compute OCI Container Engine Vulnerability DB’s Vulnerability Scanning Cloud

    Guard Problems VMやコンテナの脆弱性を監視 Vulnerability Scanning (脆弱性スキャン) 25 コンピュート・インスタンスやコンテナ・イメージの潜在的な脆弱性を検出しリスクレベルを評価 3つの観点での脆弱性診断 - CVE(共通脆弱性識別子)に基づくインストールされたパッケージの脆弱性を検出 - オープン・ポートのチェック - CISベンチマーク(セキュリティの標準ベストプラクティス)への対応状況 特定のインスタンスや、指定したコンパートメント内のすべての インスタンスに対して実行 VMインスタンスにインストールされているCloud Agentがスキャンを実行 対応するOS (※コンピュートサービスが対応するプラットフォームイメージ) - Oracle Linux, CentOS, Ubuntu, Windows 検出されたリスクは、Cloud Guardと連携 基本機能として無償 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  21. Cloud Guardと連携するワークロード・プロテクション コンピュート・インスタンスやオンプレミス・サーバ内のワークロードを監視し 保護するCSPM(Cloud Security Posture Management) エージェントが定期的にOS内をスキャン - パッケージの脆弱性、オープンポートなどのセキュリティ情報を収集

    - OS内の疑わしいプロセスや常駐サービスの監視 - 過剰なログイン失敗や脆弱な設定等のアクテビティを検出 対象OS: Linux, Debian, Windows eBPFによるカーネルレベルでのセキュリティ・イベントを検出 MITRE攻撃フレームワークに準拠したリスク分類 Cloud Guardと連携したOracleマネージドの検出ルール SQLライクのクエリでOSを監視できるosqueryのサポート 用途に応じて選択可能 - Standard (無償) : パッケージの脆弱性、オープンポートの2種類のみ - Enterprise (有償) : 上記に加え、プロセスやサービスなどのアクティビティの監視・保護を含む Instance Security Copyright © 2024, Oracle and/or its affiliates. All rights reserved Windows Cloud Guard Linux Instance Security Instance Security ディテクタ・ルール Instance Security Problem Problem OCI On-Premise 28
  22. Instance Security ディテクタ・ルール Instance Security Copyright © 2024, Oracle and/or

    its affiliates. All rights reserved 29 ディテクタ・ルール 説明 リスク Win Linux 1 スキャンされたホストに脆弱性があります OS、ライブラリ、アプリケーション等の既知のセキュリティ脆弱性 クリティカル × 〇 2 オープン・ポートでリスニングしているプロセス ネットワーク接続をリスニングしているプロセス クリティカル 〇 〇 3 一時フォルダから作成された疑わしいスケジュール済タスク マルウェアがバックドアを日常的に実行する一般的なメカニズムに対するチェック 高 〇 × 4 一時フォルダから実行されている疑わしいサービス 一時フォルダから実行される疑わしいスケジュール済みタスク 高 〇 × 5 一時フォルダからのプロセスが横移動アクティビティを実行しようとしています 制限された一時領域を超えて横方向/再接続を試みるアクティビティ 高 〇 × 6 過度に失敗したアカウント・ログイン パスワード・スプレーなどの過度なログイン失敗 高 〇 × 7 WMICによる不審なプロセス開始の検出 WMICを利用したスクリプト起動やペイロードのダウンロード等のプロセス 高 〇 × 8 不正なパスによる正当なWindowsプロセスとしてのマスカレード処理 Windowsプロセスになりすました不正なプロセス 高 〇 × 9 Windowsセキュリティ・ルールの無効化 Windowsセキュリティ機能 (windefend)の無効化 高 〇 × 10 リスニング・モードのPuttyプロセス SSHトンネルを作成するためのリスニング・モードのPutty 高 〇 × 11 リスニング・モードのSSHプロセス リスニング・モードのPuttyから、LinuxのSSHトンネルの作成 高 × 〇 12 エージェントがインストールされていないか、期待どおりに実行されていません Cloud Agentが正常に動作していない 高 〇 〇 13 システムプロセス上で可能な逆シェル システム・プロセスで可能なリバース・シェル 高 × 〇 14 ホーム・プロファイルで実行中の不審なcronジョブ マルウェアは、定期的なスケジュール実行のcronジョブを使用してバックドアを準備 中 × 〇 15 疑わしい起動項目が検出されました マルウェアは、再起動時に再度バックドアを実行する起動を使用 中 〇 × 16 Webサーバー・パスが不足している可能性のあるオープンWebシェル・ソケット 外部サーバと不正なリモート制御に使用されるWebシェル 中 〇 ×
  23. osquery SQLライクなクエリでOS情報をインタラクティブに検索 - SELECT カラム名 FROM テーブル名 WHEREやJOIN、関数などの複雑な条件を可能にするSQL問い合わせ プロセス, ディスク,

    デバイス等の200を超える表定義 単体だけでなく、すべてのインスタンスを対象にした横断的なクエリー実行 クエリをお気に入りとして登録し、いつでも再実行 クエリ結果をCSVファイルとしてダウンロード可能 定期的にスケジュール実行し、結果はLoggingサービスに格納 - 頻度 (4h, 6h, 12h,毎日,毎週) OCI CLI, REST APIでのクエリ実行も可能 - oci cloud-guard adhoc-query get - oci cloud-guard adhoc-query-result-collection get-adhoc-query-result-content Instance Security Copyright © 2024, Oracle and/or its affiliates. All rights reserved 31 Host Instance Security Cloud Guard
  24. osqueryの実行例 Instance Security Copyright © 2024, Oracle and/or its affiliates.

    All rights reserved 32 CPUを最も使用している プロセスのTop5
  25. osqueryのクエリー Instance Security Copyright © 2024, Oracle and/or its affiliates.

    All rights reserved 33 問い合わせ内容 SQL フィジカル・システム情報 SELECT hostname, cpu_brand, cpu_physical_cores, cpu_logical_cores, physical_memory FROM system_info; ハードウェア変更イベント情報 SELECT * FROM hardware_events; プロセス一覧 SELECT * FROM processes; 特定パーティションの空きスペース SELECT path, ROUND( (10e-10 * blocks_available * blocks_size), 1) AS gb_free, 100 - ROUND ((blocks_available * 1.0 / blocks * 1.0) * 100, 1) AS percent_used, device, type FROM mounts WHERE path = '/'; 疑わしいプロセスを検出 (バイナリがディスクから削除済み) SELECT name, path, pid FROM processes WHERE on_disk = 0; 直近1時間のrootログインを確認 SELECT * FROM last WHERE username = “root" AND time > (( SELECT unix_time FROM time ) - 3600 ); 主要なディスクの暗号化を確認 SELECT * FROM mounts m, disk_encryption d WHERE m.device_alias = d.name AND m.path = "/"AND d.encrypted = 0; CPUを最も使用しているプロセスのTop5 SELECT pid, uid, name, ROUND(((user_time + system_time) / (cpu_time.tsb - cpu_time.itsb)) * 100, 2) AS percentage FROM processes, (SELECT (SUM(user) + SUM(nice) + SUM(system) + SUM(idle) * 1.0) AS tsb,SUM(COALESCE(idle, 0)) + SUM(COALESCE(iowait, 0)) AS itsb FROM cpu_time) AS cpu_time ORDER BY user_time+system_time DESC LIMIT 5; メモリを最も使用しているプロセスのTop10 SELECT pid, name, resident_size from processes order by resident_size desc limit 10;
  26. 価格 Instance Security Copyright © 2024, Oracle and/or its affiliates.

