Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Vulnerability Scanning Service設定・操作ガイド

oracle4engineer
PRO
July 24, 2023
Technology
0
2.3k

Vulnerability Scanning Service設定・操作ガイド

Vulnerability Scanning Service(VSS)に関する機能説明およびVSSの設定・操作に関するガイド付き。機能の拡充などに伴い、資料を更新。

oracle4engineer
PRO

July 24, 2023
Tweet

More Decks by oracle4engineer

See All by oracle4engineer
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
13k
【Oracle Cloud ウェビナー】生成AI対応のデータベースが変える、業務アプリケーション構築のこれから
oracle4engineer
PRO
2
33
OCI Vault 概要
oracle4engineer
PRO
0
9.7k
Data Safeの機能詳細
oracle4engineer
PRO
0
4.8k
OCI Security サービス 概要
oracle4engineer
PRO
0
6.5k
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.2k
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.9k

Other Decks in Technology

See All in Technology
ノーコードデータ分析ツールで体験する時系列データ分析超入門
negi111111
0
410
これまでの計測・開発・デプロイ方法全部見せます! / Findy ISUCON 2024-11-14
tohutohu
3
370
オープンソースAIとは何か? --「オープンソースAIの定義 v1.0」詳細解説
shujisado
9
1k
個人でもIAM Identity Centerを使おう!(アクセス管理編)
ryder472
4
220
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
860
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
1
240
Amplify Gen2 Deep Dive / バックエンドの型をいかにしてフロントエンドへ伝えるか #TSKaigi #TSKaigiKansai #AWSAmplifyJP
tacck
PRO
0
390
AI前提のサービス運用ってなんだろう?
ryuichi1208
8
1.4k
Lambda10周年!Lambdaは何をもたらしたか
smt7174
2
110
BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents
bbrbbq
0
320
Terraform Stacks入門 #HashiTalks
msato
0
360
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
130

Featured

See All Featured
Art, The Web, and Tiny UX
lynnandtonic
297
20k
The Cult of Friendly URLs
andyhume
78
6k
How to Think Like a Performance Engineer
csswizardry
20
1.1k
Designing the Hi-DPI Web
ddemaree
280
34k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.5k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
The Pragmatic Product Professional
lauravandoore
31
6.3k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
47
2.1k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k

Transcript

  1. Vulnerability Scanning Service 設定・操作ガイド 2023年7⽉24⽇ ⽇本オラクル株式会社

  2. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定⼿順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 📌 コンピュート・インスタンスの脆弱性スキャンを有効化 3. Vulnerability Scanning Service スキャン結果 📌 脆弱性レポート 📌 スキャン・レポート 4. Cloud Guardとの連携 5. まとめ Agenda Copyright © 2023, Oracle and/or its affiliates. 2

  3. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定⼿順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 📌 コンピュート・インスタンスの脆弱性スキャンを有効化 3. Vulnerability Scanning Service スキャン結果 📌 脆弱性レポート 📌 スキャン・レポート 4. Cloud Guardとの連携 5. まとめ Agenda Copyright © 2023, Oracle and/or its affiliates. 3

  4. ホストに潜在的な脆弱性がないかを調査 サービス概要 n Vulnerability Scanning Service(以下、VSS)は リージョナルサービス※1 として、コンピュート・インスタンスや コンテナ・イメージに潜在的な脆弱性がないかを定期的に スキャン

    n 以下の脆弱性についてスキャン ü TCP/UDPのオープンポート ü CVE※2 に基づいた脆弱性 ü CISベンチマークに基づいた設定状況 n コンピュート・インスタンスにプリインストールされている Oracle Cloudエージェントで実施 n 調査対象となるOS ü Oracle Linux, CentOS, Ubuntu, Windows n 検知されたリスクをCloud Guardへ通知 n 無償で利⽤可能 n Qualys VMDRライセンスを使⽤している企業は、Qualys Cloudエージェントを利⽤したスキャンが可能※3 Copyright © 2023, Oracle and/or its affiliates. 4 ※1 コンピュート・インスタンスがリージョン毎に存在する場合、リージョン毎にVSSを設定 ※2 http://cve.mitre.org/index.html ※3 https://www.qualys.com/docs/qualys-cloud-platform-oci-onboarding-guide.pdf Vulnerability Scanning Service 概要

