Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Vulnerability Scanning Service設定・操作ガイド

Vulnerability Scanning Service設定・操作ガイド

Vulnerability Scanning Service(VSS)に関する機能説明およびVSSの設定・操作に関するガイド付き。

140494d272a4d89883a94fdfdb29dea2?s=128

oracle4engineer
PRO

December 01, 2021
Tweet

Transcript

  1. Vulnerability Scanning Service 2021年12⽉1⽇ ⽇本オラクル株式会社 設定・操作ガイド Copyright © 2021, Oracle

    and/or its affiliates. All rights reserved.
  2. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定⼿順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 3. Vulnerability Scanning Service スキャン結果 📌 ホスト・スキャン結果 📌 ポート・スキャン結果 📌 脆弱性レポート 4. Cloud Guardとの連携 5. まとめ 📌 Vulnerability Scanning Serviceと3rd Party Scanning Toolとの⽐較 📌 利⽤ユースケース 📌 参考サイト Agenda Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 2
  3. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定⼿順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 3. Vulnerability Scanning Service スキャン結果 📌 ホスト・スキャン結果 📌 ポート・スキャン結果 📌 脆弱性レポート 4. Cloud Guardとの連携 5. まとめ 📌 Vulnerability Scanning Serviceと3rd Party Scanning Toolとの⽐較 📌 利⽤ユースケース 📌 参考サイト Agenda Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 3
  4. ホストに潜在的な脆弱性がないかを調査 サービス概要 n Vulnerability Scanning Service(以下、VSS)は、 リージョナルサービス※1 として、コンピュート・インスタンスや コンテナ・イメージに潜在的な脆弱性がないかを定期的に スキャン

    n 以下の脆弱性についてスキャン ü TCP/UDPのオープンポート ü CVE※2 に基づいた脆弱性 ü CISベンチマーク※3 に基づいた設定状況 n コンピュート・インスタンスにプリインストールされている Oracle Cloudエージェントで実施 n 調査対象となるOS ü Oracle Linux, CentOS, Ubuntu, Windows n 検知されたリスクは、Cloud Guardに通知 n 無償で利⽤可能 Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 4 ※1 コンピュート・インスタンスがリージョン毎に存在する場合、リージョン毎にVSSを設定 ※2 CVE︓http://cve.mitre.org/index.html ※3 CIS︓ https://www.cisecurity.org Vulnerability Scanning Service 概要
  5. スキャンするポート Vulnerability Scanning Service 概要 Copyright © 2021, Oracle and/or

