Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security Zones設定・操作ガイド

Security Zones設定・操作ガイド

Security Zonesに関する機能説明およびSecurity Zonesの設定・操作に関するガイド付き。

oracle4engineer

August 15, 2023
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. Agenda 1. Security Zonesの概要 2. Security Zonesの設定⼿順 📌 作業条件 📌

    IAMポリシーの設定例 📌 レシピの作成 📌 セキュリティ・ゾーンの作成 📌 クラウド・ガードのレシピ設定 📌 動作確認︓ オブジェクト・ストレージにおけるパブリック設定への変更拒否 3. まとめ 📌 ユースケース 📌 参考サイト 2 Copyright © 2023, Oracle and/or its affiliates. All rights reserved.
  2. Agenda 1. Security Zonesの概要 2. Security Zonesの設定⼿順 📌 作業条件 📌

    IAMポリシーの設定例 📌 レシピの作成 📌 セキュリティ・ゾーンの作成 📌 クラウド・ガードのレシピ設定 📌 動作確認︓ オブジェクト・ストレージにおけるパブリック設定への変更拒否 3. まとめ 📌 ユースケース 📌 参考サイト 3 Copyright © 2023, Oracle and/or its affiliates. All rights reserved.
  3. 堅牢な保護エリアの構築 サービス概要/特徴 • 事前定義されたセキュリティ・ポリシー(ベストプラクティス) を対象コンパートメントに適⽤ • コンパートメントに対して制限(リソース移動、パブリック・ アクセス、等)を⾏い、情報漏洩などに繋がるセキュリティ リスクを抑⽌ •

    セキュリティ・ポリシーに違反する操作が⾏われた際、⾃動的 に拒否 • カスタム・セキュリティ・ポリシーを⽤いて、事前定義された セキュリティ・ポリシーのチューニングが可能(有効/無効) ユース・ケース • ⾼いセキュリティレベルで保護する必要があるコンパート メントに対してセキュリティ・ポリシーを適⽤ • 例えば、機密性の⾼いデータが保存されたDatabaseや インスタンスがあるコンパートメントに対して、厳格なアクセス 管理を実現 • リ ソ ー ス 要 件 に 合 わ せ て 、 Security Zones と Cloud Guardを組み合わせ、厳格なアクセス管理を⾏うコンパート メントとリスクの検知を⾏うコンパートメントを構成 サービス価格 • 無償 Security Zones 概要 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 4 Compute Database Security Zones Admin
  4. ”Maximum Security Recipe” と “Custom Security Recipe” Maximum Security Recipe