  5. スキャンするポート Vulnerability Scanning Service 概要 Copyright © 2023, Oracle and/or

    its affiliates. 5 ポート・スキャンでは、スキャンレベルを軽量(上位100ポート)または標準(上位1000ポート)より選択したうえで実施します。 オプション ポート番号 軽量 7, 9, 13, 21-23, 25-26, 37, 53, 79-81, 88, 106, 110-111, 113, 119, 135, 139, 143-144, 179, 199, 389, 427, 443-445, 465, 513-515, 543-544, 548, 554, 587, 631, 646, 873, 990, 993, 995, 1025-1029, 1110, 1433, 1720, 1723, 1755, 1900, 2000-2001, 2049, 2121, 2717, 3000, 3128, 3306, 3389, 3986, 4899, 5000, 5009, 5051, 5060, 5101, 5190, 5357, 5432, 5631, 5666, 5800, 5900, 6000-6001, 6646, 7070, 8000, 8008-8009, 8080-8081, 8443, 8888, 9100, 9999-10000, 32768, 49152-49157 標準 1, 3-4, 6-7, 9, 13, 17, 19-26, 30, 32-33, 37, 42-43, 49, 53, 70, 79-85, 88-90, 99-100, 106, 109-111, 113, 119, 125, 135, 139, 143-144, 146, 161, 163, 179, 199, 211-212, 222, 254-256, 259, 264, 280, 301, 306, 311, 340, 366, 389, 406-407, 416-417, 425, 427, 443-445, 458, 464-465, 481, 497, 500, 512-515, 524, 541, 543-545, 548, 554-555, 563, 587, 593, 616-617, 625, 631, 636, 646, 648, 666-668, 683, 687, 691, 700, 705, 711, 714, 720, 722, 726, 749, 765, 777, 783, 787, 800-801, 808, 843, 873, 880, 888, 898, 900-903, 911-912, 981, 987, 990, 992-993, 995, 999-1002, 1007, 1009-1011, 1021-1100, 1102, 1104- 1108, 1110-1114, 1117, 1119, 1121-1124, 1126, 1130-1132, 1137-1138, 1141, 1145, 1147-1149, 1151-1152, 1154, 1163-1166, 1169, 1174-1175, 1183, 1185-1187, 1192, 1198-1199, 1201, 1213, 1216-1218, 1233-1234, 1236, 1244, 1247-1248, 1259, 1271-1272, 1277, 1287, 1296, 1300-1301, 1309-1311, 1322, 1328, 1334, 1352, 1417, 1433-1434, 1443, 1455, 1461, 1494, 1500-1501, 1503, 1521, 1524, 1533, 1556, 1580, 1583, 1594, 1600, 1641, 1658, 1666, 1687-1688, 1700, 1717-1721, 1723, 1755, 1761, 1782-1783, 1801, 1805, 1812, 1839-1840, 1862-1864, 1875, 1900, 1914, 1935, 1947, 1971-1972, 1974, 1984, 1998-2010, 2013, 2020-2022, 2030, 2033-2035, 2038, 2040-2043, 2045-2049, 2065, 2068, 2099-2100, 2103, 2105-2107, 2111, 2119, 2121, 2126, 2135, 2144, 2160-2161, 2170, 2179, 2190-2191, 2196, 2200, 2222, 2251, 2260, 2288, 2301, 2323, 2366, 2381-2383, 2393-2394, 2399, 2401, 2492, 2500, 2522, 2525, 2557, 2601-2602, 2604-2605, 2607-2608, 2638, 2701-2702, 2710, 2717-2718, 2725, 2800, 2809, 2811, 2869, 2875, 2909-2910, 2920, 2967-2968, 2998, 3000-3001, 3003, 3005-3007, 3011, 3013, 3017, 3030-3031, 3052, 3071, 3077, 3128, 3168, 3211, 3221, 3260-3261, 3268-3269, 3283, 3300-3301, 3306, 3322-3325, 3333, 3351, 3367, 3369-3372, 3389-3390, 3404, 3476, 3493, 3517, 3527, 3546, 3551, 3580, 3659, 3689-3690, 3703, 3737, 3766, 3784, 3800-3801, 3809, 3814, 3826-3828, 3851, 3869, 3871, 3878, 3880, 3889, 3905, 3914, 3918, 3920, 3945, 3971, 3986, 3995, 3998, 4000-4006, 4045, 4111, 4125-4126, 4129, 4224, 4242, 4279, 4321, 4343, 4443-4446, 4449, 4550, 4567, 4662, 4848, 4899-4900, 4998, 5000-5004, 5009, 5030, 5033, 5050-5051, 5054, 5060-5061, 5080, 5087, 5100-5102, 5120, 5190, 5200, 5214, 5221-5222, 5225-5226, 5269, 5280, 5298, 5357, 5405, 5414, 5431-5432, 5440, 5500, 5510, 5544, 5550, 5555, 5560, 5566, 5631, 5633, 5666, 5678-5679, 5718, 5730, 5800-5802, 5810-5811, 5815, 5822, 5825, 5850, 5859, 5862, 5877, 5900-5904, 5906-5907, 5910-5911, 5915, 5922, 5925, 5950, 5952, 5959-5963, 5987-5989, 5998-6007, 6009, 6025, 6059, 6100-6101, 6106, 6112, 6123, 6129, 6156, 6346, 6389, 6502, 6510, 6543, 6547, 6565-6567, 6580, 6646, 6666-6669, 6689, 6692, 6699, 6779, 6788-6789, 6792, 6839, 6881, 6901, 6969, 7000-7002, 7004, 7007, 7019, 7025, 7070, 7100, 7103, 7106, 7200-7201, 7402, 7435, 7443, 7496, 7512, 7625, 7627, 7676, 7741, 7777-7778, 7800, 7911, 7920-7921, 7937-7938, 7999-8002, 8007-8011, 8021-8022, 8031, 8042, 8045, 8080-8090, 8093, 8099-8100, 8180-8181, 8192-8194, 8200, 8222, 8254, 8290-8292, 8300, 8333, 8383, 8400, 8402, 8443, 8500, 8600, 8649, 8651-8652, 8654, 8701, 8800, 8873, 8888, 8899, 8994, 9000-9003, 9009-9011, 9040, 9050, 9071, 9080-9081, 9090-9091, 9099-9103, 9110-9111, 9200, 9207, 9220, 9290, 9415, 9418, 9485, 9500, 9502-9503, 9535, 9575, 9593-9595, 9618, 9666, 9876-9878, 9898, 9900, 9917, 9929, 9943-9944, 9968, 9998-10004, 10009-10010, 10012, 10024-10025, 10082, 10180, 10215, 10243, 10566, 10616-10617, 10621, 10626, 10628-10629, 10778, 11110-11111, 11967, 12000, 12174, 12265, 12345, 13456, 13722, 13782-13783, 14000, 14238, 14441-14442, 15000, 15002-15004, 15660, 15742, 16000-16001, 16012, 16016, 16018, 16080, 16113, 16992-16993, 17877, 17988, 18040, 18101, 18988, 19101, 19283, 19315, 19350, 19780, 19801, 19842, 20000, 20005, 20031, 20221-20222, 20828, 21571, 22939, 23502, 24444, 24800, 25734-25735, 26214, 27000, 27352-27353, 27355-27356, 27715, 28201, 30000, 30718, 30951, 31038, 31337, 32768-32785, 33354, 33899, 34571-34573, 35500, 38292, 40193, 40911, 41511, 42510, 44176, 44442-44443, 44501, 45100, 48080, 49152-49161, 49163, 49165, 49167, 49175-49176, 49400, 49999-50003, 50006, 50300, 50389, 50500, 50636, 50800, 51103, 51493, 52673, 52822, 52848, 52869, 54045, 54328, 55055-55056, 55555, 55600, 56737-56738, 57294, 57797, 58080, 60020, 60443, 61532, 61900, 62078, 63331, 64623, 64680, 65000, 65129, 6538 ※ 詳細は、こちらのURL(https://docs.oracle.com/ja-jp/iaas/scanning/using/port-scan.htm)を参照