    its affiliates. All rights reserved. 5 ポート・スキャンでは、スキャンレベルを軽量(上位100ポート)または標準(上位1000ポート)より選択したうえで実施します。 オプション ポート番号 軽量 7, 9, 13, 21-23, 25-26, 37, 53, 79-81, 88, 106, 110-111, 113, 119, 135, 139, 143-144, 179, 199, 389, 427, 443-445, 465, 513-515, 543-544, 548, 554, 587, 631, 646, 873, 990, 993, 995, 1025-1029, 1110, 1433, 1720, 1723, 1755, 1900, 2000-2001, 2049, 2121, 2717, 3000, 3128, 3306, 3389, 3986, 4899, 5000, 5009, 5051, 5060, 5101, 5190, 5357, 5432, 5631, 5666, 5800, 5900, 6000-6001, 6646, 7070, 8000, 8008-8009, 8080-8081, 8443, 8888, 9100, 9999-10000, 32768, 49152-49157 標準 1, 3-4, 6-7, 9, 13, 17, 19-26, 30, 32-33, 37, 42-43, 49, 53, 70, 79-85, 88-90, 99-100, 106, 109-111, 113, 119, 125, 135, 139, 143-144, 146, 161, 163, 179, 199, 211-212, 222, 254-256, 259, 264, 280, 301, 306, 311, 340, 366, 389, 406-407, 416-417, 425, 427, 443-445, 458, 464-465, 481, 497, 500, 512-515, 524, 541, 543-545, 548, 554-555, 563, 587, 593, 616-617, 625, 631, 636, 646, 648, 666-668, 683, 687, 691, 700, 705, 711, 714, 720, 722, 726, 749, 765, 777, 783, 787, 800-801, 808, 843, 873, 880, 888, 898, 900-903, 911-912, 981, 987, 990, 992-993, 995, 999-1002, 1007, 1009-1011, 1021-1100, 1102, 1104- 1108, 1110-1114, 1117, 1119, 1121-1124, 1126, 1130-1132, 1137-1138, 1141, 1145, 1147-1149, 1151-1152, 1154, 1163-1166, 1169, 1174-1175, 1183, 1185-1187, 1192, 1198-1199, 1201, 1213, 1216-1218, 1233-1234, 1236, 1244, 1247-1248, 1259, 1271-1272, 1277, 1287, 1296, 1300-1301, 1309-1311, 1322, 1328, 1334, 1352, 1417, 1433-1434, 1443, 1455, 1461, 1494, 1500-1501, 1503, 1521, 1524, 1533, 1556, 1580, 1583, 1594, 1600, 1641, 1658, 1666, 1687-1688, 1700, 1717-1721, 1723, 1755, 1761, 1782-1783, 1801, 1805, 1812, 1839-1840, 1862-1864, 1875, 1900, 1914, 1935, 1947, 1971-1972, 1974, 1984, 1998-2010, 2013, 2020-2022, 2030, 2033-2035, 2038, 2040-2043, 2045-2049, 2065, 2068, 2099-2100, 2103, 2105-2107, 2111, 2119, 2121, 2126, 2135, 2144, 2160-2161, 2170, 2179, 2190-2191, 2196, 2200, 2222, 2251, 2260, 2288, 2301, 2323, 2366, 2381-2383, 2393-2394, 2399, 2401, 2492, 2500, 2522, 2525, 2557, 2601-2602, 2604-2605, 2607-2608, 2638, 2701-2702, 2710, 2717-2718, 2725, 2800, 2809, 2811, 2869, 2875, 2909-2910, 2920, 2967-2968, 2998, 3000-3001, 3003, 3005-3007, 3011, 3013, 3017, 3030-3031, 3052, 3071, 3077, 3128, 3168, 3211, 3221, 3260-3261, 3268-3269, 3283, 3300-3301, 3306, 3322-3325, 3333, 3351, 3367, 3369-3372, 3389-3390, 3404, 3476, 3493, 3517, 3527, 3546, 3551, 3580, 3659, 3689-3690, 3703, 3737, 3766, 3784, 3800-3801, 3809, 3814, 3826-3828, 3851, 3869, 3871, 3878, 3880, 3889, 3905, 3914, 3918, 3920, 3945, 3971, 3986, 3995, 3998, 4000-4006, 4045, 4111, 4125-4126, 4129, 4224, 4242, 4279, 4321, 4343, 4443-4446, 4449, 4550, 4567, 4662, 4848, 4899-4900, 4998, 5000-5004, 5009, 5030, 5033, 5050-5051, 5054, 5060-5061, 5080, 5087, 5100-5102, 5120, 5190, 5200, 5214, 5221-5222, 5225-5226, 5269, 5280, 5298, 5357, 5405, 5414, 5431-5432, 5440, 5500, 5510, 5544, 5550, 5555, 5560, 5566, 5631, 5633, 5666, 5678-5679, 5718, 5730, 5800-5802, 5810-5811, 5815, 5822, 5825, 5850, 5859, 5862, 5877, 5900-5904, 5906-5907, 5910-5911, 5915, 5922, 5925, 5950, 5952, 5959-5963, 5987-5989, 5998-6007, 6009, 6025, 6059, 6100-6101, 6106, 6112, 6123, 6129, 6156, 6346, 6389, 6502, 6510, 6543, 6547, 6565-6567, 6580, 6646, 6666-6669, 6689, 6692, 6699, 6779, 6788-6789, 6792, 6839, 6881, 6901, 6969, 7000-7002, 7004, 7007, 7019, 7025, 7070, 7100, 7103, 7106, 7200-7201, 7402, 7435, 7443, 7496, 7512, 7625, 7627, 7676, 7741, 7777-7778, 7800, 7911, 7920-7921, 7937-7938, 7999-8002, 8007-8011, 8021-8022, 8031, 8042, 8045, 8080-8090, 8093, 8099-8100, 8180-8181, 8192-8194, 8200, 8222, 8254, 8290-8292, 8300, 8333, 8383, 8400, 8402, 8443, 8500, 8600, 8649, 8651-8652, 8654, 8701, 8800, 8873, 8888, 8899, 8994, 9000-9003, 9009-9011, 9040, 9050, 9071, 9080-9081, 9090-9091, 9099-9103, 9110-9111, 9200, 9207, 9220, 9290, 9415, 9418, 9485, 9500, 9502-9503, 9535, 9575, 9593-9595, 9618, 9666, 9876-9878, 9898, 9900, 9917, 9929, 9943-9944, 9968, 9998-10004, 10009-10010, 10012, 10024-10025, 10082, 10180, 10215, 10243, 10566, 10616-10617, 10621, 10626, 10628-10629, 10778, 11110-11111, 11967, 12000, 12174, 12265, 12345, 13456, 13722, 13782-13783, 14000, 14238, 14441-14442, 15000, 15002-15004, 15660, 15742, 16000-16001, 16012, 16016, 16018, 16080, 16113, 16992-16993, 17877, 17988, 18040, 18101, 18988, 19101, 19283, 19315, 19350, 19780, 19801, 19842, 20000, 20005, 20031, 20221-20222, 20828, 21571, 22939, 23502, 24444, 24800, 25734-25735, 26214, 27000, 27352-27353, 27355-27356, 27715, 28201, 30000, 30718, 30951, 31038, 31337, 32768-32785, 33354, 33899, 34571-34573, 35500, 38292, 40193, 40911, 41511, 42510, 44176, 44442-44443, 44501, 45100, 48080, 49152-49161, 49163, 49165, 49167, 49175-49176, 49400, 49999-50003, 50006, 50300, 50389, 50500, 50636, 50800, 51103, 51493, 52673, 52822, 52848, 52869, 54045, 54328, 55055-55056, 55555, 55600, 56737-56738, 57294, 57797, 58080, 60020, 60443, 61532, 61900, 62078, 63331, 64623, 64680, 65000, 65129, 6538 ※ 詳細は、こちらのURL(https://docs.oracle.com/ja-jp/iaas/scanning/using/port-scan.htm)を参照
  6. 脆弱性の情報ソース Vulnerability Scanning Service 概要 Copyright © 2021, Oracle and/or