    All rights reserved 34 SKU PAYG(Pay As You Go rate) Oracle Cloud Guard Instance Security Standard ¥0 Oracle Cloud Guard Instance Security Enterprise ¥1.07 / Node Per Hour Oracle Cloud Guard Instance Security Ad hoc Queries Enterprise (First 950,000 Requests) ¥0 Oracle Cloud Guard Instance Security Ad hoc Queries Enterprise (Greater than 950,000 Requests) ¥0.155 /Request - Standard : パッケージの脆弱性、オープンポートの2種類のみ - インスタンス数: 1リージョンあたり5インスタンスまで - オンデマンド問い合わせ: 1リージョンあたり月30回、スケジュール問い合わせ: なし - Enterprise : 上記に加え、プロセスやサービスなどのアクティビティの監視・保護を含む - インスタンス数: 無制限 - オンデマンド問い合わせ: 無制限、スケジュール問い合わせ: 1日あたり25クエリ
  27. Oracle Databaseのセキュリティを強化するクラウドベースのデータベース・セキュリティ・サービス OCIコンソールから一元的にデータベースのセキュリティ状態を可視化 • 構成やユーザー情報からセキュリティ・リスクを評価 • データベース監査ログの可視化 • テスト用のマスキングデータを生成 •

    SQLレベルで制御するファイアウォールの管理 ターゲットとなるOracle Database • Autonomous Database, Base Database, Exadata Databased • オンプレミスまたは他社クラウド上のOracle Database • データベースのVersionは11.2~、Standard Editionでも利用可能 価格 • 対象がOracle Cloud Databaseの場合は無償 (※ログは100万件/月まで) • オンプレミス、他社クラウド上のOracle Database有償 Data Safe 36 Oracle Cloud Database オンプレミス上の Oracle Database AWS, Azure上の Oracle Database Protect Audit Users Discover Assess Mask Copyright © 2024, Oracle and/or its affiliates
  28. Data Safeが提供する機能 37 セキュリティ アセスメント ユーザー アセスメント 機密データの 検出 データ

    マスキング アクテビティ 監査 SQL Firewall データディクショナリ からデータベース 全体のリスク評価 過度な権限付与 や休眠アカウント 等のリスク評価 監査ログの収集 やレポート、アラー ト等のモニタリング 23aiの新機能 SQL Firewallを GUIで管理 列定義や実デー タのフォーマットか ら機密列を検出 数値や文字列を テスト用に任意の 値へとマスキング Copyright © 2024, Oracle and/or its affiliates
  29. Oracle Databaseの監査ログを定期的に収集し、ログ分析やレポートを提供 対象は、データベースの監査表のみ (Unified Audit, Database Vault, SQL Firewallの違反ログ等) Data

    Safeまたはオンプレミス・コネクターがターゲットDBに直接アクセスして監査ログを収集 Data Safeのコンソールからデータベースへの監査ポリシーの設定が可能 • 変更履歴やログイン失敗などの定義済みポリシー • ユーザー・アクティビティ • CISベンチマークやSTIGなどのコンプラインス対応向けポリシー コンプライアンス要件に対応する監査ログの長期保管 • オンライン保持期間は1~12カ月 • リストア可能なアーカイブとして最大6年保持可能 目的ごとにプリセットされたアクティビティ・レポート アラートによるプロアクティブな情報連携 月あたり100万レコードまでは無償 (超えると1万レコードごとに課金) アクティビティ監査 40 Data Safe Oracle Database AUD$ FGA_LOG$ Unified Audit On-Premises Connector 監査ポリシーの 取得・反映 監査ログの収集 アップロード 監査ポリシーと ログの取得 ※オンプレミスの場合は必要 Copyright © 2024, Oracle and/or its affiliates
  30. データベース内の機密データの列を検出する 検出方法は、以下の2パータン • NAME, ID, PASSWORDといった機密列を示すキーワードを含んでいる列 • メールやクレジット番号といったデータ形式が一般的に固定化されており かつ推測できる列 200以上の定義済みの機密タイプ

    ユーザー独自の機密タイプの定義を追加可能 • マイナンバー, 運転免許証番号, 携帯電話, 社員番号など 日本語の列名にも対応 検出された機密タイプは、機密データ・モデルとしてData Safeに 登録され任意の値にマスキングができる 機密データ検出 41 ABC Table Emp No 1234567 Column 2 xxxxxxx First Name Oracle Last Name Taro Column 5 xxxxxxx Card No 4123123488990121 Copyright © 2024, Oracle and/or its affiliates
  31. 機密性の高いデータを不可逆な形式にてマスキング データベースの特性を考慮したアーキテクチャ • 表の制約や表の親子関係を認識した一貫性のあるマスキング • 列データの要素数、分布、件数など、本番データの特性を維持 • マスキングはデータベース内でPL/SQLスクリプトとして実行される GUIで自由に定義できる様々なマスキング・タイプを提供 60を超える定義済みのマスキング・テンプレート

    • 各ブランドのクレジット・カード番号, Eメール, URL, 郵便番号, マイナンバー ユーザー独自のマスキング定義を作成可能 • 携帯番号, 社員番号, パスポート番号等の日本独自のデータ形式 条件分岐や日本語を含む複雑なマスキングはユーザー定義関数で対応 注意事項 • マスキング中は一時的にマスキングする表の数倍の表領域の空きが必要 • マスキング実行前にはDBのバックアップ、表の複製等の対応が必須 データ・マスキング 42 Oracle Database Data Safe Copyright © 2024, Oracle and/or its affiliates
  32. サポートされるターゲット・データベース 43 Oracle Cloud Database Versions Autonomous Data (Shared Exadata

    Infrastructure) latest version Autonomous Data (Dedicated Exadata Infrastructure) latest version Base Database, Exadata on Dedicated Infrastructure - Oracle Database Edition (SE, EE, EEHP, EEEP) 11.2.0.4*, 12.1*, 12.2.0.1 or later Oracle Database on Compute instance - Oracle Database Edition (Standard, Enterprise) 11.2.0.4*, 12.1*, 12.2.0.1 or later On-Premises Oracle Database - Oracle Database Edition (Standard, Enterprise) 11.2.0.4*, 12.1*, 12.2.0.1 or later Oracle Databae@Azure 19c Amazon RDS for Oracle 19c, 21c Copyright © 2024, Oracle and/or its affiliates
  33. 価格 44 サービス名 単価 単位 1 Data Safe for Database

    Cloud Service (*) 無償 2 Data Safe for Database Cloud Service – Audit Record Collection Over 1 Million Records ¥15.5 1万レコード/ターゲット/月 3 Oracle Cloud Infrastructure - Data Safe for On-Premises Databases (**) ¥31,000 1DBあたり 4 Oracle Cloud Infrastructure - Data Safe for On-Premises Databases – 10,000 Audit Records Per Target Per Month ¥15.5 1万レコード/ターゲット/月 * 監査機能は、 100万レコード/ターゲット/月まで無償、その他の機能は無償 **監査機能は、 100万レコード/ターゲット/月まで利用可能、その他の機能は追加コストなく利用可能 最初の100ターゲットまで。100ターゲット以上は単価が下がるため、詳しくは価格リストを参照 Copyright © 2024, Oracle and/or its affiliates
  34. 柔軟なアクセス制御 Identity and Access Management Copyright © 2024, Oracle and/or

    its affiliates. All rights reserved 46 OCIアカウント内のセキュリティ IAMユーザーの認証 ポリシー設定によるアクセス制御 ポリシーの設定により複雑なルールも簡単に定義可能 誰がOCIアカウントにアクセス可能か、どのクラウド・リ ソースへのアクセス権を持つか、どのようにサービスやリ ソースを利用可能か 組織構造にも対応 コンパートメント Tenancy CompartmentA CompartmentB Groups GroupX Users User1 User2 Policies PolicyA: allow group GroupX to manage all- resources in compartment CompartmentA PolicyB: allow group GroupY to manage all- resources in compartment CompartmentB PolicyA PolicyB Block Storage Object Storage Virtual Machine VPN/ FastConnect DRG
  35. 二要素認証 サインオンポリシーで指定可能な複数の認証手段を提供 Copyright © 2023, Oracle and/or its affiliates 47