  6. 脆弱性の情報ソース Vulnerability Scanning Service 概要 Copyright © 2023, Oracle and/or

    its affiliates. 6 脆弱性のスキャンでは、以下の情報ソースに基づいて実施します。アプリケーション、オペレーティングシステムおよびサービスなど脆弱性に ついて調査します。 ※ WindowsのスキャンにはOVALデータが含まれていない為、 Windowsのインスタンスをスキャンする際はご留意下さい

  7. CISベンチマーク Vulnerability Scanning Service 概要 Copyright © 2023, Oracle and/or

    its affiliates. 7 CISベンチマークのスキャンは、「5. Access, Authentication and Authorization」にある「SSH Server Configuration」の 内容に基づいて実施します。 ※ CISベンチマークのスキャンは、Windows未対応となります ※ CISベンチマークについては、こちらのURL(https://learn.cisecurity.org/benchmarks)を参照 5.2.20 Ensure SSH PAM is enabled 5.2.21 Ensure SSH AllowTcpForwarding is disabled 5.2.22 Ensure SSH MaxStartups is configured 5.2.23 Ensure SSH MaxSessions is set to 4 or less 5.2.5 Ensure SSH LogLevel is appropriate 5.2.6 Ensure SSH X11 forwarding is disabled 5.2.7 Ensure SSH MaxAuthTries is set to 4 or less 5.2.8 Ensure SSH IgnoreRhosts is enabled 5.2.9 Ensure SSH HostbasedAuthentication is disabled 5.2.10 Ensure SSH root login is disabled 5.2.11 Ensure SSH PermitEmptyPasswords is disabled 5.2.12 Ensure SSH PermitUserEnvironment is disabled 5.2.13 Ensure only strong Ciphers are used 5.2.14 Ensure only strong MAC algorithms are used 5.2.15 Ensure only strong Key Exchange algorithms are used 5.2.16 Ensure SSH Idle Timeout Interval is configured 5.2.17 Ensure SSH LoginGraceTime is set to one minute or less 5.2.19 Ensure SSH warning banner is configured ※ 2023年7⽉時点 Center for Internet Security

  8. 設定からスキャン結果までの流れ Vulnerability Scanning Service 概要 Copyright © 2023, Oracle and/or

    its affiliates. 8 Administratorグループに所属し ないユーザー(OCI管理者では ないユーザー)がVSSを利⽤す る場合、リソースへアクセスする為 のIAMポリシーを設定します。 エージェント・ベースのスキャン (CVEおよびCISベンチマークに 基づいた調査)を有効にする 為、Oracle Cloudエージェントを コンピュート・インスタンスにデプ ロイする為のスキャン・サービス 権限を付与します。 スキャン対象となるホストに対して、 実施するスキャンの内容(ポート、 エ ー ジ ェ ン ト ・ ベ ー ス ) お よ び スケジュールを設定します。 補⾜︓ ポート・スキャンとエージェント・ ベース・スキャンの両⽅を無効に した場合、 ターゲットはスキャンさ れません。 作成したスキャン・レシピを基に 脆弱性スキャンを⾏うターゲット (コンパートメント、コンピュート・ インスタンス)を設定します。 補⾜︓ ターゲットを作成する前に、1つの スキャン・レシピを設定する必要が あります。 スキャン結果より、オープン・ポート、 OSパッチ適⽤状況、CISベンチ マークなど、コンピュート・インスタン スのセキュリティ脆弱性を特定 します。 スキャン結果は、新しいターゲット の作成後、15分程で表⽰されま すが、最⼤24時間掛かる場合も あります。 1. IAMポリシーの設定 2. ホスト・スキャンに必要な IAMポリシーの設定 3. スキャン・レシピの作成 4. ホスト・ターゲットの作成 5. スキャン結果の表⽰