    its affiliates. All rights reserved. 6 脆弱性のスキャンでは、以下の情報ソースに基づいて実施します。アプリケーション、オペレーティングシステムおよびサービスなど脆弱性に ついて調査します。 ※ WindowsのスキャンにはOVALデータが含まれていない為、 Windowsのインスタンスをスキャンする際はご留意下さい
  7. CISベンチマーク Vulnerability Scanning Service 概要 Copyright © 2021, Oracle and/or

    its affiliates. All rights reserved. 7 CISベンチマークのスキャンでは、以下の「5. Access, Authentication and Authorization」にある「SSH Server Configuration」の 内容に基づいて実施します。 ※ CISベンチマークのスキャンは、Windows未対応となります ※ CISベンチマークについては、こちらのURL(https://learn.cisecurity.org/benchmarks)を参照 5.2.20 Ensure SSH PAM is enabled 5.2.21 Ensure SSH AllowTcpForwarding is disabled 5.2.22 Ensure SSH MaxStartups is configured 5.2.23 Ensure SSH MaxSessions is set to 4 or less 5.2.5 Ensure SSH LogLevel is appropriate 5.2.6 Ensure SSH X11 forwarding is disabled 5.2.7 Ensure SSH MaxAuthTries is set to 4 or less 5.2.8 Ensure SSH IgnoreRhosts is enabled 5.2.9 Ensure SSH HostbasedAuthentication is disabled 5.2.10 Ensure SSH root login is disabled 5.2.11 Ensure SSH PermitEmptyPasswords is disabled 5.2.12 Ensure SSH PermitUserEnvironment is disabled 5.2.13 Ensure only strong Ciphers are used 5.2.14 Ensure only strong MAC algorithms are used 5.2.15 Ensure only strong Key Exchange algorithms are used 5.2.16 Ensure SSH Idle Timeout Interval is configured 5.2.17 Ensure SSH LoginGraceTime is set to one minute or less 5.2.19 Ensure SSH warning banner is configured ※ 2021年10⽉28⽇時点 Center for Internet Security
  8. 設定からスキャン結果までの流れ Vulnerability Scanning Service 概要 Copyright © 2021, Oracle and/or

    its affiliates. All rights reserved. 8 Administratorグループに所属し ないユーザー(OCI管理者では ないユーザー)がVSSを利⽤す る場合、リソースへアクセスする為 のIAMポリシーを設定します。 エージェント・ベースのスキャン (CVEおよびCISベンチマークに 基づいた調査)を有効にする 場合、Oracle Cloudエージェント をコンピュート・インスタンスにデプ ロイする為のスキャン・サービス 権限を付与します。 スキャン対象となるホストに対して、 実施するスキャンの内容(ポート、 エ ー ジ ェ ン ト ・ ベ ー ス ) お よ び スケジュールを設定します。 補⾜︓ ポート・スキャンとエージェント・ ベース・スキャンの両⽅を無効に した場合、 ターゲットはスキャンさ れません。 作成したスキャン・レシピを基に 脆弱性スキャンを⾏うターゲット (コンパートメント、コンピュート・ インスタンス)を設定します。 補⾜︓ ターゲットを作成する前に、1つの スキャン・レシピを設定する必要が あります。 スキャン結果より、オープン・ポート、 OSパッチ適⽤状況、CISベンチ マークなど、コンピュート・インスタン スのセキュリティ脆弱性を特定 します。 スキャン結果は、新しいターゲット の作成後、15分程で表⽰されま すが、最⼤24時間掛かる場合も あります。 1. IAMポリシーの設定 2. ホスト・スキャンに必要な IAMポリシーの設定 3. スキャン・レシピの作成 4. ホスト・ターゲットの作成 5. スキャン結果の表⽰
  9. スキャン結果のイメージ Vulnerability Scanning Service 概要 Copyright © 2021, Oracle and/or

    its affiliates. All rights reserved. 9 ホストのスキャン結果(概要) 脆弱性の結果 ポートスキャン結果
  10. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定⼿順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 3. Vulnerability Scanning Service スキャン結果 📌 ホスト・スキャン結果 📌 ポート・スキャン結果 📌 脆弱性レポート 4. Cloud Guardとの連携 5. まとめ 📌 Vulnerability Scanning Serviceと3rd Party Scanning Toolとの⽐較 📌 利⽤ユースケース 📌 参考サイト Agenda Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 10
  11. 作業条件 Vulnerability Scanning Service 設定⼿順 Copyright © 2021, Oracle and/or