    ◆ 管理者は任意の二要素認証の手段を選択して有効化することが可能 ◆ モバイルアプリケーション:Oracle Mobile AuthenticatorはApp StoreやGoogle Playから入手が可能 ◆ 二要素認証をパスすると、指定した日数の間同一のWebブラウザからのアクセスでは二要素認証を免除するオプションを提供 メール SMS モバイル アプリケーション 【二要素認証の要素】 モバイル アプリケーション FIDO2 ワンタイム・パスコード 通知 秘密の質問 生体認証 ※Oracle Mobile Authenticatorのみ利用可 ※RFC 6238に準拠している Authenticatorを利用可能 ※SMSの数量により 別途追加費用が発生
  36. リスク・ベース認証 ユーザーの行動分析に応じた認証強化 Copyright © 2023, Oracle and/or its affiliates 48

    ◆ ユーザーの疑わしい行動履歴(下記項目)から、リスク・スコアを算出 ✓ ログインの失敗 ✓ MFAの試行 ✓ 未知の端末からのアクセス ◆ リスク・スコアに応じて二要素認証の要求やログインの禁止などの措置を指定可能 ◆ 増加したリスク・スコアは、ユーザーが異常な行動をしなければ、時間の経過に応じて減少 評価項目毎のリスク値の定義 ✓ 疑わしいIPからのアクセス ✓ 通常とは異なる場所からのアクセス ✓ 一定時間内の移動距離 ユーザー毎のリスク値の推移確認
  37. 認証ポリシー アプリケーションへの認証強化・アクセス制御のルールを定義するサインオン・ポリシー機能 Copyright © 2023, Oracle and/or its affiliates 49

    サインオン・ポリシー インターネット 社内 ネットワーク サインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 社外からのアクセス + 管理者権限 ログイン拒否 社外からのアクセス 二要素認証 Web業務アプリケーション 社内からのアクセス パスワード認証 サインオン・ルールの例 ◆ サインオン・ポリシーにより、ログインが完了したユーザーへの認可処理として許可/拒否/再認証の要求/多要素認証の要求 のいずれかの対応を設定することが可能 ◆ サインオン・ポリシーはアプリケーション個別または全体(すべてのアプリケーション)に適用することが可能 ◆ サインオン・ポリシーの要素であるサインオン・ルールにより、ルール適用の条件や条件が当てはまる場合のアクションを指定 条件 • リスクスコアの値 • 端末のIPアドレス(ネットワーク・ペリメータ) • 所属グループ • 管理者権限の有無 アクション • アクセス許可 • アクセス拒否 • 再認証の強制 • 二要素認証の強制 条件 アクション 他社クラウドサービス Oracle PaaS/SaaS
  38. フェデレーション技術による認証連携 Oracle Public Cloud、他社SaaS、オンプレミスシステムに対するシングル・サインオン Copyright © 2023, Oracle and/or its

    affiliates 50 ◆ SAMLやOAuth、OpenID Connectのようなフェデレーションの標準技術を利用して、 Oracle Public Cloudや 他社SaaSやオンプレミスアプリケーションにシングル・サインオン ◆ 事前設定定義カタログに用意されているアプリケーションは、簡単なウィザードによって登録が可能 ✓ 他社SaaSやOracle Public Cloudなど数百種類のアプリケーションをカタログで提供 ◆ アプリケーションごとに、ユーザーのアクセスの可否を設定可能 ECサイト Web業務 アプリケーション オンプレミス・on IaaS 他社SaaS Oracle Public Cloud フェデレーション技術による 認証情報連携 シ ン グ ル サ イ ン オ ン SAML OAuth OpenID Connect OCI IAM Identity Domain
  39. OCI IAM Identity Domain 外部認証基盤(外部IdP)との認証連携 Azure ADなど既存の認証基盤をマスターとする認証連携 Copyright © 2023,

    Oracle and/or its affiliates 51 ◆ Azure AD、ADFS(Active Directory Federation Service)など、SAMLのIdPをマスターとする認証連携が可能 SP クラウドサービス OCIコンソール SP SP アプリケーション 各アプリケーション(フェデレーション対応) IdP(アイデンティティ・プロバイダ):クラウドサービスとの認証連携において認証行為を行う側 SP(サービス・プロバイダ):クラウドサービスとの認証連携においてIdPへ認証を委託する側 IdP Azure AD その他IDaaS 社内 ADFS (オンプレミス) SP IdP IdP 既存認証基盤(マスタ) シ ン グ ル サ イ ン オ ン IdP SAML 外 部 IdP 連 携 IdPポリシー 複数のIdPと連携が可能 IdP利用ルールを定義可能
  40. ソーシャル・ログイン SNSなどの外部サービスをマスターとする認証連携 Copyright © 2023, Oracle and/or its affiliates 52

    ◆ FacebookやTwitterなどのSNSを認証マスターとして、それらのアカウントを利用してOCI IAMにログイン ◆ SNSとOCI IAMはOpenID Connect(一部OAuth)を利用してフェデレーション ◆ SNS(一部)との連携設定は事前定義済み ◆ 事前定義がないSNSも定義をインポートすることで連携可能 ◆ SNSのアカウントとの紐付け方法 ✓既存OCI IAMアカウントとソーシャル・アカウントとの紐づけ(1:Nの紐づけが可能) ✓OCI IAMへのソーシャル・アカウントの新規自己登録 SNS OCI IAM Identity Domain SP アプリケーション アプリケーション SP SP アプリケーション 各アプリケーション(フェデレーション対応) IdP シ ン グ ル サ イ ン オ ン ログイン連携 OpenID Connect (一部OAuth) 認証マスタ Aさん ログインID:Facebook ID パスワード:なし Bさん ログインID:ローカルのID パスワード:あり Facebook ID Twitter ID SNSアカウント
  41. IAM with Identity Domains Copyright © 2023, Oracle and/or its

    affiliates 53 •認証連携 •認可制御 •多要素認証 •ユーザー管理 等 オンプレミス OCI IAM Identity Domains 認証連携(シングルサインオン) 認証強化 管理 • モバイルやEmail、SMSを利用したワンタイムパスコード • 利用者情報(IPアドレス,所属グループ)に応じた認証制御 • ユーザー行動分析によるリスク評価 • 標準技術/標準規格による認証連携 (SAML, OAuth2.0, OpenID Connect, SCIM) • Gatewayモジュールによるオンプレミスアプリとの認証連携 • Azure ADなどの外部IdPとの認証連携 • 様々な方式によるユーザーやグループの管理 • Active Directoryを利用したユーザー管理 • アクセス証跡の管理と確認 他社クラウド Webシステム クラウド イントラ インターネット 利用者 WebアプリケーションやECサイトの認証統合・認証強化を実現するクラウド型認証基盤(IDaaS) Oracle SaaS/PaaS 開発 • REST APIによる操作 • ログイン画面等の開発 認証強化 認 証 連 携 認 証 連 携 認 証 連 携
  42. IAM with Identity Domains ユースケース Copyright © 2023, Oracle and/or

    its affiliates 54 OCI IAM Identity Domains 1 従業員向け統合認証基盤 従業員が業務で利用するオンスレミスのWebアプリケーションや SaaSを中心としたクラウドサービス等の認証管理・認証強化を 実現したエンタープライズレベルの認証基盤を構築 2 従業員向けSaaSの認証基盤 従業員が業務で利用するSaaSを中心としたクラウドサービスの 認証管理・認証強化を実現したクラウド向け認証管理基盤を構築 利用者 :従業員(正社員、契約、業務委託) 対象アプリケーション:オンプレミスWebアプリ、クラウドサービス(SaaS等) 利用者 :従業員(正社員、契約、業務委託) 対象アプリケーション:クラウドサービス(SaaS等) 3 外部ビジネスユーザー向け認証基盤 取引先・サプライヤ・仕入先向けのWebアプリケーションや 企業向け自社開発のパッケージの認証管理や認証強化を実現 利用者 :取引先、サプライヤ、パッケージ契約者(企業または消費者) 対象アプリケーション:Webアプリ、パッケージ(オンプレミスまたはSaaS) 4 会員(コンシューマ)向けの認証基盤 会員向けECサイトやモバイルアプリの認証強化やソーシャル認証連携、 複数ECサイトの認証連携を実現することで、会員IDの統合による UX向上とマーケティングを促進 利用者 :会員(サイト利用者) 対象アプリケーション:ECサイト、モバイルアプリケーション
  43. Identity and Access Managementの課金タイプ Copyright © 2023, Oracle and/or its