  9. スキャン結果のイメージ Vulnerability Scanning Service 概要 Copyright © 2023, Oracle and/or

    its affiliates. 9 ホストのスキャン結果(概要) 脆弱性の結果 ポートスキャン結果

  10. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定⼿順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 📌 コンピュート・インスタンスの脆弱性スキャンを有効化 3. Vulnerability Scanning Service スキャン結果 📌 脆弱性レポート 📌 スキャン・レポート 4. Cloud Guardとの連携 5. まとめ Agenda Copyright © 2023, Oracle and/or its affiliates. 10

  11. 作業条件 Vulnerability Scanning Service 設定⼿順 Copyright © 2023, Oracle and/or

    its affiliates. 11 作業条件︓ ü Administratorグループに所属するユーザー(OCI管理者)で実施 ü グローバルIPアドレスを持つコンピュート・インスタンスを対象にOracle Cloudエージェントによるスキャン ü OCIコンソールの⾔語設定を「⽇本語」に設定 参考⽂献︓ https://docs.oracle.com/ja-jp/iaas/scanning/home.htm (⽇本語サイト) https://docs.oracle.com/en-us/iaas/scanning/home.htm (英語サイト) Tenancy(Tokyo DC) Cloud Guard Vulnerability Scanning VCN Compute Compute Compute Compartment システム構成(例)︓

  12. IAMポリシーの設定例 IAMポリシーの設定 Administratorグループに所属しないユーザーがVSSを利⽤する場合 リソースへアクセスする為のIAMポリシーを設定します。 例えば、SecurityAdminsグループのユーザーがSalesAppsコンパート メントに対して、脆弱性スキャン・リソースの作成、更新、削除できるように する場合、以下の設定を⾏います。 具体的なIAMポリシーの設定に関しては、以下URLの「IAMポリシーの スキャン」を参照下さい。 https://docs.oracle.com/ja-jp/iaas/scanning/using/iam-

    policies.htm#iam_policies ホスト・スキャンに必要なIAMポリシー エージェント・ベースのスキャン(CVEやCISベンチマークに基づいた調査) を有効にする場合、Oracle Cloudエージェントをコンピュート・インスタンス にデプロイする為のスキャン・サービス権限を付与します。 例えば、テナンシ全体の全コンピュート・インスタンスに権限を付与する 場合、以下の設定を⾏います。 例えば、特定のコンパートメント内の全コンピュート・インスタンスに権限を 付与する場合、以下の設定を⾏います。 Vulnerability Scanning Service 設定⼿順 Copyright © 2023, Oracle and/or its affiliates. 12 Allow group SecurityAdmins to manage vss-family in compartment SalesApps Allow service vulnerability-scanning-service to manage instances in tenancy Allow service vulnerability-scanning-service to read compartments in tenancy Allow service vulnerability-scanning-service to read vnics in tenancy Allow service vulnerability-scanning-service to read vnic-attachments in tenancy Allow service vulnerability-scanning-service to manage instances in compartment <compartment_name> Allow service vulnerability-scanning-service to read compartments in compartment <compartment_name> Allow service vulnerability-scanning-service to read vnics in compartment <compartment_name> Allow service vulnerability-scanning-service to read vnic-attachments in compartment <compartment_name>

  13. Vulnerability Scanning Serviceを利⽤する為の設定を⾏います。 事前に脆弱性スキャンを⾏いたいコンパートメントを「リスト範囲」から選択しておきます。 1. 「アイデンティティとセキュリティ」 をクリック 2. 「スキャン」をクリック 3.

    「スキャン・レシピの作成」を クリック 【補⾜説明】︓ 初めてVulnerability Scanning Serviceにアクセスした際、 こちらの画⾯が表⽰されます。 Copyright © 2023, Oracle and/or its affiliates. 13 スキャン・レシピの設定 Vulnerability Scanning Service 設定⼿順

  14. コンピュート・インスタンス向けのスキャン・レシピの作成を⾏います。 VSS 1. 「スキャン・レシピ」をクリック 2. 対象コンパートメントを選択 4. 「作成」をクリック スキャン・レシピの設定 Vulnerability

    Scanning Service 設定⼿順 Copyright © 2023, Oracle and/or its affiliates. 14 3. ホストを選択

  15. スキャンしたい内容(ポートスキャンやエージェント・ベースのスキャン)および実施スケジュールの設定を⾏います。 Copyright © 2023, Oracle and/or its affiliates. 15 1.

    「名前」を⼊⼒ 2. 対象コンパートメントを選択 VSS 3. 「パブリックIPポートのスキャン」よりポートの スキャンレベルを選択 5. 「CISベンチマーク・スキャンの有効化」にチェック し、ベンチマークのスキャンレベルを選択 6. 「スケジュール」よりスキャン周期を選択 7. 「スキャン・レシピの作成」をクリック 【補⾜説明】︓ ポート・スキャンとエージェント・ベース・スキャンの両⽅を無効にした場合 レシピに割り当てられたターゲットをスキャンしません。 4. OCIを選択 スキャン・レシピの設定 Vulnerability Scanning Service 設定⼿順

  16. オプションとして、「ファイル・スキャンの有効化」を選択して、サードパーティ・アプリケーションの脆弱性をスキャンも可能です。 ファイル・スキャンでは、「Log4j」 および 「Spring4Shell」に関する脆弱性をチェックしますので、必要の応じて有効化して下さい。 VSS 1. 「ファイル・スキャンの有効化」をチェック 2. スキャンするフォルダを指定(⼊⼒) 3.