    オラクルにて事前定義したセキュリティ・レシピとなり、ユーザー ⾃⾝でポリシーチューニング(有効/無効)することができない。 オラクルが定義するベストプラクティスを全て受け⼊れる形となる。 Custom Security Recipe ユーザー⾃⾝でセキュリティ・レシピを管理することができる為 事前定義されたポリシーをチューニング(有効/無効)することが できる。 オラクルが定義するベストプラクティスでは運⽤が難しい時などに 有効なレシピとなる。 レシピの管理 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 6
  5. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    7 レシピは、7つのタイプに分類されている。 レシピの管理 各レシピ・タイプと概要 レシピ・タイプ 概要 リソース移動の制限 データの整合性を確保するため、セキュリティ・ゾーン内の特定のリソースは、セキュリティ・ゾーンの外部にあるコンパートメント に移動できません。 リソース関連の制限 セキュリティ・ゾーンのリソースに必要なすべてのコンポーネントも同じセキュリティ・ゾーンに配置されている必要があります。 パブリック・アクセスの拒否 セキュリティ・ゾーン内のリソースは、パブリック・インターネットからアクセスできない様に設定されている必要があります。 暗号化の要求 セキュリティ・ゾーン内のリソースは、Vaultサービスを利⽤してユーザーで管理する暗号鍵を使⽤する必要があります。 データ耐久性の保証 セキュリティ・ゾーン内のリソースに対して定期的に⾃動バックアップを実⾏する必要があります。 データ・セキュリティの保証 セキュリティ・ゾーン内のデータは機密性が⾼いデータととみなされ、セキュリティ・ゾーンの外部にコピーすることができません。 Oracleが承認する構成のみの使⽤ セキュリティ・ゾーン内のリソースに対して、特定のセキュリティ機能を有効にして構成する必要があります。 例えば、プラットフォーム・イメージを使⽤してコンピュート・インスタンスを作成する必要がある。
  6. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    8 パブリックからのアクセスを拒否するポリシーは、以下の通りとなる。 レシピの管理 パブリック・アクセスの拒否に関するポリシー レシピ・タイプ ポリシー 概要 パブリック・アクセスの拒否 deny public_subnets セキュリティ・ゾーン内のサブネットはパブリックにできません。これらはプライベートで ある必要があります。 deny internet_gateway セキュリティ・ゾーン内のインターネット・ゲートウェイをVCN(仮想クラウド・ネット ワーク)に追加することはできません。 deny public_buckets セキュリティ・ゾーン内のオブジェクト・ストレージ・バケットは、パブリックにできません。 deny db_instance_public_access セキュリティ・ゾーン内のデータベースをパブリック・サブネットに割り当てることはでき ません。プライベート・サブネットを使⽤する必要があります。 【参照】︓ セキュリティ・ゾーン・ポリシー https://docs.oracle.com/ja-jp/iaas/security-zone/using/security-zone-policies.htm
  7. リソース操作における拒否(例) パブリックバケットへの設定変更 レシピの「deny public_buckets」ポリシーを有効化することで オブジェクト・ストレージの可視性を“プライベート”から“パブリック” へ設定変更する操作が拒否される。 ※ パブリックで新規作成する際も同様に拒否 データベースにおける⾃動バックアップ構成の無効化 レシピの「deny

    database_without_backup」ポリシーを 有効化することで、データベースの「⾃動バックアップの構成」を “無効(有効化のチェックボックスを外す)”にする操作が拒否 される。 Security Zonesによる防御 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 10 Security Zonesのポリシー違反として、 オブジェクト・ストレージをパブリック設定できない警告が表⽰ Security Zonesのポリシー違反として、 データベースの⾃動バックアップを有効にする必要がある警告が表⽰
  8. Agenda 1. Security Zonesの概要 2. Security Zonesの設定⼿順 📌 作業条件 📌

    IAMポリシーの設定例 📌 レシピの作成 📌 セキュリティ・ゾーンの作成 📌 クラウド・ガードのレシピ設定 📌 動作確認︓ オブジェクト・ストレージにおけるパブリック設定への変更拒否 3. まとめ 📌 ユースケース 📌 参考サイト 11 Copyright © 2023, Oracle and/or its affiliates. All rights reserved.
  9. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    12 Security Zonesの設定⼿順 作業条件 作業条件︓ ü Administratorグループに所属するユーザー(OCI管理者)で実施 ü OCIコンソールの⾔語設定を「⽇本語」に設定 ü Cloud Guardを有効化済み ü オブジェクト・ストレージ(プライベート)を設定済み <= 動作確認⽤ 参考⽂献︓ https://docs.oracle.com/ja-jp/iaas/security-zone/home.htm(⽇本語サイト) Tenancy(Tokyo DC) VCN Compute Compartment システム構成(例)︓ Object Storage Security Zones Cloud Guard (Security Zones Target)
  10. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    13 Administratorsグループに所属しないユーザーがセキュリティ・ゾーンの作成・更新・削除およびレシピの作成・更新・削除を⾏う場合、 以下のようなIAMポリシーを設定します。 ※ IAMポリシーの設定に関しては、以下URLの「IAMポリシーの作成」なども参考にして下さい。 https://docs.oracle.com/ja-jp/iaas/security-zone/using/get-started.htm Security Zonesの設定⼿順 Allow group SecurityAdmins to manage cloud-guard-family in tenancy Allow group SecurityAdmins to manage security-zone in tenancy Allow group SecurityAdmins to manage security-recipe in tenancy IAMポリシーの設定例
  11. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    14 「アイデンティティとセキュリティ」メニューより「セキュリティ・ゾーン」を選択。 Security Zonesの設定⼿順 レシピの作成 1. 「アイデンティティとセキュリティ」をクリック 2. 「セキュリティ・ゾーン」をクリック
  12. 顧客管理⽤のセキュリティ・レシピ(Custom Security Recipe)を作成。 Copyright © 2023, Oracle and/or its affiliates.

