Security Zones設定・操作ガイド

Transcript

1. Security Zones 設定・操作ガイド 2023年8⽉15⽇ ⽇本オラクル株式会社 1 Copyright © 2023, Oracle

   and/or its affiliates. All rights reserved.

2. Agenda 1. Security Zonesの概要 2. Security Zonesの設定⼿順 📌 作業条件 📌

   IAMポリシーの設定例 📌 レシピの作成 📌 セキュリティ・ゾーンの作成 📌 クラウド・ガードのレシピ設定 📌 動作確認︓ オブジェクト・ストレージにおけるパブリック設定への変更拒否 3. まとめ 📌 ユースケース 📌 参考サイト 2 Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

3. Agenda 1. Security Zonesの概要 2. Security Zonesの設定⼿順 📌 作業条件 📌

   IAMポリシーの設定例 📌 レシピの作成 📌 セキュリティ・ゾーンの作成 📌 クラウド・ガードのレシピ設定 📌 動作確認︓ オブジェクト・ストレージにおけるパブリック設定への変更拒否 3. まとめ 📌 ユースケース 📌 参考サイト 3 Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

4. 堅牢な保護エリアの構築 サービス概要/特徴 • 事前定義されたセキュリティ・ポリシー（ベストプラクティス） を対象コンパートメントに適⽤ • コンパートメントに対して制限（リソース移動、パブリック・ アクセス、等）を⾏い、情報漏洩などに繋がるセキュリティ リスクを抑⽌ •

   セキュリティ・ポリシーに違反する操作が⾏われた際、⾃動的 に拒否 • カスタム・セキュリティ・ポリシーを⽤いて、事前定義された セキュリティ・ポリシーのチューニングが可能（有効/無効） ユース・ケース • ⾼いセキュリティレベルで保護する必要があるコンパート メントに対してセキュリティ・ポリシーを適⽤ • 例えば、機密性の⾼いデータが保存されたDatabaseや インスタンスがあるコンパートメントに対して、厳格なアクセス 管理を実現 • リ ソ ー ス 要 件 に 合 わ せ て 、 Security Zones と Cloud Guardを組み合わせ、厳格なアクセス管理を⾏うコンパート メントとリスクの検知を⾏うコンパートメントを構成 サービス価格 • 無償 Security Zones 概要 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 4 Compute Database Security Zones Admin

5. セキュリティ・ゾーンとレシピ セキュリティ・ゾーン セキュリティ・ゾーンでは、選択したコンパートメント内のリソースに 対して、セキュリティ標準とベスト・プラクティスが⾃動的に適⽤ されます。 セキュリティ・ゾーン内でのリソース作成または更新などの操作が セキュリティ・ゾーン・ポリシーに違反する場合、実⾏できません。 レシピ レシピとは、セキュリティ・ゾーン・ポリシーの集合です。セキュリティ・ ゾーンにはレシピが割り当てられ、レシピ内で有効化されているす

   べてのポリシーが実施されます。 Security Zones 概要 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 5

6. ”Maximum Security Recipe” と “Custom Security Recipe” Maximum Security Recipe

   オラクルにて事前定義したセキュリティ・レシピとなり、ユーザー ⾃⾝でポリシーチューニング（有効/無効）することができない。 オラクルが定義するベストプラクティスを全て受け⼊れる形となる。 Custom Security Recipe ユーザー⾃⾝でセキュリティ・レシピを管理することができる為 事前定義されたポリシーをチューニング（有効/無効）することが できる。 オラクルが定義するベストプラクティスでは運⽤が難しい時などに 有効なレシピとなる。 レシピの管理 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 6

7. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

   7 レシピは、7つのタイプに分類されている。 レシピの管理 各レシピ・タイプと概要 レシピ・タイプ 概要 リソース移動の制限 データの整合性を確保するため、セキュリティ・ゾーン内の特定のリソースは、セキュリティ・ゾーンの外部にあるコンパートメント に移動できません。 リソース関連の制限 セキュリティ・ゾーンのリソースに必要なすべてのコンポーネントも同じセキュリティ・ゾーンに配置されている必要があります。 パブリック・アクセスの拒否 セキュリティ・ゾーン内のリソースは、パブリック・インターネットからアクセスできない様に設定されている必要があります。 暗号化の要求 セキュリティ・ゾーン内のリソースは、Vaultサービスを利⽤してユーザーで管理する暗号鍵を使⽤する必要があります。 データ耐久性の保証 セキュリティ・ゾーン内のリソースに対して定期的に⾃動バックアップを実⾏する必要があります。 データ・セキュリティの保証 セキュリティ・ゾーン内のデータは機密性が⾼いデータととみなされ、セキュリティ・ゾーンの外部にコピーすることができません。 Oracleが承認する構成のみの使⽤ セキュリティ・ゾーン内のリソースに対して、特定のセキュリティ機能を有効にして構成する必要があります。 例えば、プラットフォーム・イメージを使⽤してコンピュート・インスタンスを作成する必要がある。

8. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

   8 パブリックからのアクセスを拒否するポリシーは、以下の通りとなる。 レシピの管理 パブリック・アクセスの拒否に関するポリシー レシピ・タイプ ポリシー 概要 パブリック・アクセスの拒否 deny public_subnets セキュリティ・ゾーン内のサブネットはパブリックにできません。これらはプライベートで ある必要があります。 deny internet_gateway セキュリティ・ゾーン内のインターネット・ゲートウェイをVCN（仮想クラウド・ネット ワーク）に追加することはできません。 deny public_buckets セキュリティ・ゾーン内のオブジェクト・ストレージ・バケットは、パブリックにできません。 deny db_instance_public_access セキュリティ・ゾーン内のデータベースをパブリック・サブネットに割り当てることはでき ません。プライベート・サブネットを使⽤する必要があります。 【参照】︓ セキュリティ・ゾーン・ポリシー https://docs.oracle.com/ja-jp/iaas/security-zone/using/security-zone-policies.htm

9. 特定のコンパートメントに対してセキュリティ・ゾーンを設定すると、セキュリティ・ゾーンのポリシーに違反する操作（リソースの作成・変更 など）を⾃動的に拒否します。 但し、セキュリティ・ゾーンを設定する前に作成された既存リソースがポリシーに違反することがあります。その為、セキュリティ・ゾーンは クラウド・ガードと連携して、既存リソースに関するポリシー違反を検知、識別します。 ORACLE CLOUD INFRASTRUCTURE Compartment B Database

   User Compartment A Compute Compute Database Security Zones Cloud Guard （Security Zones Target） Backup ポリシー違反操作を拒否 ポリシー違反を検知 Security Zonesのポリシー違反について リソースを定期的にチェック Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 9 Cloud Guardとの連携 Security ZonesとCloud Guardの連携

10. リソース操作における拒否（例） パブリックバケットへの設定変更 レシピの「deny public_buckets」ポリシーを有効化することで オブジェクト・ストレージの可視性を“プライベート”から“パブリック” へ設定変更する操作が拒否される。 ※ パブリックで新規作成する際も同様に拒否 データベースにおける⾃動バックアップ構成の無効化 レシピの「deny

    database_without_backup」ポリシーを 有効化することで、データベースの「⾃動バックアップの構成」を “無効（有効化のチェックボックスを外す）”にする操作が拒否 される。 Security Zonesによる防御 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 10 Security Zonesのポリシー違反として、 オブジェクト・ストレージをパブリック設定できない警告が表⽰ Security Zonesのポリシー違反として、 データベースの⾃動バックアップを有効にする必要がある警告が表⽰

11. Agenda 1. Security Zonesの概要 2. Security Zonesの設定⼿順 📌 作業条件 📌

    IAMポリシーの設定例 📌 レシピの作成 📌 セキュリティ・ゾーンの作成 📌 クラウド・ガードのレシピ設定 📌 動作確認︓ オブジェクト・ストレージにおけるパブリック設定への変更拒否 3. まとめ 📌 ユースケース 📌 参考サイト 11 Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

12. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    12 Security Zonesの設定⼿順 作業条件 作業条件︓ ü Administratorグループに所属するユーザー（OCI管理者）で実施 ü OCIコンソールの⾔語設定を「⽇本語」に設定 ü Cloud Guardを有効化済み ü オブジェクト・ストレージ（プライベート）を設定済み <= 動作確認⽤ 参考⽂献︓ https://docs.oracle.com/ja-jp/iaas/security-zone/home.htm（⽇本語サイト） Tenancy（Tokyo DC） VCN Compute Compartment システム構成（例）︓ Object Storage Security Zones Cloud Guard （Security Zones Target）

13. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    13 Administratorsグループに所属しないユーザーがセキュリティ・ゾーンの作成・更新・削除およびレシピの作成・更新・削除を⾏う場合、 以下のようなIAMポリシーを設定します。 ※ IAMポリシーの設定に関しては、以下URLの「IAMポリシーの作成」なども参考にして下さい。 https://docs.oracle.com/ja-jp/iaas/security-zone/using/get-started.htm Security Zonesの設定⼿順 Allow group SecurityAdmins to manage cloud-guard-family in tenancy Allow group SecurityAdmins to manage security-zone in tenancy Allow group SecurityAdmins to manage security-recipe in tenancy IAMポリシーの設定例

14. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    14 「アイデンティティとセキュリティ」メニューより「セキュリティ・ゾーン」を選択。 Security Zonesの設定⼿順 レシピの作成 1. 「アイデンティティとセキュリティ」をクリック 2. 「セキュリティ・ゾーン」をクリック

15. オラクルにて事前定義したセキュリティ・レシピ（Maximum Security Recipe）での運⽤が難しい場合、ユーザー⾃⾝でポリシー 管理できる顧客管理⽤のセキュリティ・レシピ（Custom Security Recipe）を作成。 1. 「レシピ」をクリック 2. 対象コンパートメントを選択

    3. 「レシピの作成」をクリック Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 15 Security Zonesの設定⼿順 レシピの作成

16. 顧客管理⽤のセキュリティ・レシピ（Custom Security Recipe）を作成。 Copyright © 2023, Oracle and/or its affiliates.

    All rights reserved. 16 Security Zonesの設定⼿順 レシピの作成 2. 「次」をクリック 1. 任意の「名前」と「説明」を⼊⼒

17. ポリシーの設定。 ポリシーを設定する際、「ポリシー・タイプ」または「リソース・タイプ」より該当ポリシーを絞り込むことが可能。 ポリシー・タイプ リソース・タイプ Copyright © 2023, Oracle and/or its

    affiliates. All rights reserved. 17 Security Zonesの設定⼿順 レシピの作成

18. ポリシーの設定。 有効化したい該当ポリシーを設定して確認。 Copyright © 2023, Oracle and/or its affiliates. All

    rights reserved. 18 Security Zonesの設定⼿順 レシピの作成 2. 「次」をクリック 1. 制御したい該当ポリシーをチェック 4. 「作成」をクリック 3. 有効・無効ポリシー数をチェック

19. ポリシーの設定。 顧客管理⽤のセキュリティ・レシピ（Custom Security Recipe）が作成されたことを確認。 1. 「レシピ」をクリック 顧客管理と表⽰ 顧客管理⽤のレシピが追加 Copyright ©

    2023, Oracle and/or its affiliates. All rights reserved. 19 Security Zonesの設定⼿順 レシピの作成

20. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    20 セキュリティ・ゾーンを作成。 Security Zonesの設定⼿順 セキュリティ・ゾーンの作成 1. 「概要」をクリック 2. 対象コンパートメントを選択 3. 「セキュリティ・ゾーンの作成」をクリック

21. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    21 顧客管理のカスタム・セキュリティ・ゾーンを作成する場合︓ 【補⾜説明】︓ 顧客管理のゾーン・レシピを選択する場合、事前にカスタム・セキュリティ・レシピ を作成しておきます。レシピの作成⽅法はP.13を参照。 1. 「顧客管理」を選択 2. 顧客管理⽤に作成したレシピ を選択 Oracle管理のセキュリティ・ゾーンを作成する場合︓ 1. 「Oracle管理」を選択 2. 任意の「名前」と「説明」を⼊⼒ 3. 「セキュリティ・ゾーンの作成」をクリック セキュリティ・ゾーンの作成 Security Zonesの設定⼿順 4. 「セキュリティ・ゾーンの作成」をクリック 3. 任意の「名前」と「説明」を⼊⼒

22. Oracle管理のセキュリティ・ゾーンが作成されたことを確認。 ① ステータス︓ アクティブ ② コンパートメント︓ P.19で選択したコンパートメント ③ クラウド・ガード・ターゲット︓ P.20で設定した名前

    ④ レシピ︓ Maximum Security Recipe - YYYYMMDD セキュリティ・ゾーンの作成 顧客管理のカスタム・セキュリティ・ゾーンが作成されたことを確認。 ① ステータス︓ アクティブ ② コンパートメント︓ P.19で選択したコンパートメント ③ クラウド・ガード・ターゲット︓ P.20で設定した名前 ④ レシピ︓ P.20で選択したレシピ名 Security Zonesの設定⼿順 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 22 ① ② ③ ④ ① ② ③ ④

23. 親コンパートメントと⼦コンパートメントがある環境の場合 親コンパートメントにセキュリティ・ゾーンを設定した場合、⼦コンパート メントも同じセキュリティ・ゾーンで、且つ同じポリシーが適⽤される為、 各コンパートメント間の操作は可能です。 また、新しく作成した⼦コンパートメントも、親と同じセキュリティ・ゾーンの ポリシーが適⽤されます。 SecurityZone セキュリティ・ゾーンがそれぞれ別れている環境の場合 「セキュリティ・ゾーン01」 と