    「ファイル・スキャン・スケジュール」より スキャン周期を選択 【補⾜説明】︓ 現在、Windowsに対するファイル・スキャンは使⽤できません。 Copyright © 2023, Oracle and/or its affiliates. 16 スキャン・レシピの設定(補⾜) Vulnerability Scanning Service 設定⼿順

  17. スキャン・レシピが作成され、アクティブになった事を確認します。 【補⾜説明】︓ こちらの「ターゲットの作成」ボタンからスキャン対象のターゲットを 設定することも可能です。 スキャン・レシピの設定 Vulnerability Scanning Service 設定⼿順 Copyright

    © 2023, Oracle and/or its affiliates. 17

  18. コンピュート・インスタンス向けのターゲットの作成を⾏います。 注意︓ ターゲットを作成する前に、1つのスキャン・レシピを設定する必要があります。 ターゲットの設定 Vulnerability Scanning Service 設定⼿順 Copyright ©

    2023, Oracle and/or its affiliates. 18 VSS 1. 「ターゲット」をクリック 2. 対象コンパートメントを選択 4. 「作成」をクリック 3. ホストを選択

  19. スキャン対象とするターゲット(コンパートメントまたはコンピュート)に関する情報を設定します。 以上でVulnerability Scanning Serviceでの設定は完了です。 VSS 7. 「ターゲットの作成」をクリック 1. 「名前」を⼊⼒ 2.

    対象コンパートメントを選択 3. 必要に応じて説明を⼊⼒(任意) 4. 前述で作成したレシピを選択 5. 対象コンパートメントを選択 6. スキャン対象とするターゲットを 「コンパートメント」または「コンピュート・インスタンス」より選択 Copyright © 2023, Oracle and/or its affiliates. 19 該当のコンピュート・インスタンスのみを選択する場合 プルダウンより対象コンピュートを選択 VSS ターゲットの設定 Vulnerability Scanning Service 設定⼿順

  20. スキャン対象に設定したコンピュートのOracle Cloudエージェントを選択して、「脆弱性スキャン」のプラグインを有効化します。 しばらくするとスキャン結果が表⽰されます。以降は設定したスケジュールの周期で調査を⾏います。 注意︓反映までに数分掛かることがあります。 1. 「Oracle Cloudエージェント」をクリック 2. 脆弱性スキャンを「有効」に変更 【補⾜説明】︓

    スキャンがうまく実施されない場合、「メッセージ」欄にエラー内容 が表⽰されますので、ご確認下さい。 Copyright © 2023, Oracle and/or its affiliates. 20 ※ 社内検証環境の為、ホスト名などは伏せております コンピュート・インスタンスの脆弱性スキャンを有効化 Vulnerability Scanning Service 設定⼿順

  21. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定⼿順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 📌 コンピュート・インスタンスの脆弱性スキャンを有効化 3. Vulnerability Scanning Service スキャン結果 📌 脆弱性レポート 📌 スキャン・レポート 4. Cloud Guardとの連携 5. まとめ Agenda Copyright © 2023, Oracle and/or its affiliates. 21

  22. スキャン結果の⾒⽅ 脆弱性レポート 脆弱性のスキャン結果をCVE識別番号(CVE ID)の⼀覧より確認 する際に利⽤します。CVE IDを選択することで脆弱性のあるコンピュート・ インスタンスを割り出すことが可能です。 📌 CVE IDを基に脆弱性のあるコンピュート・インスタンスを識別

    スキャンレポート ホスト、ポート、コンテナ・イメージの観点でスキャン結果を確認する際に 利⽤します。該当するコンピュート・インスタンスやコンテナ・イメージに 対して網羅的に脆弱性を確認することが可能です。 📌 脆弱性の識別 📌 オープン・ポートの識別 Vulnerability Scanning Service スキャン結果 Copyright © 2023, Oracle and/or its affiliates. 22 VSS VSS VSS

  23. 脆弱性レポートでは、コンパートメント配下にあるすべてのコンピュータ・インスタンスにて検知された脆弱性の⼀覧をCVE識別番号 (CVE ID)で表⽰します。確認したいCVE IDを選択することで、脆弱性のあるコンピュータ・インスタンスの⼀覧を表⽰します。 VSS 1. 「脆弱性レポート」をクリック 2. 確認したい「CVE ID」

    をクリック 3. 脆弱性の詳細を確認したい場合 「CVE ID」をクリック 検索したいリスク・レベルで整理する事も可能 デフォルトでは「すべて」が選択済み 23 Copyright © 2023, Oracle and/or its affiliates. ※ 社内検証環境の為、ホスト名などは伏せております 脆弱性レポート Vulnerability Scanning Service スキャン結果

  24. NIST NVDにて、当該脆弱性の内容を把握します。 「Description」で脆弱性の概要、且つ「Severity(CVSS Ver3.x or 2.0)」のBase Scoreで脆弱性の影響度を確認します。 それらの情報および現状のシステム環境を鑑みたうえで、セキュリティ対策の実施を検討します。 【補⾜説明】︓ 「脆弱性が悪⽤される可能性」および「悪⽤された際の影響度」

    などを鑑み、セキュリティ対策することを推奨します。 脆弱性レポート Vulnerability Scanning Service スキャン結果 Copyright © 2023, Oracle and/or its affiliates. 24 3. 脆弱性の詳細については、NIST NVD のサイトで確認

