Security Zones設定・操作ガイド

Transcript

1. Security Zones 設定・操作ガイド 2025年8月28日 日本オラクル株式会社 クラウド事業統括 製品事業統括 OCI Platform COE本部

   Security & Management ソリューション部

2. Agenda 1. Security Zonesの概要 2. Security Zonesの設定手順 📌 作業条件 📌

   IAMポリシーの設定例 📌 レシピの作成 📌 セキュリティ・ゾーンの作成 📌 クラウド・ガードのレシピ設定 📌 動作確認： オブジェクト・ストレージにおけるパブリック設定への変更拒否 3. まとめ 📌 ユースケース 📌 参考サイト 2 Copyright © 2025, Oracle and/or its affiliates.

3. Agenda 1. Security Zonesの概要 2. Security Zonesの設定手順 📌 作業条件 📌

   IAMポリシーの設定例 📌 レシピの作成 📌 セキュリティ・ゾーンの作成 📌 クラウド・ガードのレシピ設定 📌 動作確認： オブジェクト・ストレージにおけるパブリック設定への変更拒否 3. まとめ 📌 ユースケース 📌 参考サイト 3 Copyright © 2025, Oracle and/or its affiliates.

4. 堅牢な保護エリアの構築 サービス概要/特徴 • 事前定義されたセキュリティ・ポリシー（ベストプラクティス） を対象コンパートメントに適用 • コンパートメントに対して制限（リソース移動、パブリック・ アクセス、等）を行い、情報漏洩などに繋がるセキュリティ リスクを抑止 •

   セキュリティ・ポリシーに違反する操作が行われた際、自動的 に拒否 • カスタム・セキュリティ・ポリシーを用いて、事前定義された セキュリティ・ポリシーのチューニングが可能（有効/無効） ユース・ケース • 高いセキュリティレベルで保護する必要があるコンパート メントに対してセキュリティ・ポリシーを適用 • 例えば、機密性の高いデータが保存されたDatabaseや インスタンスがあるコンパートメントに対して、厳格なアクセス 管理を実現 • リ ソ ー ス 要 件 に 合 わ せ て 、 Security Zones と Cloud Guardを組み合わせ、厳格なアクセス管理を行うコンパート メントとリスクの検知を行うコンパートメントを構成 サービス価格 • 無償 Security Zones 概要 Copyright © 2025, Oracle and/or its affiliates. 4 Compute Database Security Zones Admin

5. セキュリティ・ゾーンとレシピ セキュリティ・ゾーン セキュリティ・ゾーンでは、選択したコンパートメント内のリソースに 対して、セキュリティ標準とベスト・プラクティスが自動的に適用 されます。 セキュリティ・ゾーン内でのリソース作成または更新などの操作が セキュリティ・ゾーン・ポリシーに違反する場合、実行できません。 レシピ レシピとは、セキュリティ・ゾーン・ポリシーの集合です。セキュリティ・ ゾーンにはレシピが割り当てられ、レシピ内で有効化されているす

   べてのポリシーが実施されます。 Security Zones 概要 Copyright © 2025, Oracle and/or its affiliates. 5

6. ”Maximum Security Recipe” と “Custom Security Recipe” Maximum Security Recipe

   オラクルにて事前定義したセキュリティ・レシピとなり、ユーザー 自身でポリシーチューニング（有効/無効）することができない。 オラクルが定義するベストプラクティスを全て受け入れる形となる。 Custom Security Recipe ユーザー自身でセキュリティ・レシピを管理することができる為 事前定義されたポリシーをチューニング（有効/無効）することが できる。 オラクルが定義するベストプラクティスでは運用が難しい時などに 有効なレシピとなる。 レシピの管理 Copyright © 2025, Oracle and/or its affiliates. 6