    its affiliates. All rights reserved. 11 作業条件︓ ü Administratorグループに所属するユーザー(OCI管理者)で実施 ü グローバルIPアドレスを持つコンピュート・インスタンスを対象にスキャンを実施 ü OCIコンソールの⾔語設定を「⽇本語」に設定 参考⽂献︓ https://docs.oracle.com/ja-jp/iaas/scanning/home.htm (⽇本語サイト) https://docs.oracle.com/en-us/iaas/scanning/home.htm (英語サイト) Tenancy(Tokyo DC) Cloud Guard Vulnerability Scanning VCN Compute Compute Compute Compartment システム構成(例)︓
  12. IAMポリシーの設定例 IAMポリシーの設定 Administratorグループに所属しないユーザーがVSSを利⽤する場合、 リソースへアクセスする為のIAMポリシーを設定します。 例えば、SecurityAdminsグループのユーザーがSalesAppsコンパート メントに対して、脆弱性スキャン・リソースの作成、更新、削除できるように する場合、以下の設定を⾏います。 具体的なIAMポリシーの設定に関しては、以下URLの「IAMポリシーの スキャン」を参照下さい。 https://docs.oracle.com/ja-jp/iaas/scanning/using/iam-

    policies.htm#iam_policies ホスト・スキャンに必要なIAMポリシー エージェント・ベースのスキャン(CVEやCISベンチマークに基づいた調査) を有効にする場合、Oracle Cloudエージェントをコンピュート・インスタンス にデプロイする為のスキャン・サービス権限を付与します。 例えば、テナンシ全体の全コンピュート・インスタンスに権限を付与する 場合、以下の設定を⾏います。 例えば、特定のコンパートメント内の全コンピュート・インスタンスに権限を 付与する場合、以下の設定を⾏います。 Vulnerability Scanning Service 設定⼿順 Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 12 Allow group SecurityAdmins to manage vss-family in compartment SalesApps Allow service vulnerability-scanning-service to manage instances in tenancy Allow service vulnerability-scanning-service to read compartments in tenancy Allow service vulnerability-scanning-service to read vnics in tenancy Allow service vulnerability-scanning-service to read vnic-attachments in tenancy Allow service vulnerability-scanning-service to manage instances in compartment <compartment_name> Allow service vulnerability-scanning-service to read compartments in compartment <compartment_name> Allow service vulnerability-scanning-service to read vnics in compartment <compartment_name> Allow service vulnerability-scanning-service to read vnic-attachments in compartment <compartment_name>
  13. Vulnerability Scanning Serviceを利⽤する為の設定を⾏います。 1. 「アイデンティティとセキュリティ」 をクリック 2. 「スキャン」をクリック スキャン・レシピの設定 Vulnerability

    Scanning Service 設定⼿順 Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 13
  14. スキャン・レシピの作成を⾏います。 1. 「スキャン・レシピ」をクリック 2. 対象コンパートメントを選択 3. 「作成」をクリック スキャン・レシピの設定 Vulnerability Scanning

    Service 設定⼿順 Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 14
  15. スキャンしたい内容(ポートスキャンやエージェント・ベースのスキャン)および実施スケジュールの設定を⾏います。 Copyright © 2021, Oracle and/or its affiliates. All rights

    reserved. 15 1. 「名前」を⼊⼒ 2. 対象コンパートメントを選択 3. 「パブリックIPポートのスキャン」よりポートの スキャンレベルを選択 4. 「CISベンチマーク・スキャンの有効化」にチェックし、 ベンチマークのスキャンレベルを選択 5. 「スケジュール」よりスキャン周期を選択 6. 「作成」をクリック スキャン・レシピの設定 Vulnerability Scanning Service 設定⼿順 【補⾜説明】︓ ポート・スキャンとエージェント・ベース・スキャンの両⽅を無効にした場合 レシピに割り当てられたターゲットをスキャンしません。
  16. スキャン対象とするターゲットの作成を⾏います。 注意︓ ターゲットを作成する前に、1つのスキャン・レシピを設定する必要があります。 1. 「ターゲット」をクリック 2. 対象コンパートメントを選択 3. 「作成」をクリック ターゲットの設定

    Vulnerability Scanning Service 設定⼿順 Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 16
  17. スキャン対象とするターゲット(コンパートメントまたはコンピュート)に関する情報を設定します。 ターゲットの設定が完了し、しばらくするとスキャン結果が表⽰されます。以降は設定したスケジュールの周期で調査を⾏います。 7. 「作成」をクリック 1. 「名前」を⼊⼒ 2. 対象コンパートメントを選択 3. 必要に応じて説明を⼊⼒(任意)

    4. 前述で作成したレシピを選択 5. 対象コンパートメントを選択 6. スキャン対象とするターゲットを 「コンパートメント」または「コンピュート・インスタンス」より選択 Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 17 該当のコンピュート・インスタンスのみを選択する場合 プルダウンより対象コンピュートを選択 ターゲットの設定 Vulnerability Scanning Service 設定⼿順
  18. スキャン対象に設定したコンピュートのOracle Cloudエージェントを確認すると、「脆弱性スキャン」のプラグインが有効化されます。 注意︓反映までに数分掛かることがあります。 Copyright © 2021, Oracle and/or its affiliates.