    All rights reserved. 16 Security Zonesの設定⼿順 レシピの作成 2. 「次」をクリック 1. 任意の「名前」と「説明」を⼊⼒
  13. ポリシーの設定。 有効化したい該当ポリシーを設定して確認。 Copyright © 2023, Oracle and/or its affiliates. All

    rights reserved. 18 Security Zonesの設定⼿順 レシピの作成 2. 「次」をクリック 1. 制御したい該当ポリシーをチェック 4. 「作成」をクリック 3. 有効・無効ポリシー数をチェック
  14. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    20 セキュリティ・ゾーンを作成。 Security Zonesの設定⼿順 セキュリティ・ゾーンの作成 1. 「概要」をクリック 2. 対象コンパートメントを選択 3. 「セキュリティ・ゾーンの作成」をクリック
  15. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    21 顧客管理のカスタム・セキュリティ・ゾーンを作成する場合︓ 【補⾜説明】︓ 顧客管理のゾーン・レシピを選択する場合、事前にカスタム・セキュリティ・レシピ を作成しておきます。レシピの作成⽅法はP.13を参照。 1. 「顧客管理」を選択 2. 顧客管理⽤に作成したレシピ を選択 Oracle管理のセキュリティ・ゾーンを作成する場合︓ 1. 「Oracle管理」を選択 2. 任意の「名前」と「説明」を⼊⼒ 3. 「セキュリティ・ゾーンの作成」をクリック セキュリティ・ゾーンの作成 Security Zonesの設定⼿順 4. 「セキュリティ・ゾーンの作成」をクリック 3. 任意の「名前」と「説明」を⼊⼒
  16. Oracle管理のセキュリティ・ゾーンが作成されたことを確認。 ① ステータス︓ アクティブ ② コンパートメント︓ P.19で選択したコンパートメント ③ クラウド・ガード・ターゲット︓ P.20で設定した名前

    ④ レシピ︓ Maximum Security Recipe - YYYYMMDD セキュリティ・ゾーンの作成 顧客管理のカスタム・セキュリティ・ゾーンが作成されたことを確認。 ① ステータス︓ アクティブ ② コンパートメント︓ P.19で選択したコンパートメント ③ クラウド・ガード・ターゲット︓ P.20で設定した名前 ④ レシピ︓ P.20で選択したレシピ名 Security Zonesの設定⼿順 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 22 ① ② ③ ④ ① ② ③ ④
  17. 親コンパートメントと⼦コンパートメントがある環境の場合 親コンパートメントにセキュリティ・ゾーンを設定した場合、⼦コンパート メントも同じセキュリティ・ゾーンで、且つ同じポリシーが適⽤される為、 各コンパートメント間の操作は可能です。 また、新しく作成した⼦コンパートメントも、親と同じセキュリティ・ゾーンの ポリシーが適⽤されます。 SecurityZone セキュリティ・ゾーンがそれぞれ別れている環境の場合 「セキュリティ・ゾーン01」 と