7. Copyright © 2025, Oracle and/or its affiliates. 7 レシピは、7つのタイプに分類されている。 レシピの管理

   各レシピ・タイプと概要 レシピ・タイプ 概要 リソース移動の制限 データの整合性を確保するため、セキュリティ・ゾーン内の特定のリソースは、セキュリティ・ゾーンの外部にあるコンパートメント に移動できません。 リソース関連の制限 セキュリティ・ゾーンのリソースに必要なすべてのコンポーネントも同じセキュリティ・ゾーンに配置されている必要があります。 パブリック・アクセスの拒否 セキュリティ・ゾーン内のリソースは、パブリック・インターネットからアクセスできない様に設定されている必要があります。 暗号化の要求 セキュリティ・ゾーン内のリソースは、顧客管理キーを使用して暗号化する必要があります。データは、転送中も保存中も暗 号化する必要があります。 データ耐久性の保証 セキュリティ・ゾーン内のリソースに対して定期的に自動バックアップを実行する必要があります。 データ・セキュリティの保証 セキュリティ・ゾーン内のデータは機密性が高いデータととみなされ、セキュリティ・ゾーンの外部にコピーすることができません。 Oracleが承認する構成のみの使用 セキュリティ・ゾーン内のリソースに対して、特定のセキュリティ機能を有効にして構成する必要があります。

8. Copyright © 2025, Oracle and/or its affiliates. 8 パブリックからのアクセスを拒否するポリシーは、以下の通りとなる。 レシピの管理

   パブリック・アクセスの拒否に関するポリシー レシピ・タイプ ポリシー 概要 パブリック・アクセスの拒否 deny public_subnets セキュリティ・ゾーン内のサブネットはパブリックにできません。 プライベートである必要があります。 deny internet_gateway セキュリティ・ゾーン内のインターネット・ゲートウェイをVCN（仮想クラウド・ネット ワーク）に追加することはできません。 deny public_buckets セキュリティ・ゾーン内のオブジェクト・ストレージ・バケットは、パブリックにできません。 deny db_instance_public_​access セキュリティ・ゾーン内のデータベースをパブリック・サブネットに割り当てることはでき ません。プライベート・サブネットを使用する必要があります。 【参照】： セキュリティ・ゾーン・ポリシー https://docs.oracle.com/ja-jp/iaas/Content/security-zone/using/security-zone-policies.htm

9. 特定のコンパートメントに対してセキュリティ・ゾーンを設定すると、セキュリティ・ゾーンのポリシーに違反する操作（リソースの作成・変更 など）を自動的に拒否します。 但し、セキュリティ・ゾーンを設定する前に作成された既存リソースがポリシーに違反することがあります。その為、セキュリティ・ゾーンは クラウド・ガードと連携して、既存リソースに関するポリシー違反を検知、識別します。 ORACLE CLOUD INFRASTRUCTURE Compartment B Database

   User Compartment A Compute Compute Database Security Zones Cloud Guard （Security Zones Target） Backup ポリシー違反操作を拒否 ポリシー違反を検知 Security Zonesのポリシー違反について リソースを定期的にチェック Copyright © 2025, Oracle and/or its affiliates. 9 Cloud Guardとの連携 Security ZonesとCloud Guardの連携

10. リソース操作における拒否（例） パブリックバケットへの設定変更 レシピの「deny public_buckets」ポリシーを有効化することで オブジェクト・ストレージの可視性を“プライベート”から“パブリック” へ設定変更する操作が拒否される。 ※ パブリックで新規作成する際も同様に拒否 データベースにおける自動バックアップ構成の無効化 レシピの「deny

    database_without_backup」ポリシーを 有効化することで、データベースの「自動バックアップの構成」を “無効”にする操作が拒否される。 Security Zonesによる防御 Copyright © 2025, Oracle and/or its affiliates. 10 Security Zonesのポリシー違反として、 データベースの自動バックアップを有効にする必要がある警告が表示 Security Zonesのポリシー違反として、 オブジェクト・ストレージをパブリック設定できない警告が表示

11. Agenda 1. Security Zonesの概要 2. Security Zonesの設定手順 📌 作業条件 📌

    IAMポリシーの設定例 📌 レシピの作成 📌 セキュリティ・ゾーンの作成 📌 クラウド・ガードのレシピ設定 📌 動作確認： オブジェクト・ストレージにおけるパブリック設定への変更拒否 3. まとめ 📌 ユースケース 📌 参考サイト 11 Copyright © 2025, Oracle and/or its affiliates.