    All rights reserved. 18 1. 「Oracle Cloudエージェント」をクリック 2. 「有効」であることを確認 【補⾜説明】︓ スキャンがうまく実施されない場合、「メッセージ」欄にエラー内容 が表⽰されますので、ご確認下さい。 ※ 社内検証環境の為、ホスト名などは伏せております 参考︓ コンピュートのOracle Cloudエージェント Vulnerability Scanning Service 設定⼿順
  19. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定⼿順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 3. Vulnerability Scanning Service スキャン結果 📌 ホスト・スキャン 📌 ポート・スキャン 📌 脆弱性レポート 4. Cloud Guardとの連携 5. まとめ 📌 Vulnerability Scanning Serviceと3rd Party Scanning Toolとの⽐較 📌 利⽤ユースケース 📌 参考サイト Agenda Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 19
  20. スキャン結果の⾒⽅ ホスト・スキャン 該当のコンピュート・インスタンスに関するスキャン 結果を纏めて確認する際に利⽤します。 脆弱な状況を網羅的に確認する場合、ホスト・ スキャンより確認下さい。 📌 オープン・ポートの状態 📌 脆弱性の有無

    📌 CISベンチマークの遵守状況 ポート・スキャン コンパートメント配下にあるすべてのコンピュータ・ インスタンスに関するポート・スキャン結果を⼀覧 で確認する際に利⽤します。 📌 オープンしているTCP/UDPポートの数 📌 オープンしているTCP/UDPポート 脆弱性レポート コンパートメント配下にあるすべてのコンピュータ・ インスタンスに関する脆弱性の結果を⼀覧で 確認する際に利⽤します。 📌 CVE識別番号(CVE ID)で表⽰ Vulnerability Scanning Service スキャン結果 Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 20
  21. ホスト・スキャンでは、コンパートメント配下にあるすべてのコンピュータ・インスタンスに関する結果を表⽰します。 1. 「ホスト・スキャン」をクリック Copyright © 2021, Oracle and/or its affiliates.

    All rights reserved. 21 【補⾜説明】︓ 「ターゲットの設定」画⾯にて、「コンパートメントおよびサブコンパートメントに あるすべてのコンピュート・インスタンス」を選択した際の結果となります。 対象のコンピュート・インスタンスのみ表⽰させたい場合、「コンパートメントの 選択したコンピュート・インスタンス」を選択して下さい。 2. 各コンピュータ・インスタンスの詳細結果を 確認したい場合、該当のホスト名をクリック 検索したいリスク・レベルで整理する事も可能 デフォルトでは「すべて」が選択済み ※ 社内検証環境の為、ホスト名などは伏せております ホスト・スキャン Vulnerability Scanning Service スキャン結果
  22. 該当のコンピュート・インスタンスに関する “脆弱性の有無”、“オープンしているTCP/UDPポート”、 “CISベンチマークの遵守状況” を 表⽰します。 「オープン・ポート」のスキャン結果 「CISベンチマーク」をスキャン結果 「脆弱性」のスキャン結果 1. 「リソース」より確認したい項⽬

    をクリック ※ 社内検証環境の為、ホスト名などは伏せております ホスト・スキャン Vulnerability Scanning Service スキャン結果 Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 22
  23. オープン・ポートでは、該当のコンピュート・インスタンスにて、オープンされているTCP/UDPポートの⼀覧を表⽰します。 Copyright © 2021, Oracle and/or its affiliates. All rights

    reserved. 23 1. TCP/UDPのオープン・ポートを確認 【補⾜説明】︓ 不要なポートまたは意図しないポートがオープンされている場合、 該当サービスを停⽌してポートをクローズすることを推奨します。 ※ 社内検証環境の為、ホスト名などは伏せております ホスト・スキャン 〜 オープン・ポート 〜 Vulnerability Scanning Service スキャン結果
  24. 脆弱性では、該当のコンピュート・インスタンスにて検知された脆弱性の⼀覧をCVE識別番号(CVE ID)で表⽰します。 確認したいCVE IDを選択することで、遵守されていないホスト⼀覧を表⽰します。 1. 確認したい「CVE ID」 をクリック 2. 脆弱性の詳細を確認したい場合

    「CVE ID」をクリック Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 24 【補⾜説明】︓ 「脆弱性が悪⽤される可能性」および「悪⽤された際の影響度」 などを鑑み、セキュリティ対策することを推奨します。 3. 脆弱性の詳細については、NIST NVD での確認となります ※ 社内検証環境の為、ホスト名などは伏せております ホスト・スキャン 〜 脆弱性 〜 Vulnerability Scanning Service スキャン結果
  25. CISベンチマークでは、CISベンチマークの「5. Access, Authentication and Authorization」にある「SSH Server Configuration」の 定義に対する遵守結果を表⽰します。 【補⾜説明】︓ スキャン結果の「失敗」については、ご利⽤のシステム環境を鑑みセキュリティ設定