    affiliates 55 • OCI IAM Identity Domainsに4つのタイプ(課金タイプ)を用意 ※Oracle SaaSテナンシでのみ利用可能なタイプも用意 • 1つのIdentity Domainには1つの課金タイプを設定 タイプ Free Oracle Apps Premium Premium External User 概要 (Usecase) • テナンシ作成時にデフォルト・ドメインとして 作成されるタイプ • OCI IaaSおよびPaaSのリソースへのアクセ ス管理 • Oracle SaaS、PaaS、 GBUアプリケーションへの アクセス管理 • 加えてオンプレミスやOCI IaaS上のOracle アプリケーション(Oracle EBS、PeopleSoft等) のアクセス管理 • 完全なIAM機能を提供し、 すべてのOracleアプリケーションおよび Oracle以外のアプリケーションに対するアク セス管理 • 完全なIAM機能を提供しコンシューマ向けの アプリケーションに対するアクセス管理 機能制限 あり あり なし あり オブジェクト制 限 あり あり あり あり 利用条件 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • Oracle SaaSまたはOracleアプリケーション のアクセス管理 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • コンシューマ向けの認証 価格 無償 ¥35(User Per Month) Oracle Cloud Infrastructure Identity and Access Management – Oracle Apps Premium ¥448(User Per Month) Oracle Cloud Infrastructure Identity and Access Management – Premium ¥2.24(User Per Month) Oracle Cloud Infrastructure Identity and Access Management – External User 注意事項 ーー • OCI IAM Identity Domainが必須となる 「お客様の開発が入らないPaaSサービス (OCMやOAC等)」のみでも利用可 ーー • デフォルトドメインを本タイプにすることは不可 • OCIリソース(OACやOCM等のPaaS含む) へのアクセス不可
  44. Identity and Access Managementタイプ毎の機能制限 (一部) Copyright © 2023, Oracle and/or

    its affiliates 56 タイプ 機能 Free Oracle Apps Premium Premium External User Oracle CloudサービスのSSO • • • • 現在のOCI IAMの機能 • • • ーー OCIリソースへのアクセス管理 • • • ーー 動的グループ(OCI用) • • • ーー OCI固有の資格証明タイプ • • • ーー サードパーティ・アプリへのアウトバウンドSSO 外部アプリ:2つまで 外部アプリ:10つまで • • サードパーティ・アプリのOAuth/トークン管理 • • 汎用SCIMアプリ・テンプレート • • 外部IdPsおよびソーシャル・ログイン 外部IdP:5つまで • • • 柔軟なIdPルーティング・ポリシー • • • • ADからIdentity Domainへの同期 (単方向Active Directory同期) • • • ーー MFAとアダプティブ・セキュリティ SMSは利用不可 • • • サインオン・ポリシー 5つまで • • • App Gatewayの利用 ーー Oracle Applicationsのみに 制限 • • 詳細:https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm ※外部またはサードパーティ・アプリケーションは、Oracle以外のプロバイダが提供する商用アプリケーション、 またはカスタム開発のアプリケーション(Visual Builder Cloud Serviceを使用してOCIで構築されたアプリケーションなど)として定義されます。
  45. OCI内のログ出力を管理し、ログの簡易的な分析と連携管理を提供 Auditログ - デフォルトで有効化されているOCIコンソールやAPIの操作ログ サービス・ログ - 各OCIサービスを利用時に発生するログ - VCN Flow

    Logs, Load Balancers, Object Storage, Functionsなど Auditログは最大365日、サービスログは最大6カ月保持 Logging AnalyticsやObject Storageにログデータを移動することで 永続的な保管が可能 ログの分析やレポーティングは、操作性が高いLogging Analytics に集約して使用するのが効果的 Logging 59 Logging Auditing Object Storage VCN Flow Logs Auditログ サービス・ログ etc Service Connector Hub Logging Analytics Copyright © 2023, Oracle and/or its affiliates
  46. Auditログ OCIの全てのアクティビティログを記録するサービス • コンソール、CLI、SDKを含む すべてのAPIコール を自動的に記録 • 一部の例外を除く全サービスが対応 • コンソール、APIから閲覧・検索可能

    • テナンシー単位で365日分保持 • 利用料は無料 • SR申請によりオブジェクト・ストレージに一括エクスポート設定も可能 • ロギング・サービスとの連携 • ロギング・サービスの仕組みを使って監査ログを検索、管理することも可能 • サービス・コネクタ・ハブを利用してログデータを他のサービスに連携 Logging 60 Copyright © 2023, Oracle and/or its affiliates
  47. 機械学習のテクノロジーを活用した高度なログ分析・サービス基盤 - 200種類以上のログに対応した事前定義済みパーサー - OCIやオンプレミスにある様々なOSやミドルウェアのログに対応 - 未サポートのログにはガイド付きカスタムパーサーで簡単作成 直感的な操作で分析可能できるログ・エクスプローラー 大量のログを高速にビジュアライズするクラスタ分析 ログ・データの値に応じた自動ラベリング

    様々な分析軸を保存したダッシュボード ラベルやログ・データに応じたアラート通知 アーカイブ機能によりTBを超えるログ保存のコストを削減 Loggingサービスとの連携しログ分析基盤として活用 インストールした管理エージェントが、自動的にアップロード Logging Analytics 62 Logging Analytics Logging Compute Instance Service Connector Hub 管理エージェント 連携 Syslog、セキュアログ Windowイベントログ ミドルウェア、アプリケーションログ ネットワーク、データベースログ etc.. Database System 他社クラウド 管理エージェント 連携 管理エージェント 連携 サービス連携 オンプレミス Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  48. ログ・エクスプローラ ドラッグ&ドロップ、クリックなどの直感的な操作でログを検索、分析 Logging Analytics 63 検索クエリー GUI操作に連動して自動生成 直接コマンド編集も可能 フィールド ログパーサーによって解析され

    たフィールドと関連付いた値 フィールドを用いたフィルタ 処理や検索、複数のフィード を組み合わせたグループ化 など柔軟な分析ができる ビジュアライゼーション 分析結果を様々な形式でグラフ化 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  49. 機械学習を用いたログ分析 「無視してよい大量のログ」「大切な一行のログ」を効率的に探索 類似したパターンを持つログを自動的に認識しグルーピング 膨大な量のログイベントを少量のパターン情報 (クラスタ)へと集約 - 例外的パターンや断続的に発生するイベントを素早く検知することで 迅速なトラブルシューティングや、異常の検出を可能に Logging Analytics

    64 クラスター: ログ・レコードのパターンを識別し、類似した パターンを持つログをグループ化 潜在的な問題: Error, Fatal(致命的), Exception(例外) などのキーワードを含むログ・レコードのクラスタ 外れ値: 特定の期間中に一度のみ発生し、クラスタに 含まれなかったログ・レコード トレンド: クラスタのトレンド。類似した傾向を持つクラスタ同士 をトレンドとして表示 Aug 18 11:00:57 Unable to create file ABC.txt for user root Aug 18 23:07:26 Unable to create file DEF.txt for user larry Aug 18 23:08:30 Unable to create file XYZ.ppt for user moe 上記ログエントリを、1つのパターンおよび1つの例外に集約 ID パターン 件数 1 <Date> Unable to create file <File> for user <User> 1000 2 Aug 18 23:08:01 Succeeded authorizing right 'system.priv.admin' 1 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  50. ラベル Logging Analytics 66 ラベル機能 • 特定の値を持つログエントリに「ラベル」=「わかりやすいキーワード」を付与 • 人間にわかりやすい言葉でログを検索することが可能 事前定義済ラベル