    「セキュリティ・ゾーン02」に分けてセキュリティ・ ゾーンを設定した場合、それぞれ異なるセキュリティ・ゾーンとなり、且つ 異なるポリシーが適⽤される為、各セキュリティ・ゾーン間の操作は 各ポリシーの設定に依存する形となります。 Security Zonesの設定⼿順 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 23 補⾜︓ セキュリティ・ゾーンのポリシーについて SecurityZone01 SecurityZone02 親コンパートメント ⼦コンパートメント ⼦コンパートメント SecurityZone ポリシー SecurityZone01 ポリシー SecurityZone02 ポリシー New ⼦コンパートメント
  18. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    25 クラウド・ガードのディテクタ・レシピおよびレスポンダ・レシピを設定。 対象となるターゲット名を選択。 Security Zonesの設定⼿順 クラウド・ガードのレシピ設定 1. クラウド・ガード画⾯で「ターゲット」をクリック 2. 対象のターゲット名をクリック 対象のターゲットが表⽰
  19. ディテクタ・レシピの設定。 置き換えられたオラクル管理のディテクタ・レシピから任意のディテクタ・レシピに変更。 1. 「ディテクタ・レシピ」をクリック 2. 各ディテクタ・レシピのメニューより 「置換」をクリック 3. 対象のアクティブ・ディテクタ・レシピを選択 4.

    「了解」にチェック 5. 「置換」をクリック 6. 対象の構成ディテクタ・レシピを選択 7. 「了解」にチェック 8. 「置換」をクリック Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 26 Security Zonesの設定⼿順 クラウド・ガードのレシピ設定 アクティブ・ディテクタ・レシピ 構成ディテクタ・レシピ
  20. ディテクタ・レシピの設定。 セキュリティ・ゾーンによって削除された脅威ディテクタ・レシピを追加。 Copyright © 2023, Oracle and/or its affiliates. All

    rights reserved. 27 Security Zonesの設定⼿順 クラウド・ガードのレシピ設定 1. 「ディテクタ・レシピ」をクリック 2. 「レシピの追加」をクリック 3. 対象の脅威ディテクタ・レシピを選択 4. 「レシピの追加」をクリック
  21. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    28 ディテクタ・レシピの設定。 アクティビティ・ディテクタ・レシピ、構成ディテクタ・レシピ、脅威ディテクタ・レシピが設定されたことを確認。 【補⾜説明】︓ 左図は、事前作成された任意のレシピを指定したものとなります。 レシピの作成⽅法はP.13を参照。 任意のレシピに設定されたことを確認 Security Zonesの設定⼿順 クラウド・ガードのレシピ設定
  22. 30 Copyright © 2023, Oracle and/or its affiliates. All rights

    reserved. レスポンダ・レシピの設定。 アクティビティ・ディテクタ・レシピ、構成ディテクタ・レシピ、脅威ディテクタ・レシピが設定されたことを確認。 【補⾜説明】︓ 左図は、事前作成された任意のレシピを指定したものとなります。 レシピの作成⽅法はP.13を参照。 Security Zonesの設定⼿順 クラウド・ガードのレシピ設定 任意のレシピに設定されたことを確認
  23. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    31 パブリックバケットへの設定変更 レシピの “deny public_buckets” ポリシーを有効化することで、オブジェクト・ストレージの可視性を“プライベート”から“パブリック” への設定変更する操作が拒否されます。 ※ セキュリティ・ゾーンを設定する前にオブジェクト・ストレージ(プライベート)を設定しておきます Security Zonesの検知・防御(例) 動作確認︓ オブジェクト・ストレージにおけるパブリック設定への変更拒否 1. オブジェクト・ストレージ画⾯で対象ストレージをクリック 対象のオブジェクトストレージが表⽰
  24. Copyright © 2023, Oracle and/or its affiliates. All rights reserved.