    が必要と考えられる項⽬に対して、設定値を修正することを推奨します。 ホスト・スキャン 〜 CISベンチマーク 〜 Vulnerability Scanning Service スキャン結果 Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 25 1. スキャン結果(合格/失敗)を確認 2. スキャン結果を修正する場合、 CISベンチマークを参考に修正して下さい
  26. ポート・スキャンでは、コンパートメント配下にあるすべてのコンピュータ・インスタンスにてオープンされているポート数を表⽰します。 オープンされているTCP/UDPポートの番号を確認する場合、該当のコンピュート・インスタンスを選択します。 Copyright © 2021, Oracle and/or its affiliates. All

    rights reserved. 26 1. 「ポート・スキャン」をクリック 2. 各コンピュータ・インスタンスのポート・スキャン結果 を確認したい場合、該当のホスト名をクリック 【補⾜説明】︓ 「ターゲットの設定」画⾯にて、「コンパートメントおよびサブコンパートメントに あるすべてのコンピュート・インスタンス」を選択した際の結果となります。 対象のコンピュート・インスタンスのみ表⽰させたい場合、「コンパートメントの 選択したコンピュート・インスタンス」を選択して下さい。 ※ 社内検証環境の為、ホスト名などは伏せております ポート・スキャン Vulnerability Scanning Service スキャン結果
  27. オープン・ポートでは、該当のコンピュート・インスタンスにてオープンされているTCP/UDPポートの⼀覧が表⽰します。 1. TCP/UDPのオープン・ポートを確認 Copyright © 2021, Oracle and/or its affiliates.

    All rights reserved. 27 【補⾜説明】︓ 不要なポートまたは意図しないポートがオープンされている場合、 該当サービスを停⽌してポートをクローズすることを推奨します。 ※ 社内検証環境の為、ホスト名などは伏せております ポート・スキャン Vulnerability Scanning Service スキャン結果
  28. 脆弱性レポートでは、コンパートメント配下にあるすべてのコンピュータ・インスタンスにて検知された脆弱性の⼀覧をCVE識別番号 (CVE ID)で表⽰します。確認したいCVE IDを選択することで、遵守されていないホスト⼀覧を表⽰します。 1. 「脆弱性レポート」をクリック 2. 確認したい「CVE ID」 をクリック

    3. 脆弱性の詳細を確認したい場合 「CVE ID」をクリック Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 28 ※ 社内検証環境の為、ホスト名などは伏せております 脆弱性レポート Vulnerability Scanning Service スキャン結果
  29. NIST NVDにて、当該脆弱性の内容を把握します。 「Current Description」で脆弱性の内容、且つ「Severity(CVSS Ver3.x or 2.0)」のBase Scoreで脆弱性の影響度を確認します。 それらの情報および現状のシステム環境を鑑みたうえで、セキュリティ対策の実施を検討します。 脆弱性レポート

    Vulnerability Scanning Service スキャン結果 Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 29 【補⾜説明】︓ 「脆弱性が悪⽤される可能性」および「悪⽤された際の影響度」 などを鑑み、セキュリティ対策することを推奨します。 3. 脆 弱 性 の 詳 細 に つ い て は 、 NIST NVDのサイトで確認
  30. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定⼿順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 3. Vulnerability Scanning Service スキャン結果 📌 ホスト・スキャン結果 📌 ポート・スキャン結果 📌 脆弱性レポート 4. Cloud Guardとの連携 5. まとめ 📌 Vulnerability Scanning Serviceと3rd Party Scanning Toolとの⽐較 📌 利⽤ユースケース 📌 参考サイト Agenda Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 30
  31. 31 Copyright © 2021, Oracle and/or its affiliates. All rights

    reserved. Cloud Guardを有効化している場合、VSSのスキャン結果をCloud Guardで確認することができます。 Cloud Guardのディテクタ・レシピにてVSSのスキャン結果が表⽰される設定になっているかを確認します。 ※ Cloud Guardの有効化および設定・操作⽅法については、P.35 「参考資料︓Cloud Guard設定・操作ガイド」に記載しているサイトを確認下さい 【補⾜説明】︓ デフォルト設定値は、「有効」で設定されております。 2. ステータスが「有効」になっていることを確認。 無効の場合は、有効に変更。 1. ディテクタ・ルールでフィルタに「scan」と⼊⼒し、 VSSに関するディテクタ・ルールを表⽰させる ” Scanned host has vulnerabilities ” ” Scanned host has open ports ” ※ 社内検証環境の為、ホスト名などは伏せております ディテクタ・レシピを確認 Cloud Guardとの連携
  32. Cloud Guardでは、VSSのスキャン結果である「Scanned host has vulnerabilities」および「Scanned host has open ports」 を確認できます。

    Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 32 ※ 社内検証環境の為、ホスト名などは伏せております 1. 「問題」をクリック 3. フィルタで「ラベル」を選択し、 「VSS」と⼊⼒。 【補⾜説明】︓ 其々の問題名は、以下の検知内容となります。 ü Scanned host has vulnerabilities︓ 脆弱性レポート ü Scanned host has open ports ︓ オープン・ポート 4. 確認したいスキャン結果をクリック 2. 対象コンパートメントを選択 VSSのスキャン結果を確認 Cloud Guardとの連携
  33. Scanned host has open portsでは、該当のコンピュート・インスタンスにて、オープンされているTCP/UDPポート番号を表⽰します。 ポート番号に紐づくサービス名を確認したい場合、VSSの管理画⾯より詳細結果を確認します。 1. TCP/UDPのオープン・ポートを確認 【補⾜説明】︓ リソース名の表⽰ですが、VSSのターゲット設定でコンパートメントを指定