    「セキュリティ・ゾーン02」に分けてセキュリティ・ ゾーンを設定した場合、それぞれ異なるセキュリティ・ゾーンとなり、且つ 異なるポリシーが適⽤される為、各セキュリティ・ゾーン間の操作は 各ポリシーの設定に依存する形となります。 Security Zonesの設定⼿順 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 23 補⾜︓ セキュリティ・ゾーンのポリシーについて SecurityZone01 SecurityZone02 親コンパートメント ⼦コンパートメント ⼦コンパートメント SecurityZone ポリシー SecurityZone01 ポリシー SecurityZone02 ポリシー New ⼦コンパートメント

24. セキュリティ・ゾーンが作成されるとクラウド・ガードの既存対象ターゲットが削除され、新しいセキュリティ・ゾーン・ターゲットに置き換わります。 既存で定義していたクラウド・ガードの設定からデフォルトのオラクル管理のディテクタ・レシピとなる為、必要に応じて「ディテクタ・レシピ」 および「レスポンダ・レシピ」の設定を⾏います。 Copyright © 2023, Oracle and/or its affiliates.

    All rights reserved. 24 Security Zonesの設定⼿順 クラウド・ガードのレシピ設定 「ターゲット名」︓ セキュリティ・ゾーンで設定した名前に変更 「タイプ」︓ OCIからセキュリティ・ゾーンに変更 オラクル管理のレシピに置換済み

25. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    25 クラウド・ガードのディテクタ・レシピおよびレスポンダ・レシピを設定。 対象となるターゲット名を選択。 Security Zonesの設定⼿順 クラウド・ガードのレシピ設定 1. クラウド・ガード画⾯で「ターゲット」をクリック 2. 対象のターゲット名をクリック 対象のターゲットが表⽰

26. ディテクタ・レシピの設定。 置き換えられたオラクル管理のディテクタ・レシピから任意のディテクタ・レシピに変更。 1. 「ディテクタ・レシピ」をクリック 2. 各ディテクタ・レシピのメニューより 「置換」をクリック 3. 対象のアクティブ・ディテクタ・レシピを選択 4.

    「了解」にチェック 5. 「置換」をクリック 6. 対象の構成ディテクタ・レシピを選択 7. 「了解」にチェック 8. 「置換」をクリック Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 26 Security Zonesの設定⼿順 クラウド・ガードのレシピ設定 アクティブ・ディテクタ・レシピ 構成ディテクタ・レシピ

27. ディテクタ・レシピの設定。 セキュリティ・ゾーンによって削除された脅威ディテクタ・レシピを追加。 Copyright © 2023, Oracle and/or its affiliates. All

    rights reserved. 27 Security Zonesの設定⼿順 クラウド・ガードのレシピ設定 1. 「ディテクタ・レシピ」をクリック 2. 「レシピの追加」をクリック 3. 対象の脅威ディテクタ・レシピを選択 4. 「レシピの追加」をクリック

28. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    28 ディテクタ・レシピの設定。 アクティビティ・ディテクタ・レシピ、構成ディテクタ・レシピ、脅威ディテクタ・レシピが設定されたことを確認。 【補⾜説明】︓ 左図は、事前作成された任意のレシピを指定したものとなります。 レシピの作成⽅法はP.13を参照。 任意のレシピに設定されたことを確認 Security Zonesの設定⼿順 クラウド・ガードのレシピ設定

29. レスポンダ・レシピの設定。 セキュリティ・ゾーンによって削除されたレスポンダ・ディテクタ・レシピを追加。 1. 「レスポンダ・レシピ」をクリック 2. 「レシピの追加」をクリック 3. 対象のレスポンダ・レシピを選択 4. 「レシピの追加」をクリック

    Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 29 Security Zonesの設定⼿順 クラウド・ガードのレシピ設定

30. 30 Copyright © 2023, Oracle and/or its affiliates. All rights

    reserved. レスポンダ・レシピの設定。 アクティビティ・ディテクタ・レシピ、構成ディテクタ・レシピ、脅威ディテクタ・レシピが設定されたことを確認。 【補⾜説明】︓ 左図は、事前作成された任意のレシピを指定したものとなります。 レシピの作成⽅法はP.13を参照。 Security Zonesの設定⼿順 クラウド・ガードのレシピ設定 任意のレシピに設定されたことを確認

31. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    31 パブリックバケットへの設定変更 レシピの “deny public_buckets” ポリシーを有効化することで、オブジェクト・ストレージの可視性を“プライベート”から“パブリック” への設定変更する操作が拒否されます。 ※ セキュリティ・ゾーンを設定する前にオブジェクト・ストレージ（プライベート）を設定しておきます Security Zonesの検知・防御（例） 動作確認︓ オブジェクト・ストレージにおけるパブリック設定への変更拒否 1. オブジェクト・ストレージ画⾯で対象ストレージをクリック 対象のオブジェクトストレージが表⽰

32. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    32 オブジェクト・ストレージの可視性を “プライベート”から“パブリック” への設定変更。 セキュリティ・ゾーンのポリシー違反として、オブジェクト・ストレージをパブリック設定できない警告が表⽰されることを確認。 Security Zonesの検知・防御（例） 動作確認︓ オブジェクト・ストレージにおけるパブリック設定への変更拒否 セキュリティ・ゾーンのポリシー違反として警告が表⽰ 1. 「可視性の編集」をクリック 2. 「パブリック」を選択 3. 「変更の保存」をクリック セキュリティ・ゾーンのポリシーが機能して、操作拒否されることを確認 【注釈】︓ 2022年12⽉現在、セキュリティ・ゾーン・ポリシーは40個あります。 以下URLをご確認頂き、その他ポリシーの動作もお試し下さい。 https://docs.oracle.com/ja-jp/iaas/security-zone/using/security-zone-policies.htm

33. Agenda 1. Security Zonesの概要 2. Security Zonesの設定⼿順 📌 作業条件 📌

    IAMポリシーの設定例 📌 レシピの作成 📌 セキュリティ・ゾーンの作成 📌 クラウド・ガードのレシピ設定 📌 動作確認︓ オブジェクト・ストレージにおけるパブリック設定への変更拒否 3. まとめ 📌 ユースケース 📌 参考サイト 33 Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

34. ORACLE CLOUD INFRASTRUCTURE Availability Domain Compartment/VCN Compartment/VCN VCN Service Gateway

    APサーバ APサーバ Database サーバ Cloud Guard Object Storage バックアップ Cloud Guard Threat Intelligence Vulnerability Scanning Vulnerability Scanning Security Zones 【対策概要】 n 潜在するセキュリティリスクを可視化し、情報漏洩などに 繋がるセキュリティインシデントを抑⽌ Ø 脆弱な設定状況の把握と改善 Ø OCIユーザーの不正アクティビティを検知・対応 n 精度の⾼いセキュリティリスク管理にて、運⽤・管理における ワークロードを最適化 Ø 脅威インテリジェンスデータを⽤いた精度の⾼い分析 Ø 脆弱な設定の⾃動修復 【サービス構成（例）】 n Cloud Guard ・・・ セキュリティリスクの検知・対応 n Vulnerability Scanning ・・・ インスタンスの脆弱性を調査 n Threat Intelligence ・・・ 脅威インテリジェンスデータの提供 n Security Zones ・・・ 特定コンパートメントを要塞化 34 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 潜在的なセキュリティリスクの特定 想定ユースケース

35. Cloud Guard ü アカウントに対する権限が必要以上 に付与されていないかを把握 ü 意図しない操作（例︓VCNの更新 やインスタンスの停⽌）が実⾏されて いないかの把握 ü

    セキュリティリスクに繋がる設定や 操作などの⾒直し Threat Intelligence ü 脅威インテリジェンスデータがCloud Guardと連携され、より精度の⾼い 脅威分析を⽀援 ü 侵⼊痕跡となるIPアドレス、URL、 ドメイン、ファイルハッシュなどの情報を 基に分析 ü 不正操作の可能性があるユーザー を特定 Vulnerability Scanning ü 各インスタンスにおける脆弱性の有無 /パッチ適⽤状況を把握 ü 不要にオープンしているTCP/UDP ポートの把握 ü スキャン結果を基に脆弱性への早期 対策 Security Zones ü 定義したセキュリティ・ポリシーに違反 する操作（例︓パブリックバケットへ の変更や新規作成）が実⾏された 場合、強制的に拒否 ü Cloud Guardと連携により、OCIの 脅威を検知および防御 ü 脆弱なクラウド環境を作らせない 潜在的なセキュリティリスクの特定 〜 導⼊効果（例）〜 35 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 想定ユースケース

36. 参考情報 Security Zonesのドキュメント https://docs.oracle.com/ja-jp/iaas/security-zone/home.htm Security Zones 有効化 https://docs.oracle.com/ja-jp/iaas/security-zone/using/get-started.htm Security Zones

    ポリシー https://docs.oracle.com/ja-jp/iaas/security-zone/using/security-zone-policies.htm 36 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 参考サイト

37. 37 Copyright © 2023, Oracle and/or its affiliates. All rights

    reserved.