  25. スキャン・レポートでは、コンパートメント配下にあるすべてのコンピュータ・インスタンスに関する結果を表⽰します。スキャン・レポートの トップ画⾯では、問題として検出された件数を表⽰します。 VSS 1. 「スキャン・レポート」をクリック 3. 各コンピュータ・インスタンスの脆弱性を確認 したい場合、該当のホスト名をクリック 2. ホストを選択

    VSS 1. 「スキャン・レポート」をクリック 3. 各コンピュータ・インスタンスのオープンポートを 確認したい場合、該当のホスト名をクリック 2. ポートを選択 スキャン・レポート Vulnerability Scanning Service スキャン結果 Copyright © 2023, Oracle and/or its affiliates. 25 ※ 社内検証環境の為、ホスト名などは伏せております

  26. 前ページの画⾯(ホストを選択)より、該当のコンピュート・インスタンスにおける“オープン・ポート”、“脆弱性”、“CISベンチマーク”の スキャン結果について、詳細に確認することができます。 「オープン・ポート」のスキャン結果 「CISベンチマーク」をスキャン結果 「脆弱性」のスキャン結果 1. 「リソース」より確認したい項⽬をクリック Copyright © 2023,

    Oracle and/or its affiliates. 26 ※ 社内検証環境の為、ホスト名などは伏せております スキャン・レポート Vulnerability Scanning Service スキャン結果

  27. オープン・ポートでは、該当のコンピュート・インスタンスにてオープンされているTCP/UDPポートの⼀覧を表⽰します。 2. TCP/UDPのオープン・ポートを確認 【補⾜説明】︓ 不要なポートまたは意図しないポートがオープンされている場合、 該当サービスを停⽌してポートをクローズすることを推奨します。 Copyright © 2023, Oracle

    and/or its affiliates. 27 ※ 社内検証環境の為、ホスト名などは伏せております 1. 「オープン・ポート」をクリック スキャン・レポート 〜 オープン・ポート 〜 Vulnerability Scanning Service スキャン結果

  28. 脆弱性では、該当のコンピュート・インスタンスにて検知された脆弱性の⼀覧をCVE識別番号(CVE ID)で表⽰します。 検出された原因などは、該当のCVE IDにて「問題の説明」や「原因および修正」より確認できます。 Copyright © 2023, Oracle and/or its

    affiliates. 28 ※ 社内検証環境の為、ホスト名などは伏せております 1. 「脆弱性」をクリック 2. 「さらに表⽰」 をクリック 3. 「詳細の表⽰」 をクリック スキャン・レポート 〜 脆弱性 〜 Vulnerability Scanning Service スキャン結果

  29. また、確認したいCVE IDを選択し、脆弱性の詳細を確認します。 Copyright © 2023, Oracle and/or its affiliates. 29

    ※ 社内検証環境の為、ホスト名などは伏せております 1. 「脆弱性」をクリック 2. 確認したい「CVE ID」 をクリック 3. 脆弱性の詳細を確認したい場合 「CVE ID」をクリック スキャン・レポート 〜 脆弱性 〜 Vulnerability Scanning Service スキャン結果

  30. NIST NVDにて、当該脆弱性の内容を把握します。 「Description」で脆弱性の概要、且つ「Severity(CVSS Ver3.x or 2.0)」のBase Scoreで脆弱性の影響度を確認します。 それらの情報および現状のシステム環境を鑑みたうえで、セキュリティ対策の実施を検討します。 【補⾜説明】︓ 「脆弱性が悪⽤される可能性」および「悪⽤された際の影響度」

    などを鑑み、セキュリティ対策することを推奨します。 スキャン・レポート 〜 脆弱性 〜 Vulnerability Scanning Service スキャン結果 Copyright © 2023, Oracle and/or its affiliates. 30 3. 脆弱性の詳細については、NIST NVD のサイトで確認

  31. CIS ベ ン チ マ ー ク で は 、

    CIS ベ ン チ マ ー ク の 「 5. Access, Authentication and Authorization 」 に あ る 「 SSH Server Configuration」の定義に対する遵守結果を表⽰します。 【補⾜説明】︓ スキャン結果の「失敗」については、ご利⽤のシステム環境を鑑み セキュリティ設定が必要と考えられる項⽬に対して、設定値を修正 することを推奨します。 1. スキャン結果(合格/失敗)を確認 2. スキャン結果を修正する場合、 CISベンチマークを参考に修正して下さい スキャン・レポート 〜 CISベンチマーク 〜 Vulnerability Scanning Service スキャン結果 Copyright © 2023, Oracle and/or its affiliates. 31

  32. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定⼿順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 📌 コンピュート・インスタンスの脆弱性スキャンを有効化 3. Vulnerability Scanning Service スキャン結果 📌 脆弱性レポート 📌 スキャン・レポート 4. Cloud Guardとの連携 5. まとめ Agenda Copyright © 2023, Oracle and/or its affiliates. 32

  33. 33 Copyright © 2023, Oracle and/or its affiliates. Cloud Guardを有効化している場合、VSSのスキャン結果をCloud

    Guardで確認することができます。 Cloud Guardの構成ディテクタ・レシピにてVSSのスキャン結果が表⽰される設定になっていることを確認します。 ※ Cloud Guardの有効化および設定・操作⽅法については、P.37 「参考資料︓Cloud Guard設定・操作ガイド」に記載しているサイトをご確認下さい 【補⾜説明】︓ デフォルトは、「有効」で設定されております。 2. ステータスが「有効」になっていることを確認。 無効の場合は、有効に変更。 1. ディテクタ・ルールでフィルタに「scan」と⼊⼒し、VSSに関するディテクタ・ルールを 表⽰させる ” Scanned host has vulnerabilities ” ” Scanned host has open ports ” “ Scanned container image has vulnerabilities” ※ 社内検証環境の為、ホスト名などは伏せております 構成ディテクタ・レシピを確認 Cloud Guardとの連携