    した場合、コンパートメント名で表⽰されます。 VSSのターゲット設定で特定のコンピュート・インスタンスを指定した場合 コンピュート・インスタンス名が表⽰されます。 Scanned host has open ports(オープン・ポート) Cloud Guardとの連携 Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 33
  34. Scanned host has vulnerabilitiesでは、該当のコンピュート・インスタンスにて検知された脆弱性をCVE識別番号(CVE ID)で表⽰ します。 CVE識別番号(CVE ID)の脆弱性を確認したい場合、VSSの管理画⾯より詳細結果を確認します。 【補⾜説明】︓ リソース名の表⽰ですが、VSSのターゲット設定でコンパートメントを指定

    した場合、コンパートメント名で表⽰されます。 VSSのターゲット設定で特定のコンピュート・インスタンスを指定した場合 コンピュート・インスタンス名が表⽰されます。 1. 検出されたCVE識別番号(CVE ID) を確認 Scanned host has vulnerabilities(脆弱性レポート) Cloud Guardとの連携 Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 34
  35. 【Cloud Guard設定・操作ガイド 〜 ⽬次 〜】 参考資料︓ Cloud Guard設定・操作ガイド 【Speaker Deck】

    Cloud Guardとの連携 Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 35 URL: https://speakerdeck.com/oracle4engineer/cloud-guardshe-ding-cao-zuo-gaido 19 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard設定⼿順 システム構成図︓ Tenancy Target1/Compartment Object Storage Block Storage Buckets Database System VCN Instance Object Storage Block Storage Buckets Database System VCN Instance Target2/Compartment Cloud Guard 前提条件︓ 本資料にOCIの管理権限を持つユーザーを利⽤し、Cloud Guardの設定⼿順とユースケースを作成する。 補⾜︓ 参照のみのユーザーやコンパートメント単位で管理ユーザーを作成したいなどユーザーごとにアクセス制御の設定を追加したい場合はドキュメントのポリシーのユース ケースを参考にして下さい ドキュメント︓ https://docs.cloud.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm 前提条件と構成図 23 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard設定⼿順 Cloud Guardを有効化 ①「ポリシー作成」をクリック ②ポリシーが追加済と表⽰され、 「次」をクリック Cloud Guardを有効化 • クラウド・ガード・ポリシーを作成 26 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard設定⼿順 ディテクタ・レシピをクローン ①「ディテクタ・レシピ」をクリック ②「クローン」をクリック ③クローニング︓「OCI Configuration Detector Recipe」を選択 名前︓任意 コンパートメントの割当て︓監視先を選択 ④「クローン」をクリック ディテクタ・レシピをクローン • クラウド・ガードのコンソールに構成ディテクタ・レシピをクローン 41 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard設定⼿順 通知の作成 ①「Confirm subscription」をクリック ②Subscription confirmed のページがブラウザに表⽰ Cloud Guardの検知内容を管理者に通知できる様に通知を作成 • 通知先のメールアドレスに通知確認のメールが届く 2.Cloud Guard設定⼿順 49 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard検知シナリオ 検知シナリオⅠ(パブリック・バケットに関するルールを検出) • 検出後、通知先に「Bucket is public」のメールを送信する • ⼿動で作成したターゲットにのレスポンダ・レシピにある「Make Bucket Private」ルールを使い、パブリクのバケットを「Private」に 変更 検知シナリオⅠ • 作成したターゲットの構成ディテクタ・レシピにある「Bucket is public」というパブリック・バケットに関するルールを検出 60 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard検知シナリオ 検知シナリオⅡ(Route Tableに関するルールを検出) • 検出後、⼿動で作成したターゲットにのレスポンダ・レシピにある「Disable IAM User」ルールを使い、Route Tableを修正した ユーザーをDisableする 検知シナリオⅠ • 作成したターゲットにのアクテビティ・ディテクタ・レシピにある「VCN Route Table changed」というRoute Tableに関するルールを 検出 66 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard検知シナリオ 検知シナリオⅢ(パブリック・バケットに関するルールを検出し、レスポンダ・レシピで⾃動的に対応) Tenancy Target1/Compartment Object Storage Ashburn Public Buckets Seoul Public Buckets Object Storage ディテクター レスポンダー・レシピ Cloud Guard オペレーター レスポンダがバケットを⾃動的 にプライベートに設定変更 Private Buckets 管理対象リスト 問題を修正するか︖ ⇦YES レスポンダがバケットをプライベート に設定変更 Private Buckets レスポンダー レスポンダー リージョンがSeoulの場合、 ⾃動的に問題を解決 リージョンがSeoulではない場合、 ⼿動で問題を解決 検知シナリオⅢ ① Cloud Guardはディテクタ・レシピを使い、タッゲート内のパブリック・バケットを検知する ② 管理対象リスト内のパブリック・バケットのみをレスポンダ・レシピで⾃動的に対応する 78 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard検知シナリオ Tenancy Target/Compartment instance Ashburn ディテクター 条件グループ 満たす場合 instance instance Cloud Guard オペレーター 問題をあげる 検知シナリオⅣ ① ディテクタ・レシピを修正し、特定インスタンスの終了を検知 例︓ 特定のインスタンスを終了するとディテクタ・レシピは検知・問題をあげる 検知シナリオⅣ(特定インスタンスの終了に関する検出) 3.Cloud Guard検知シナリオ
  36. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定⼿順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 3. Vulnerability Scanning Service スキャン結果 📌 ホスト・スキャン結果 📌 ポート・スキャン結果 📌 脆弱性レポート 4. Cloud Guardとの連携 5. まとめ 📌 Vulnerability Scanning Serviceと3rd Party Scanning Toolとの⽐較 📌 利⽤ユースケース 📌 参考サイト Agenda Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 36
  37. Vulnerability Scanning Serviceと3rd Party Scanning Toolとの⽐較 項⽬ Vulnerability Scanning Service