    32 オブジェクト・ストレージの可視性を “プライベート”から“パブリック” への設定変更。 セキュリティ・ゾーンのポリシー違反として、オブジェクト・ストレージをパブリック設定できない警告が表⽰されることを確認。 Security Zonesの検知・防御(例) 動作確認︓ オブジェクト・ストレージにおけるパブリック設定への変更拒否 セキュリティ・ゾーンのポリシー違反として警告が表⽰ 1. 「可視性の編集」をクリック 2. 「パブリック」を選択 3. 「変更の保存」をクリック セキュリティ・ゾーンのポリシーが機能して、操作拒否されることを確認 【注釈】︓ 2022年12⽉現在、セキュリティ・ゾーン・ポリシーは40個あります。 以下URLをご確認頂き、その他ポリシーの動作もお試し下さい。 https://docs.oracle.com/ja-jp/iaas/security-zone/using/security-zone-policies.htm
  25. Agenda 1. Security Zonesの概要 2. Security Zonesの設定⼿順 📌 作業条件 📌

    IAMポリシーの設定例 📌 レシピの作成 📌 セキュリティ・ゾーンの作成 📌 クラウド・ガードのレシピ設定 📌 動作確認︓ オブジェクト・ストレージにおけるパブリック設定への変更拒否 3. まとめ 📌 ユースケース 📌 参考サイト 33 Copyright © 2023, Oracle and/or its affiliates. All rights reserved.
  26. ORACLE CLOUD INFRASTRUCTURE Availability Domain Compartment/VCN Compartment/VCN VCN Service Gateway

    APサーバ APサーバ Database サーバ Cloud Guard Object Storage バックアップ Cloud Guard Threat Intelligence Vulnerability Scanning Vulnerability Scanning Security Zones 【対策概要】 n 潜在するセキュリティリスクを可視化し、情報漏洩などに 繋がるセキュリティインシデントを抑⽌ Ø 脆弱な設定状況の把握と改善 Ø OCIユーザーの不正アクティビティを検知・対応 n 精度の⾼いセキュリティリスク管理にて、運⽤・管理における ワークロードを最適化 Ø 脅威インテリジェンスデータを⽤いた精度の⾼い分析 Ø 脆弱な設定の⾃動修復 【サービス構成(例)】 n Cloud Guard ・・・ セキュリティリスクの検知・対応 n Vulnerability Scanning ・・・ インスタンスの脆弱性を調査 n Threat Intelligence ・・・ 脅威インテリジェンスデータの提供 n Security Zones ・・・ 特定コンパートメントを要塞化 34 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 潜在的なセキュリティリスクの特定 想定ユースケース
  27. Cloud Guard ü アカウントに対する権限が必要以上 に付与されていないかを把握 ü 意図しない操作(例︓VCNの更新 やインスタンスの停⽌)が実⾏されて いないかの把握 ü

    セキュリティリスクに繋がる設定や 操作などの⾒直し Threat Intelligence ü 脅威インテリジェンスデータがCloud Guardと連携され、より精度の⾼い 脅威分析を⽀援 ü 侵⼊痕跡となるIPアドレス、URL、 ドメイン、ファイルハッシュなどの情報を 基に分析 ü 不正操作の可能性があるユーザー を特定 Vulnerability Scanning ü 各インスタンスにおける脆弱性の有無 /パッチ適⽤状況を把握 ü 不要にオープンしているTCP/UDP ポートの把握 ü スキャン結果を基に脆弱性への早期 対策 Security Zones ü 定義したセキュリティ・ポリシーに違反 する操作(例︓パブリックバケットへ の変更や新規作成)が実⾏された 場合、強制的に拒否 ü Cloud Guardと連携により、OCIの 脅威を検知および防御 ü 脆弱なクラウド環境を作らせない 潜在的なセキュリティリスクの特定 〜 導⼊効果(例)〜 35 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 想定ユースケース
  28. 参考情報 Security Zonesのドキュメント https://docs.oracle.com/ja-jp/iaas/security-zone/home.htm Security Zones 有効化 https://docs.oracle.com/ja-jp/iaas/security-zone/using/get-started.htm Security Zones

    ポリシー https://docs.oracle.com/ja-jp/iaas/security-zone/using/security-zone-policies.htm 36 Copyright © 2023, Oracle and/or its affiliates. All rights reserved. 参考サイト