12. Copyright © 2025, Oracle and/or its affiliates. 12 Security Zonesの設定手順

    作業条件 作業条件： ✓ Administratorグループに所属するユーザー（OCI管理者）で実施 ✓ OCIコンソールの言語設定を「日本語」に設定 ✓ Cloud Guardを有効化済み ✓ オブジェクト・ストレージ（プライベート）を設定済み <= 動作確認用 参考文献： https://docs.oracle.com/ja-jp/iaas/Content/security-zone/home.htm（日本語サイト） Tenancy（Tokyo DC） VCN Compute Compartment システム構成（例）： Object Storage Security Zones Cloud Guard （Security Zones Target）

13. Copyright © 2025, Oracle and/or its affiliates. 13 Administratorsグループに所属しないユーザー(SecurityAdminsに属する前提)がセキュリティ・ゾーンの作成・更新・削除 およびレシピの作成・更新・削除を行う場合、以下のようなIAMポリシーを設定します。

    ※ IAMポリシーの設定に関しては、以下URLのポリシーの例なども参考にして下さい。 https://docs.oracle.com/ja-jp/iaas/Content/cloud-guard/using/policies.htm Security Zonesの設定手順 Allow group SecurityAdmins to manage cloud-guard-family in tenancy Allow group SecurityAdmins to manage security-zone in tenancy Allow group SecurityAdmins to manage security-recipe in tenancy IAMポリシーの設定例

14. Copyright © 2025, Oracle and/or its affiliates. 14 「アイデンティティとセキュリティ」メニューより「セキュリティ・ゾーン」を選択。 Security

    Zonesの設定手順 レシピの作成 1. 「アイデンティティとセキュリティ」をクリック 2. 「セキュリティ・ゾーン」をクリック

15. オラクルにて事前定義したセキュリティ・レシピ（Maximum Security Recipe）での運用が難しい場合、ユーザー自身でポリシー 管理できる顧客管理用のセキュリティ・レシピ（Custom Security Recipe）を作成。 Copyright © 2025, Oracle

    and/or its affiliates. 15 Security Zonesの設定手順 レシピの作成 1. 「レシピ」をクリック 2. 対象コンパートメントを選択 3. 「レシピの作成」をクリック

16. 顧客管理用のセキュリティ・レシピ（Custom Security Recipe）を作成。 Copyright © 2025, Oracle and/or its affiliates.

    16 Security Zonesの設定手順 レシピの作成 1. 任意の「名前」と「説明」を入力 2. 「次」をクリック

17. ポリシーの設定。 ポリシーを設定する際、「ポリシー・タイプ」または「リソース・タイプ」より該当ポリシーを絞り込むことが可能。 ポリシー・タイプ リソース・タイプ Copyright © 2025, Oracle and/or its

    affiliates. 17 Security Zonesの設定手順 レシピの作成

18. ポリシーの設定。 有効化したい該当ポリシーを設定して確認。 Copyright © 2025, Oracle and/or its affiliates. 18

    Security Zonesの設定手順 レシピの作成 1. 制御したい該当ポリシーをチェック 2. 「次」をクリック 3. 有効・無効ポリシー数をチェック 4. 「作成」をクリック