    • ラベルとラベル付与ルールを事前定義済で提供 • ユーザー自身がカスタムで作成することも可能 Tue Feb 14 22:24:23 2017 … Errors in file … (PDBNAME=CDB$ROOT): ORA-04031: unable to allocate 512 bytes of shared memory Exception in thread "Thread-4" java.lang.OutOfMemoryError: Java heap space at org.apache….. 「メモリエラー」 Oracle Database アラートログ WebLogic Server サーバーログ ラベル ラベルの付与 ラベルによる検索 「メモリエラー」に関する ログを教えて! Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  51. 事前定義済みのログ・パーサー 200を超える事前定義済みのログ・パーサーを提供 例:Windowsイベント, Linux/Solaris等のOS関連ログ Oracle Database, MySQL, SQL Server等のDB関連ログ WebLogic

    Server, Tomcat, JBoss, IIS等のAP関連ログ Palo Alto, Bluecoat,F5等のネットワーク機器関連ログ OCI Audit, VPN Flow Logなどクラウドサービス関連ログ テキスト、XML、JSON、データベース表のログにも対応 マルチライン対応 事前定義済みのパーサーにない未対応のミドルウェアや アプリケーションのログには、ガイド付きパーサー・ビルダーで 簡単に正規表現のパーサー作成が可能 Logging Analytics 67 フィールド分割の作業や場所の指定なしで すぐに分析に取りかかることが可能 ログ・パーサー ログレコードの解析定義(正規表現) ログ・ソース ログの場所やログに対する前処理の設定 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  52. ログのアーカイブ・パージ Logging Analyticsの2つのストレージ領域 - アクティブ・ストレージ (デフォルト) - アーカイブ・ストレージ アクティブに参照する必要のないログは、アーカイブ ストレージに移動し、ストレージコストを抑えることが可能

    アーカイブは、アクティブストレージに30日以上経過し、 1TBを超えるデータが対象となる リコールにてデータをアーカイブからアクティブストレージに いつでも呼び戻すことも可能 古いログは、パージによってログを削除 パージ・ポリシーを設定することで、1カ月以上前のログや 特定のシステムのログだけを削除するなど、定期的なログ 削除のジョブを実行 Logging Analytics 69 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  53. 検出ルールとアラート 2種類の検出ルール - 検出したいログの検索クエリーをスケジュール化して定期的に 実行(最小5分間隔)、結果をメトリックとして更新 - ログ取り込み時にラベルの有無をチェックし、結果をメトリック として更新 メトリックは、モニタリングの独自メトリックとして定義される メトリックには、しきい値を設定したアラートの実行

    - モニタリングのアラート機能を使用 アラートの通知先には、通知サービスを使用した メール, Slack, SMS, Webhook, Functionsと連携した コードの自動実行など、しきい値を検知した際の アクションの設定が可能 OCI上のリソースが削除された内容のログを検索する 検索クエリーを定期的に実行し、1件でも一致するログがあれば アラームを受け取る Logging Analytics 70 OCI上のリソースが削除された ログを検索する検索クエリーを 5分毎に実行 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  54. 脅威インテリジェンスと連携し高リスクのIPアドレスを検出 OCIの脅威インテリジェンス・サービスと連携し ログ内に含まれているIPアドレスを評価しリスクを検出 脅威データベースに該当する場合は、Threat IPの フィールドとして出力される 脅威となるIPアドレスの主なタイプ -Bruteforce, Criminal, Botnets,

    Sqlinjectionattack Mobilemalware, Banking, Targetedcrimewareなど IPアドレスは、脅威タイプと信頼度が定義されており 常に最新の動向を反映したリストに保たれる Logging Analyticsには、IPアドレスからジオロケーション を抽出する機能があるが、その設定の一部として チェックするだけ有効になるので設定も簡単 機能を有効化した後のログからチェックが開始され 既に格納されているログは対象外 Logging Analytics 71 Threat Intelligence Logging Analytics ログに含まれるIPアドレスを 分析しThreat IPとして評価 最新の脅威情報 を同期 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  55. ダッシュボード ログ・エクスプローラーで検索した条件を保存し、一目で ユーザーの参照したい画面をダッシュボードにして作成 日付に応じた画面のリフレッシュ OCI AuditやVNC Flow Logsなどのビルドインされた ダッシュボードの提供 ログ・エクスプローラーの画面に遷移し、さらに詳細な

    分析を行うことも可能 ダッシュボードをクローンすることで、事前定義済み ダッシュボードのカスタマイズ ダッシュボードの定義をエクスポートし、別のテナントに インポート可能 Logging Analytics 72 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  56. サービス価格 73 【Logging Analytics】 サービス 価格 メトリック Logging Analytics: Active

    Storage (最初の35Unitまで)※ ¥57,660 1Unit/月 Logging Analytics: Active Storage (36~103Unitまで) ¥40,362 1Unit/月 Logging Analytics: Active Storage (104Unit以降) ¥34,596 1Unit/月 Logging Analytics: Archive Storage ¥3.1 1Unit/時間 ※Logging, Logging Analyticsは、最初の10GBまで無償 LAは、11~300GBが1unit、以降 300GB単位で1Unit換算 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  57. 脆弱な設定を防止するために、強固なセキュリティ・ポリシーが強制されたコンパートメント コンピュート・インスタンス、ネットワーク、ストレージ、データベースなどのリソースに対する 30を超えるポリシーがOracle管理で提供される ポリシーの一例: - セキュリティゾーン内のリソースを標準コンパートメントに移動することはできない - パブリック・アクセスに関するリソースはすべて作成できず、プライベート・サブネットのみ許可される - ストレージ・ボリュームはVaultによる暗号鍵管理が必要

    - データベースのバックアップは必須、バックアップはセキュリティゾーン以外では使用できない - カスタム・イメージは作成できない すべてのポリシーを強制させる最大セキュリティ方式、ユーザー自身で必要な ポリシーのみを選択する方式の2種類のSecurity Zonesが作成可能 基本機能として無償 セキュアに保護されたコンパートメント Security Zones VM Database Security Zones Admin 75 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  58. Webアプリケーションの保護をクラウド型で提供するOCIのマネージドサービス OWASP Top10に代表される様々なサイバー攻撃のトラフィックを解析し、Webアプリケーションを保護 Webアプリケーションのプロキシとして動作し、多層的に不正なアクセスを検出・遮断 Oracle Cloudだけでなくオンプレミスや他クラウド上にあるWebアプリケーションも同等の保護が可能 用途に合わせたGlobal WAFとRegional WAFの2種類のWAFをサポート Web

    Application Firewall 77 WAF and Anti-Bot Protection クラウドベース Web APP オンプレミス Web APP Oracle Cloud Web APP 悪意のボット ハッカー ユーザー 善良なボット スパムメール アクセス制御 脅威 インテリジェンス ボット対策 保護ルール すぐにデプロイできる俊敏性 マネージドサービスによる設定・運用管理の容易性 特定の国, URL IP, ユーザー エージェント等の 制限 最新の脅威情 報 を基 に脆 弱 性をつく攻撃を 防御 悪意のボットを ブロックさせるた めのトラフィック 行動分析 サイバー攻撃を 遮断する600を 超えるルール およびOWASP トップ10への対応 専門 チーム 極度な状況の 場 合 に動 員 さ れる専門家 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  59. それぞれのWAFの特徴 80 Global WAF (エッジ ポリシー ) Regional WAF (WAF