  34. 34 Copyright © 2023, Oracle and/or its affiliates. Cloud Guardでは、VSSのスキャン結果(例︓コンピュート・インスタンスを対象)である「Scanned

    host has vulnerabilities」 および「Scanned host has open ports」を確認できます。 VSS ※ 社内検証環境の為、ホスト名などは伏せております 1. 「問題」をクリック 3. フィルタで「ラベル」を選択し、 「VSS」と⼊⼒。 【補⾜説明】︓ コンピュート・インスタンスに関する問題は、以下の検知内容となります。 ü Scanned host has vulnerabilities︓ 脆弱性レポート ü Scanned host has open ports ︓ オープン・ポート 4. 確認したいスキャン結果をクリック 2. 対象コンパートメントを選択 VSSのスキャン結果を確認 Cloud Guardとの連携

  35. Scanned host has open portsでは、該当のコンピュート・インスタンスにて、オープンされているTCP/UDPポート番号を表⽰します。 ポート番号に紐づくサービス名を確認したい場合、VSSの管理画⾯より詳細結果を確認します。 1. TCP/UDPのオープン・ポートを確認 Scanned host

    has open ports(オープン・ポート) Cloud Guardとの連携 Copyright © 2023, Oracle and/or its affiliates. 35

  36. Scanned host has vulnerabilitiesでは、該当のコンピュート・インスタンスにて検知された脆弱性をCVE IDで表⽰します。 CVE IDの脆弱性を確認したい場合、VSSの管理画⾯より詳細結果を確認します。 1. 検知されたCVE IDを確認

    Scanned host has vulnerabilities(脆弱性レポート) Cloud Guardとの連携 Copyright © 2023, Oracle and/or its affiliates. 36

  37. 【Cloud Guard設定・操作ガイド 〜 ⽬次 〜】 Cloud Guard設定・操作ガイド 【Speaker Deck】 まとめ

    Copyright © 2023, Oracle and/or its affiliates. 37 URL: https://speakerdeck.com/oracle4engineer/cloud-guardshe-ding-cao-zuo-gaido 19 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard設定⼿順 システム構成図︓ Tenancy Target1/Compartment Object Storage Block Storage Buckets Database System VCN Instance Object Storage Block Storage Buckets Database System VCN Instance Target2/Compartment Cloud Guard 前提条件︓ 本資料にOCIの管理権限を持つユーザーを利⽤し、Cloud Guardの設定⼿順とユースケースを作成する。 補⾜︓ 参照のみのユーザーやコンパートメント単位で管理ユーザーを作成したいなどユーザーごとにアクセス制御の設定を追加したい場合はドキュメントのポリシーのユース ケースを参考にして下さい ドキュメント︓ https://docs.cloud.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm 前提条件と構成図 23 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard設定⼿順 Cloud Guardを有効化 ①「ポリシー作成」をクリック ②ポリシーが追加済と表⽰され、 「次」をクリック Cloud Guardを有効化 • クラウド・ガード・ポリシーを作成 26 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard設定⼿順 ディテクタ・レシピをクローン ①「ディテクタ・レシピ」をクリック ②「クローン」をクリック ③クローニング︓「OCI Configuration Detector Recipe」を選択 名前︓任意 コンパートメントの割当て︓監視先を選択 ④「クローン」をクリック ディテクタ・レシピをクローン • クラウド・ガードのコンソールに構成ディテクタ・レシピをクローン 41 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard設定⼿順 通知の作成 ①「Confirm subscription」をクリック ②Subscription confirmed のページがブラウザに表⽰ Cloud Guardの検知内容を管理者に通知できる様に通知を作成 • 通知先のメールアドレスに通知確認のメールが届く 2.Cloud Guard設定⼿順 49 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard検知シナリオ 検知シナリオⅠ(パブリック・バケットに関するルールを検出) • 検出後、通知先に「Bucket is public」のメールを送信する • ⼿動で作成したターゲットにのレスポンダ・レシピにある「Make Bucket Private」ルールを使い、パブリクのバケットを「Private」に 変更 検知シナリオⅠ • 作成したターゲットの構成ディテクタ・レシピにある「Bucket is public」というパブリック・バケットに関するルールを検出 60 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard検知シナリオ 検知シナリオⅡ(Route Tableに関するルールを検出) • 検出後、⼿動で作成したターゲットにのレスポンダ・レシピにある「Disable IAM User」ルールを使い、Route Tableを修正した ユーザーをDisableする 検知シナリオⅠ • 作成したターゲットにのアクテビティ・ディテクタ・レシピにある「VCN Route Table changed」というRoute Tableに関するルールを 検出 66 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard検知シナリオ 検知シナリオⅢ(パブリック・バケットに関するルールを検出し、レスポンダ・レシピで⾃動的に対応) Tenancy Target1/Compartment Object Storage Ashburn Public Buckets Seoul Public Buckets Object Storage ディテクター レスポンダー・レシピ Cloud Guard オペレーター レスポンダがバケットを⾃動的 にプライベートに設定変更 Private Buckets 管理対象リスト 問題を修正するか︖ ⇦YES レスポンダがバケットをプライベート に設定変更 Private Buckets レスポンダー レスポンダー リージョンがSeoulの場合、 ⾃動的に問題を解決 リージョンがSeoulではない場合、 ⼿動で問題を解決 検知シナリオⅢ ① Cloud Guardはディテクタ・レシピを使い、タッゲート内のパブリック・バケットを検知する ② 管理対象リスト内のパブリック・バケットのみをレスポンダ・レシピで⾃動的に対応する 78 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Oracle Cloud Guard検知シナリオ Tenancy Target/Compartment instance Ashburn ディテクター 条件グループ 満たす場合 instance instance Cloud Guard オペレーター 問題をあげる 検知シナリオⅣ ① ディテクタ・レシピを修正し、特定インスタンスの終了を検知 例︓ 特定のインスタンスを終了するとディテクタ・レシピは検知・問題をあげる 検知シナリオⅣ(特定インスタンスの終了に関する検出) 3.Cloud Guard検知シナリオ