19. ポリシーの設定。 顧客管理用のセキュリティ・レシピ（Custom Security Recipe）が作成されたことを確認。 Copyright © 2025, Oracle and/or its

    affiliates. 19 Security Zonesの設定手順 レシピの作成 1. 「レシピ」をクリック 顧客管理と表示 顧客管理用のレシピが追加

20. Copyright © 2025, Oracle and/or its affiliates. 20 セキュリティ・ゾーンを作成。 Security

    Zonesの設定手順 セキュリティ・ゾーンの作成 1. 「概要」をクリック 3. 「セキュリティ・ゾーンの作成」をクリック 2. 対象コンパートメントを選択

21. Copyright © 2025, Oracle and/or its affiliates. 21 顧客管理のカスタム・セキュリティ・ゾーンを作成する場合： Oracle管理のセキュリティ・ゾーンを作成する場合：

    セキュリティ・ゾーンの作成 Security Zonesの設定手順 1. 「Oracle管理」を選択 2. 任意の「名前」と「説明」を入力 3. 「セキュリティ・ゾーンの作成」をクリック 1. 「顧客管理」を選択 2. 顧客管理用に作成したレシピ を選択 3. 任意の「名前」と「説明」を入力 4. 「セキュリティ・ゾーンの作成」をクリック 【補足説明】： 顧客管理のゾーン・レシピを選択する場合、事前にカスタム・セキュリティ・レシピ を作成しておきます。レシピの作成方法はP.14を参照。

22. Oracle管理のセキュリティ・ゾーンが作成されたことを確認。 ① ステータス： アクティブ ② コンパートメント： P.19で選択したコンパートメント ③ クラウド・ガード・ターゲット： P.20で設定した名前

    ④ レシピ： Maximum Security Recipe - YYYYMMDD セキュリティ・ゾーンの作成 顧客管理のカスタム・セキュリティ・ゾーンが作成されたことを確認。 ① ステータス： アクティブ ② コンパートメント： P.19で選択したコンパートメント ③ クラウド・ガード・ターゲット： P.20で設定した名前 ④ レシピ： P.20で選択したレシピ名 Security Zonesの設定手順 Copyright © 2025, Oracle and/or its affiliates. 22 ① ② ③ ④ ① ② ③ ④

23. 親コンパートメントと子コンパートメントがある環境の場合 親コンパートメントにセキュリティ・ゾーンを設定した場合、子コンパート メントも同じセキュリティ・ゾーンで、且つ同じポリシーが適用される為、 各コンパートメント間の操作は可能です。 また、新しく作成した子コンパートメントも、親と同じセキュリティ・ゾーンの ポリシーが適用されます。 SecurityZone セキュリティ・ゾーンがそれぞれ別れている環境の場合 「セキュリティ・ゾーン01」 と

    「セキュリティ・ゾーン02」に分けてセキュリティ・ ゾーンを設定した場合、それぞれ異なるセキュリティ・ゾーンとなり、且つ 異なるポリシーが適用される為、各セキュリティ・ゾーン間の操作は 各ポリシーの設定に依存する形となります。 Security Zonesの設定手順 Copyright © 2025, Oracle and/or its affiliates. 23 補足： セキュリティ・ゾーンのポリシーについて SecurityZone01 SecurityZone02 親コンパートメント 子コンパートメント 子コンパートメント SecurityZone ポリシー SecurityZone01 ポリシー SecurityZone02 ポリシー New 子コンパートメント

24. セキュリティ・ゾーンが作成されるとクラウド・ガードの既存対象ターゲットが削除され、新しいセキュリティ・ゾーン・ターゲットに置き換わります。 既存で定義していたクラウド・ガードの設定からデフォルトのオラクル管理のディテクタ・レシピとなる為、必要に応じて「ディテクタ・レシピ」 および「レスポンダ・レシピ」の設定を行います。 Copyright © 2025, Oracle and/or its affiliates.