    ポリシー) 機能提供開始 2019年2月~ 2021年10月~ 特徴 ドメインのDNSレコード更新を用いて フルスタックのWAF機能を使用できる OCI Flexible Load Balancerに直接デプロイし 従来よりも簡単でシンプルな設定・構成 対象アプリケーション すべてのパブリックのWEBアプリケーション OCIのVNC内のWEBアプリケーションのみ アプリケーション・エンドポイント パブリックのみ パブリック及びプライベート アクセス制御 〇 〇 脅威インテリジェンス 〇 × (予定) WAF保護ルール 〇 〇 BOT対策 〇 × (予定) レート制限 〇 〇 キャッシュ 〇 × (予定) アクセス・ログ WAF Service内 Logging サービス連携 ポリシーの反映 10分~1時間 10秒~1分 グローバルなエッジPoPに展開する負荷分散型のGlobal WAFは、エッジポリシー Flexible Load Balancerに直接デプロイするOCIネイティブ型のRegional WAFは、WAFポリシーと呼ぶ Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  60. ルールに基づいて悪意のあるトラフィックからアプリケーションを保護 保護ルール (Protection Rules) 81 事前定義済ルールがサービスに同梱 • 現時点で600以上のルールが定義済 • 最新の脅威情報を元に随時アップデート

    ユーザーがルールの適用可否をカスタマイズ • Block(ブロック)、Detect(検知のみ) 、Off(無効) • mod_security フォーマットによるカスタム・ルールの登録 AI機能による運用サポート • 一定期間のトラフィックを機械学習(ML)で自動的に分析し、 推奨アクションを提示 (※エッジポリシーの場合) • OWASPの推奨事項などをタグでフィルタリング ブロック時のアクション指定 • レスポンスコード • エラーページ エッジポリシー WAFポリシー Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  61. アクセス・ルール (Access Rules) トラフィック制御の条件に設定できるパラメータ アクセス制御 (Access Control) 82 評価基準 内容

    備考 URL • URL is • URL is not • URL starts with • URL ends with • URL contains • URL regex URL正規表現マッチングはPerl互換の正規表現 IPアドレス • Client IP Address is • Client IP Address is not 地域 / 国 • Country is • Country is not APIには、2文字の国別コードを使用 UserAgent • User Agent is • User Agent is not HTTPヘッダ • HTTP Header contains 値は、コロンで区切った<name>:<value>で入力する必要がある エッジポリシー WAFポリシー Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  62. 状況に応じインテリジェントに判断してアプリケーションを保護するWAFの応用機能 ボット管理 (Bot Management) 83 単純なルールでは判別不可能なBotを、複雑なロジック を用いアダプティブに判断して検知、ブロックを行う 5種類の保護をサポート • JavaScriptチャレンジ

    • ヒューマン・インタラクション・チャレンジ • デバイスのフィンガープリント・チャレンジ • アクセス・レート制限 (API経由で設定可能) • CAPCHAチャレンジ 良好なBotホワイトリスト機能で、サーチエンジンなどにも 対応 エッジポリシー Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  63. エッジポリシーのアクセスログは、WAFサービス内で独自管理される WAFサービスのコンソール内に簡易的なログ表示機能 ログの最大保持期間は7日間, SRリクエストでログを定期的に オブジェクト・ストレージにアーカイブさせるような設定が可能 WAFポリシーのアクセスログはLoggingサービスで管理される Loggingサービスが提供する簡易的なログ検索とグラフ機能 ログの最大保持期間は6カ月 Service Connector

    Hubで、ログをオブジェクト・ストレージや Logging Analyticsなどにアーカイブして長期保管が可能 84 エッジポリシー WAFポリシー Object Storage WAF ログファイルの保存 WAF Logging Service Connector Hub WAFのアクセス・ログ Logging Analytics Object Storage Logging Analytics Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  64. オブジェクト・ストレージに格納されるエッジポリシーのログや LoggingサービスからService Connector Hub経由で送信 されたWAFポリシーのログをLogging Analyticsで分析 Logging Analyticsは、機械学習のテクノロジーを活用した 高度なログ分析を提供 -

    250種類以上のログに対応した事前定義済みパーサー - OCIやオンプレミスにある様々なOSやミドルウェアのログに対応し ログの取り込みからビジュアライズまでをサポート - ユーザー独自のアプリケーションや未サポートのログに対応する カスタム・パーサを簡単に手動作成 異常値の検出、クラスタ分析、トレンド分析など、経験やスキル を問わず誰でも高度な分析手法が可能 ログデータに応じたアラート通知 Logging Analyticsを組み合わせたログのビジュアライズ 85 アクセス急増によるDDoS攻撃の検出 アクセスログを包括的に監視するダッシュボード Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  65. 価格 86 SKU メトリック 単価 Web Application Firewall – Instance

    1インスタンス ¥0 2インスタンスからは、1インスタンスごとに ¥775/月 Web Application Firewall - Requests 1000万リクエスト/月 ¥0 1000万リクエストからは、100万リクエストごとに ¥93/月 WAFの課金体系は、インスタンスとリクエストのメトリックで構成される インスタンスは、WAFのポリシー、リクエストは実際にWAFが処理するHTTPリクエストを意味する ひとつめのWAFポリシーで1000万リクエスト/月までは、無償として提供される Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  66. OCIネイティブの次世代ファイアーウォール Network Firewall 88 Network Firewall ✓ ステートフル・ネットワーク・フィルタリング ✓ URLフィルタリング

    ✓ 不正侵入検知・防止 (IPS/IDS) ✓ SSLインスペクション ✓ ✕ Copyright © 2024, Oracle and/or its affiliates. All rights reserved 不正なトラフィックやマルウェアからOCIネットワークを保護するファイアウォール・サービス Palo Alto Networksの最先端のテクノロジーを活用した脅威検出インテリジェンスを搭載 高可用性を考慮したデプロイメントを数ステップで作成可能 - 4Gbps(デフォルト)から最大25Gbpまで拡張可能なネットワーク帯域 - Active-ActiveのHA構成、 それぞれ別のADにデプロイ Oracleマネージドで提供されるメンテナンスフリーの脅威検出シグネチャ ユーザー要件に応じた様々なファイアウォール・ポリシーの作成 インターネット、閉域網、OCIリージョン間など様々なネットワーク構成に適用が可能 VTAPのミラーパケットを検査するトンネル・インスペクション 主なセキュリティ機能 - ステートフル・ネットワーク・フィルタリング : IPv4/IPv6, ポート, プロトコルに基づくアクセス制御 - URLフィルタリング: ドメインやURLを用いたインバウンド・アウトバウンド通信制限 - 不正侵入検知・防止(IPS/IDS): 最新の脅威インテリジェンスで不正なトラフィックを検出し遮断 - SSLインスペクション: クライアントとサーバー間のHTTPS通信を復号しトラフィックを検査
  67. ステートフル・ネットワーク・フィルタリング 送信元および宛先のIPアドレス、ポート、プロトコルに基づいて トラフィックを許可または拒否する ポリシーに使用できるルール要素 - 送信元IPアドレス (IPv4/IPv6) - 送信元ポート番号 -

    宛先IPアドレス - 宛先ポート番号 (IPv4/IPv6) - プロトコル 例) SSH: TCP/22, HTTPS: TCP/443 範囲指定: TCP/5901-5910 デフォルトの動作を下記選択することが可能 - ホワイトリスト: デフォルト拒否、許可するルールを指定 - ブラックリスト: デフォルト許可、拒否するルールを指定 VCNのセキュリティリスト、セキュリティグループとは共存 89 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  68. インバウンドおよびアウトバウンドのHTTP/HTTPSトラフィックを FQDNやワイルドカードを用いたURL指定などで制限 ファイアウォール・ポリシーのルール要素として使用することができ 条件に合致したURLへの接続を許可・拒否する URL例) *.example.com - www.docs.example.comや www.example.com.uaはマッチする *.example.com/