    3rd Party Scanning Tool 概要 OCIで展開されているコンピュート・インスタンスやコンテナ・イメージに対して、 オラクルで事前定義したチェック項⽬を基に、潜在的な脆弱性がないかを 定期的にスキャンする。 マルチシステム環境に対して、事前定義されたチェック項⽬をユーザーで チューニングし、潜在的な脆弱性がないかスキャンする。 代表的なセルフスキャンツールとして、Nessus※1、Nmap※2などがあります。 検知項⽬ ü オープンされているTCP/UDPポート ü 脆弱性評価 ü CISベンチマーク評価(SSH Server Configuration) ü オープンされているTCP/UDPポート ü 脆弱性評価 ü コンフィグレーションアセスメント ü システムアカウントに関するパスワード設定 等 特徴 事前定義されたスキャン項⽬のチューニングを殆ど必要とせずにスキャンできる 為、専⾨的な知識と経験がなくてもコンピュート・インスタンスに対するセキュリ ティリスクを可視化することができる。 また、Cloud Guardと併⽤することで、俯瞰的にOCIのセキュリティリスクを 把握することが可能である。 事前定義されたスキャン項⽬が多く、且つ柔軟なチューニングにてスキャン する為、網羅的にセキュリティリスクを可視化することができる。脆弱性診断 サービスを提供するセキュリティベンダーで利⽤されていることも多いが、ツール の利⽤には専⾨的な知識と経験が必要となる。 費⽤ 無償 有償 (無償ツールもあり) まとめ Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 37 ※1 https://www.tenable.com/products/nessus ※2 https://nmap.org
  38. 利⽤ユースケース 【ユースケース ①】︓ セキュリティ部⾨による定期的な外部セキュリティベンダーのプラット フォーム診断は実施されているが、情報システム部⾨として能動的に 潜在的な脆弱点がコンピュート・インスタンスに存在するかを把握する為、 VSSにてセルフチェックを実施する。 【効果】︓ OCIに展開するコンピュート・インスタンスの脆弱性を可視化することで “迅速な脆弱性管理(例︓パッチ適⽤の可否)”などが可能となり、

    脆弱性の放置期間が短縮されたことで、セキュリティリスクの低減および プラットフォーム診断結果におけるセキュリティ部⾨からの指摘軽減へと 繋がった。 【対象システム】︓ 外部公開しているコンピュート・インスタンス 【担当部⾨】︓ 情報システム部⾨(インフラ担当) 【ユースケース ②】︓ OCIのセキュリティリスクを可視化する為、クラウドセキュリティポスチャー 管理(CSPM)として機能するCloud Guardにて設定不備および 不正アクティビティを可視化、且つVSSにてコンピュート・インスタンスの 脆弱点を把握し、セキュアなクラウド環境を実現する。 【効果】︓ OCIで展開されているデータベースやコンピュート・インスタンス、ネット ワーク関連、等の設定不備および不正アクティビティ、且つ脆弱点を 可視化することで、“俯瞰的にOCIのセキュリティリスクが把握でき、 迅速にセキュリティ対策を⾏うことが可能”となった。 【対象システム】︓ データベース、コンピュート・インスタンス、ネットワーク関連 【担当部⾨】︓ セキュリティ部⾨(CSIRT担当) まとめ Copyright © 2021, Oracle and/or its affiliates. All rights reserved. 38
  39. 参考サイト まとめ Copyright © 2021, Oracle and/or its affiliates. All

    rights reserved. 39 OCIドキュメント 脆弱性スキャン https://docs.oracle.com/ja-jp/iaas/scanning/home.htm (⽇本語サイト) https://docs.oracle.com/en-us/iaas/scanning/home.htm (英語サイト) ホストを保護するための Oracle Cloud Infrastructureスキャンの有効化 https://docs.oracle.com/ja/solutions/use-oci-vs-scan-host/index.html#GUID-F74EEDEA- 768A-4565-94F8-6C5044BEE977 OCI VSS Create Target Instance Recipe https://www.youtube.com/watch?v=lEQpgk6Fkj0 OCI VSS Scanning Detectors on Cloud Guard https://www.youtube.com/watch?v=X_GeCBV2xDY Cloud Guard設定・操作ガイド https://speakerdeck.com/oracle4engineer/cloud-guardshe-ding-cao-zuo-gaido
  40. None