    24 Security Zonesの設定手順 クラウド・ガードのレシピ設定 オラクル管理のレシピに置換済み 「ターゲット名」： セキュリティ・ゾーンで設定した名前に変更 「タイプ」： OCIからセキュリティ・ゾーンに変更

25. Copyright © 2025, Oracle and/or its affiliates. 25 クラウド・ガードのディテクタ・レシピおよびレスポンダ・レシピを設定。 対象となるターゲット名を選択。

    Security Zonesの設定手順 クラウド・ガードのレシピ設定 1. クラウド・ガード画面で「ターゲット」をクリック 2. 対象のターゲット名をクリック 対象のターゲットが表示

26. ディテクタ・レシピの設定。 置き換えられたオラクル管理のディテクタ・レシピから任意のディテクタ・レシピに変更。 Copyright © 2025, Oracle and/or its affiliates. 26

    Security Zonesの設定手順 クラウド・ガードのレシピ設定 1. 「Posture and treat monitoring 」をクリック 2. 各ディテクタ・レシピのメニューより 「置換」をクリック 3. 対象のアクティブ・ディテクタ・レシピを選択 4. 「了解」にチェック 5. 「置換」をクリック アクティブ・ディテクタ・レシピ 構成ディテクタ・レシピ 6. 対象の構成ディテクタ・レシピを選択 7. 「了解」にチェック 8. 「置換」をクリック

27. ディテクタ・レシピの設定。 セキュリティ・ゾーンによって削除された脅威ディテクタ・レシピを追加。 Copyright © 2025, Oracle and/or its affiliates. 27

    Security Zonesの設定手順 クラウド・ガードのレシピ設定 1. 「Posture and treat monitoring 」をクリック 2. 「レシピの追加」をクリック 3. 対象の脅威ディテクタ・レシピを選択 4. 「レシピの追加」をクリック

28. Copyright © 2025, Oracle and/or its affiliates. 28 ディテクタ・レシピの設定。 アクティビティ・ディテクタ・レシピ、構成ディテクタ・レシピ、脅威ディテクタ・レシピが設定されたことを確認。

    Security Zonesの設定手順 クラウド・ガードのレシピ設定 任意のレシピが設定されたことを確認 【補足説明】： 左図は、事前作成された任意のレシピを指定したものとなります。 レシピの作成方法はP.14を参照。

29. レスポンダ・レシピの設定。 セキュリティ・ゾーンによって削除されたレスポンダ・ディテクタ・レシピを追加。 Copyright © 2025, Oracle and/or its affiliates. 29

    Security Zonesの設定手順 クラウド・ガードのレシピ設定 1. 「Posture and treat monitoring 」をクリック 2. 「レシピの追加」をクリック 3. 対象のレスポンダ・レシピを選択 4. 「レシピの追加」をクリック

30. 30 Copyright © 2025, Oracle and/or its affiliates. レスポンダ・レシピの設定。 レスポンダ・レシピが設定されたことを確認。

    Security Zonesの設定手順 クラウド・ガードのレシピ設定 任意のレシピが設定されたことを確認 【補足説明】： 左図は、事前作成された任意のレシピを指定したものとなります。 レシピの作成方法はP.14を参照。

31. Copyright © 2025, Oracle and/or its affiliates. 31 パブリックバケットへの設定変更 レシピの

    “deny public_buckets” ポリシーを有効化することで、オブジェクト・ストレージの可視性を“プライベート”から“パブリック” への設定変更する操作が拒否されます。 ※ セキュリティ・ゾーンを設定する前にオブジェクト・ストレージ（プライベート）を設定しておきます Security Zonesの検知・防御（例） 動作確認： オブジェクト・ストレージにおけるパブリック設定への変更拒否 1. オブジェクト・ストレージ画面で対象ストレージをクリック 対象のオブジェクトストレージを表示

32. Copyright © 2025, Oracle and/or its affiliates. 32 オブジェクト・ストレージの可視性を “プライベート”から“パブリック”

    への設定変更。 セキュリティ・ゾーンのポリシー違反として、オブジェクト・ストレージをパブリック設定できない警告が表示されることを確認。 Security Zonesの検知・防御（例） 動作確認： オブジェクト・ストレージにおけるパブリック設定への変更拒否 セキュリティ・ゾーンのポリシーが機能して、操作拒否されることを確認 【注釈】： 以下URLをご確認頂き、その他ポリシーの動作もお試し下さい。 https://docs.oracle.com/ja-jp/iaas/security-zone/using/security-zone-policies.htm 1. 「可視性の編集」をクリック 2. 「パブリック」を選択 3. 「更新」をクリック セキュリティ・ゾーンのポリシー違反として警告が表示