    - www.docs.example.comはマッチするが www.example.com.uaはマッチしない mail.^.com - mail.example.com はマッチするが mail.example.sso.comはマッチしない 90 URLフィルタリング Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  69. 不正侵入検知・防止(IDS・IPS) 91 Palo Alto Networksの脅威分析エンジンとUnit42 (セキュリティ研究チーム)で構築されたIDS・IPSソリューション 最新の脅威シグネチャと検知メカニズムで脅威を識別 既知の脆弱性の悪用、マルウェア、悪意のあるURL、 スパイウェア、C&C攻撃に対する検知やブロックを行う App-IDテクノロジーを使用してアプリケーション層に対する

    不正アクセスから正確に保護 - App-IDは、ポート、プロトコル、暗号化または回避技術に関係なく アプリケーションを正確に識別するPalo Alto独自のトラフィック分類 テクノロジー IDS(不正侵入検知)は、脅威を検出しログ出力のみ IPS(不正侵入防止)は、検知だけでなくトラフィックを切断する Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  70. TLSで暗号化されたHTTPS通信をNetwork Firewallが 復号し、本来は暗号化されて可視化できない通信内容に 対する検査が可能に 2つのSSL復号方式をサポート - SSLフォワード・プロキシ - SSLインバウンド・インスペクション 暗号化・復号に使用なシークレット情報(秘密鍵と証明書)は

    OCI Vaultでセキュアに管理 SSL証明書やSSL暗号プロトコルの検証も実施 復号後のトラフィック検査には、侵入検知・防止の脅威分析 エンジンにより、マルウェアや不正なアクテビティを検出・遮断 92 SSLインスペクション Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  71. IDS・IPSルールで不正なトラフィックを検出・遮断 93 VCN Firewall Subnet Subnet Instance Network Firewall Internet

    Subnet Instance Database インターネットや専用線との境界にNetwork Firewallを 配置し、VNC内のリソースをサイバー攻撃から保護する 同様にマルウェア感染等よるVNC内部からの外向きの 不正なアクセスを未然に防止する VCN Firewall Subnet Subnet Instance Network Firewall Instance Subnet Database VCN Firewall Subnet Network Firewall VNC内のサブネット間やVCN間の通信の保護を目的と した構成など、Network Firewallの配置位置によって 対象のリソースを限定することもできる VCN内の疑わしいアクティビティの監視や情報漏洩対策 としても有用 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  72. インターネットアクセスを監視する基本的な設定例 94 VCN 172.16.0.0/21 Firewall Subnet 172.16.1.0/24 Internet Gateway Secure

    Public Subnet 172.16.0.0/24 Instance 172.16.0.1 Network Firewall 172.16.1.100 Destination CIDR Route Target 0.0.0.0/0 172.16.1.100 Internet Destination CIDR Route Target 0.0.0.0/0 IGW ① ② ③ Destination CIDR Route Target 172.16.0.0/24 172.16.1.100 Internet Gateway Route Table Firewall Subnet Route Table Secure Public Route Table ④ ⑤ vNIC0 ① ③ FW ④ ② ⑤ : インバウンド : アウトバウンド FW インバウンド・アウトバウンドのトラフィックを Network Firewallに通過させる Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  73. Network Firewallログのサービス連携 95 Service Connector Hubから直接Logging Analyticsにデータ連携し、詳細なログ分析が可能 Logging Analyticsは、機械学習のテクノロジーを活用した横断的なログ分析やダッシュボードを提供 -

    OCIやオンプレミスにある様々なOSやミドルウェアのログに対応しログの取り込みからビジュアライズまでをサポート - 異常値の検出、クラスタ分析、トレンド分析など、経験やスキルを問わず誰でも高度な分析 - ログデータに応じたアラート通知 (Notificationサービス連携) Logging Service Connector Hub Logging Analytics JSON形式の TrafficとThreatログ Network Firewall ログの出力管理 Loggingのログを Logging Analyticに 直接転送する 可読性の高いログのビジュアライズと ダッシュボードによる網羅的なログ分析 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  74. Network Firewallの課金体系は、Firewall InstanceとData processingの2種類 インスタンスの課金はアクティブなインスタンスの数に基づいており、データ処理の課金はインスタンスによって 処理されるトラフィック量を対象とする 価格 97 SKU PAYG(Pay

    As You Go rate) Oracle Cloud Infrastructure - Network Firewall Instance ¥426/時 Oracle Cloud Infrastructure - Network Firewall Data Processing ¥1.6/GB (1ヶ月あたり10TBまで無料) Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  75. VTAPのミラーパケットを検査するトンネル・インスペクション VXLANのサポートによりVTAPとの連携が可能 VTAPは各サービスの通信トラフィックをミラーリングしてターゲットに 送信するOCIネイティブのパケット・キャプチャ機能 VTAPが可能なリソース - コンピュート・インスタンス、ロードバランサー、データベース・システム等 VTAPのミラーパケットはVXLANによってカプセル化されているため Network Firewallによって非カプセル化しトラフィックを検査

    侵入検知(IDS)のセキュリティ・ルールによりサイバー攻撃を検知 - XSS (クロスサイトスクリプティング)、CSRF、SQLインジェクション - DDoS、ブルートフォース、マルウェア、C&C攻撃など 既存のネットワークに影響を与えないアウトオブバンド構成が可能 - VTAPソースとターゲット間にNetwork Firewallを配置 トンネル・インスペクションのログはLoggingに出力 Network Firewall Copyright © 2024 Oracle and/or its affiliates. All rights reserved. 98 VTAP Flexible Load Balancer Compute Database System Exadata VM Cluster VTAP ソース VTAP ターゲット Network Firewall 対象サービスの トラフィックをミラー Load Balancer User packet packet packet VXLAN VXLAN 非カプセル化 及び パケット検査 2024年8月新機能
  76. トンネル・インスペクションの設定例 Copyright © 2024 Oracle and/or its affiliates. All rights

    reserved. 99 Tokyo Region nwfw-vcn1 172.16.0.0/21 Internet Gateway Internet Webapp Subnet 172.16.1.0/24 Instance LB Subnet 172.16.0.0/24 Instance VTAP LB Subnet 172.16.3.0/24 Load Balancer Flexible Load Balancer Network Firewall Subnet 172.16.2.0/24 Firewall 172.16.2.31 VTAPターゲット VTAP Destination CIDR Route Target 172.16.3.0/24 172.16.2.31 追加 ①Network Firewall用の サブネットにFWを作成する ②VTAPのターゲット作成 - LBとバックエンドセットを作成 ③VTAPの作成 - ソースとターゲットを指定する ④LBサブネットのルート表に FWのルートを追加する - VTAPソースからターゲットに流れる トラフィックはFWを経由するようにする ⑤FWのポリシーにトンネル検査 ルールとセキュリティルールの アクションをIDSで追加する VTAP Backend Subnet 172.16.5.0/24 Instance VTAPソース ① ② ③ ④ 2024年8月新機能 ⑤
  77. トンネル・インスペクションの設定例 Copyright © 2024 Oracle and/or its affiliates. All rights

    reserved. 100 Tokyo Region nwfw-vcn1 Public Subnet Public Subnet Flexible Load Balancer Database Subnet Backend Webapp Subnet Database Instance Instance VTAPソース VTAPソース VTAPソース VTAPソース VTAP LB Subnet 172.16.3.0/24 Load Balancer Network Firewall Subnet 172.16.2.0/24 Firewall 172.16.2.31 VTAPターゲット VTAP Backend Subnet Instance Internet Gateway ルート表 ルート表 ルート表 ルート表 VTAP 既存ネットワークへの影響という点では、 以下が追加となる 1. Network Firewallの作成 × 1 2. VTAPターゲットの作成 × 1 3. VTAPの作成 × n 4. 各VTAPソースのサブネットのルート表に FWへのルールを追加 × n 2024年8月新機能 Destination CIDR Route Target 172.16.3.0/24 172.16.2.31
  78. ユーザーの暗号鍵・シークレットをセキュアに集中管理 OCIの各ストレージサービスはデフォルト暗号化 暗号鍵の管理をデフォルトのOracle管理からユーザー自身による管理を実現 • 対応する暗号鍵: AES, RSA, ECDSA • 暗号鍵の作成・削除、ローテーション、インポート、バージョン管理、モニタリング等

    • キー作成や署名等のオペレーションはOCIのAPIを使用 • OCIサービスの各サービスとシームレスに連携 • クロスリージョン・レプリケーション、バックアップ (※Virtual Private Vaultのみ) FIPS 140-2 Security Level 3 に準拠したHSMを利用 2種類のVault • Default Vault : 共有パーティション内で仮想的にユーザーのVaultを提供 • Virtual Private Vault : ユーザー専用に完全分離された専用パーティションとして提供 シークレット (パスワード、証明書、SSHキー、認証トークン)なども格納可能 新機能 External KMS、Dedicated KMSの提供 Vault 102 Block Volume Object Storage Key A Key B 暗号化 暗号化 ユーザー File Storage Secret A コード Vault Copyright © 2024, Oracle and/or its affiliates
  79. Vault の基本要素 103 Vault 暗号鍵 シークレット Virtual Private Vault Default

    Vault • ユーザー自身による暗号鍵の管理 (AES, RSA, ECDSA) • HSMまたはソフトウェアによるマスター暗号鍵の保護を選択 • BYOKのサポート • 高い信頼性と冗長化 • Vaultの暗号鍵によってシークレットのストレージを暗号化 • シークレットの安全な格納と取り出し • OCI CLI, REST API, 各種SDK, Terraformの幅広い利用 Block Storage Object Storage File Storage Streaming Kubernetes Database System HSM HSM Keys Software Keys HSM Keys Software Keys HSM Copyright © 2024, Oracle and/or its affiliates
  80. HSM マスター暗号鍵は、FIPS140-2 Level 3に準拠したHSMに格納 暗号化・復号はHSM内で処理され、鍵がHSM外に出ることはない マスター暗号鍵をエクスポートすることはできない Default Vault (共有HSMパーティション) -

    各テナントで共有され、トランザクションを最適化 - 無償、10Vaultまで、 1Vaultあたり最大100キー Virtual Private Vault (専用HSMパーティション) - 高い独立性と高速なトランザクションを保証(3K-5K) - 有償、1Vaultあたり最大1000キーの格納を保証 - バックアップ、クロスリージョン・レプリケーションのサポート ソフトウェア マスター暗号鍵は、Vaultサーバー内に暗号化され保管 暗号化・復号は、サーバーのCPU/メモリで処理実行される マスター暗号鍵のエクスポートが可能 無償 マスター暗号鍵の保護方式 104 Native OCI Storage Database Data Key1 TDE Data Key マスター 暗号鍵 Secrets Encrypts/ Decrypts Encrypts/ Decrypts Protected Copyright © 2024, Oracle and/or its affiliates
  81. 専用KMS 専用のHSMパーティションとユーザー自身での直接管理が可能 FIPS 140-2 Level 3に準拠したHSM 3つ以上のHSMパーティションから構成されたHSMクラスターで 高可用性とトランザクション性能を向上 PKCS#11 APIに対応したライブラリを提供

    - 暗号化/復号、署名/検証、ダイジェスト関数等 ユーザー管理機能 - Crypto Officer: ユーザーの作成、キーの検索・所有権の転送などの管理業務 - Crypto User: キーの生成、公開キーのエクスポートなどの実運用を行う アプリケーションの暗号化や署名機能に組み込んだ用途に対応 OCIのストレージ・サービスなどのネイティブ・サービスは対応しない 作成可能なキー数は最大3000 Dedicated KMS Copyright © 2024, Oracle and/or its affiliates 105 Dedicated KMS HSM Cluster HSM Partition ユーザー管理 ユーティリティ キー管理 ユーティリティ PKCS#11 Library Crypto Officer (暗号管理者) Crypto User (暗号ユーザー) HSM Partition HSM Partition 暗号化・復号 署名・検証
  82. 各Vaultの違い Copyright © 2024, Oracle and/or its affiliates 107 Default

    Vault Virtual Private Vault Dedicated KMS External KMS 特徴 無償でHSMを使用できる 基本のVaultサービス 専用パーティションによりセキュア かつ安定した暗号処理パフォー マンスを提供 Default Vaultでは不足する リソース確保、レプリケーションに よる可用性が必要な用途向け 専用パーティションによりセキュア かつ安定した暗号処理パフォー マンスを提供 PKCS#11の標準ライブラリを使 用したアプリケーションなど、より HSMネイティブの機能が必要な 用途向け 外部HSMの暗号鍵と連携した 暗号処理サービス 既存のHSMを有効活用する 用途向け 対応するOCIサービスの 暗号化 各Storage Service Database Cloud Service等 各Storage Service Database Cloud Service等 × 各Storage Service Database Cloud Service等 キーの制限 100 1000 3000 100 HSMパーティション 共有 占有 占有 外部HSMに依存 バックアップ × 〇 〇 外部HSMに依存 クロスリージョン・レプリケーション 〇 〇 × N/A HSM内のコントロール × × 〇 外部HSMに依存 API OCI CLI, SDK OCI CLI, SDK PKCS#11 OCI CLI, SDK 価格 最初の20キー・バージョン無料 以降1キー・バージョンあたり ¥83/月 1 Vaultあたり ¥577/時間 1 KMS(3パーティション)あたり ¥813/時間 1キー・バージョンあたり ¥465/月
  83. ユース・ケース Vault 108 暗号鍵 シークレット • コンプライアンス要件上、データ暗号化の暗号鍵の管理 をサービスベンダーでなく、ユーザー自身で管理することが 必須、または推奨されている •

    コンプライアンス要件上、定期的な暗号鍵の変更が求め られている • コンプライアンス要件上、暗号鍵はHSMに格納 することを推奨事項として明記されている • HSMの利用の場合、FIPS140-2 Level3準拠することが 金融や公共・ヘルスケアといったシステムではデファクトスタ ンダートとして求められる • データの暗号化やデジタル署名のクラウド基盤 • バッチやアプリケーション内でデータベースの ユーザー名・パスワード、接続文字列といった 接続情報を直接ハードコーディングすることを 禁止したい • クラウドリソースのユーザー名やパスワード、 SSHキーなどをメールやチャットツールなどで 気軽に共有してしまう運用を辞めたい • Terraformやコンテナ等のインフラの自動化管理ジョブの中 にできる限り機微な情報を含めたくない • だれが、いつ、どこからシークレットにアクセスしたのか、特定す るための監視手段が必要 • シークレットの有効期限を設定したい Copyright © 2024, Oracle and/or its affiliates. All rights reserved
  84. 価格 Vault 109 暗号鍵 シークレット Default Vault デフォルト 共有パーティションとして提供 10Vaultまで使用可

    テナントあたり20キー・バージョンまで無償、以降1キー・バージョン ごとに(¥83) ※新規キー作成は、1キー・バージョンとしてカウント キーのローテーションは、1キー・バージョンとしてカウント Virtual Private Vault HSM内にユーザー専用のパーティションを提供し、仮想HSM と同等の分離レベルを提供 1 Vaultあたり最大 3000キーまで格納可能 1 Vaultあたり: (¥577/hour) ※上記のVaultではなく、ソフトウェア保護キーの場合は制限なく無償 無償 5,000 シークレット 1シークレット 最大50バージョン 1シークレット 最大25KB 100000 Write APIコール/月 無制限 Read APIコール/月 Copyright © 2024, Oracle and/or its affiliates. All rights reserved