33. Agenda 1. Security Zonesの概要 2. Security Zonesの設定手順 📌 作業条件 📌

    IAMポリシーの設定例 📌 レシピの作成 📌 セキュリティ・ゾーンの作成 📌 クラウド・ガードのレシピ設定 📌 動作確認： オブジェクト・ストレージにおけるパブリック設定への変更拒否 3. まとめ 📌 ユースケース 📌 参考サイト 33 Copyright © 2025, Oracle and/or its affiliates.

34. ORACLE CLOUD INFRASTRUCTURE Availability Domain Compartment/VCN Compartment/VCN VCN Service Gateway

    APサーバ APサーバ Database サーバ Cloud Guard Object Storage バックアップ Cloud Guard Threat Intelligence Vulnerability Scanning Vulnerability Scanning Security Zones 【対策概要】 ◼ 潜在するセキュリティリスクを可視化し、情報漏洩などに 繋がるセキュリティインシデントを抑止 ➢ 脆弱な設定状況の把握と改善 ➢ OCIユーザーの不正アクティビティを検知・対応 ◼ 精度の高いセキュリティリスク管理にて、運用・管理における ワークロードを最適化 ➢ 脅威インテリジェンスデータを用いた精度の高い分析 ➢ 脆弱な設定の自動修復 【サービス構成（例）】 ◼ Cloud Guard ・・・ セキュリティリスクの検知・対応 ◼ Vulnerability ScanningまたはInstance Security ・・・ インスタンスの脆弱性を調査 ◼ Threat Intelligence ・・・ 脅威インテリジェンスデータの提供 ◼ Security Zones ・・・ 特定コンパートメントを要塞化 34 Copyright © 2025, Oracle and/or its affiliates. 潜在的なセキュリティリスクの特定 想定ユースケース Instance Security

35. Cloud Guard ✓ アカウントに対する権限が必要以上 に付与されていないかを把握 ✓ 意図しない操作（例：VCNの更新 やインスタンスの停止）が実行されて いないかの把握 ✓

    セキュリティリスクに繋がる設定や 操作などの見直し Threat Intelligence ✓ 脅威インテリジェンスデータがCloud Guardと連携され、より精度の高い 脅威分析を支援 ✓ 侵入痕跡となるIPアドレス、URL、 ドメイン、ファイルハッシュなどの情報を 基に分析 ✓ 不正操作の可能性があるユーザー を特定 Vulnerability Scanningまた はInstance Security ✓ 各インスタンスにおける脆弱性の有無 /パッチ適用状況を把握 ✓ 不要にオープンしているTCP/UDP ポートの把握 ✓ スキャン結果を基に脆弱性への早期 対策 Security Zones ✓ 定義したセキュリティ・ポリシーに違反 する操作（例：パブリックバケットへ の変更や新規作成）が実行された 場合、強制的に拒否 ✓ Cloud Guardと連携により、OCIの 脅威を検知および防御 ✓ 脆弱なクラウド環境を作らせない 潜在的なセキュリティリスクの特定 〜 導入効果（例）〜 35 Copyright © 2025, Oracle and/or its affiliates. 想定ユースケース

36. 参考情報 Security Zonesのドキュメント https://docs.oracle.com/ja-jp/iaas/security-zone/home.htm Security Zones 有効化 https://docs.oracle.com/ja-jp/iaas/security-zone/using/get-started.htm Security Zones

    ポリシー https://docs.oracle.com/ja-jp/iaas/security-zone/using/security-zone-policies.htm 36 Copyright © 2025, Oracle and/or its affiliates. 参考サイト

37. 37 Copyright © 2025, Oracle and/or its affiliates.