  38. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定⼿順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 📌 コンピュート・インスタンスの脆弱性スキャンを有効化 3. Vulnerability Scanning Service スキャン結果 📌 脆弱性レポート 📌 スキャン・レポート 4. Cloud Guardとの連携 5. まとめ Agenda Copyright © 2023, Oracle and/or its affiliates. 38

  39. Vulnerability Scanning Serviceと3rd Party Scanning Toolとの⽐較 項⽬ Vulnerability Scanning Service

    3rd Party Scanning Tool 概要 OCIで展開されているコンピュート・インスタンスやコンテナ・イメージに対して、 オラクルで事前定義したチェック項⽬を基に、潜在的な脆弱性がないかを 定期的にスキャンする。 マルチシステム環境に対して、事前定義されたチェック項⽬をユーザーで チューニングし、潜在的な脆弱性がないかスキャンする。 代表的なセルフスキャンツールとして、Nessus※1、Nmap※2などがあります。 検知項⽬ ü オープンされているTCP/UDPポート ü 脆弱性評価 ü CISベンチマーク評価(SSH Server Configuration) ü オープンされているTCP/UDPポート ü 脆弱性評価 ü コンフィグレーションアセスメント ü システムアカウントに関するパスワード設定 等 特徴 事前定義されたスキャン項⽬のチューニングを殆ど必要とせずにスキャンできる 為、専⾨的な知識と経験がなくてもコンピュート・インスタンスに対するセキュリ ティリスクを可視化することができる。 また、Cloud Guardと併⽤することで、俯瞰的にOCIのセキュリティリスクを 把握することが可能である。 事前定義されたスキャン項⽬が多く、且つ柔軟なチューニングにてスキャン する為、網羅的にセキュリティリスクを可視化することができる。脆弱性診断 サービスを提供するセキュリティベンダーで利⽤されていることも多いが、ツール の利⽤には専⾨的な知識と経験が必要となる。 費⽤ 無償 有償 (無償ツールもあり) まとめ Copyright © 2023, Oracle and/or its affiliates. 39 ※1 https://www.tenable.com/products/nessus ※2 https://nmap.org

  40. 利⽤ユースケース 【ユースケース ①】︓ セキュリティ部⾨による定期的な外部セキュリティベンダーのプラット フォーム診断は実施されているが、情報システム部⾨として能動的に 潜在的な脆弱点がコンピュート・インスタンスに存在するかを把握する為、 VSSにてセルフチェックを実施する。 【効果】︓ OCIに展開するコンピュート・インスタンスの脆弱性を可視化することで “迅速な脆弱性管理(例︓パッチ適⽤の可否)”などが可能となり、

    脆弱性の放置期間が短縮されたことで、セキュリティリスクの低減および プラットフォーム診断結果におけるセキュリティ部⾨からの指摘軽減へと 繋がった。 【対象システム】︓ 外部公開しているコンピュート・インスタンス 【担当部⾨】︓ 情報システム部⾨(インフラ担当) 【ユースケース ②】︓ OCIのセキュリティリスクを可視化する為、クラウドセキュリティポスチャー 管理(CSPM)として機能するCloud Guardにて設定不備および 不正アクティビティを可視化、且つVSSにてコンピュート・インスタンスの 脆弱点を把握し、セキュアなクラウド環境を実現する。 【効果】︓ OCIで展開されているデータベースやコンピュート・インスタンス、ネット ワーク関連、等の設定不備および不正アクティビティ、且つ脆弱点を 可視化することで、“俯瞰的にOCIのセキュリティリスクが把握でき、 迅速にセキュリティ対策を⾏うことが可能”となった。 【対象システム】︓ データベース、コンピュート・インスタンス、ネットワーク関連 【担当部⾨】︓ セキュリティ部⾨(CSIRT担当) まとめ Copyright © 2023, Oracle and/or its affiliates. 40

  41. 参考サイト まとめ Copyright © 2023, Oracle and/or its affiliates. 41

    OCIドキュメント 脆弱性スキャン https://docs.oracle.com/ja-jp/iaas/scanning/home.htm (⽇本語サイト) https://docs.oracle.com/en-us/iaas/scanning/home.htm (英語サイト) ホストを保護するための Oracle Cloud Infrastructureスキャンの有効化 https://docs.oracle.com/ja/solutions/use-oci-vs-scan-host/index.html#GUID- F74EEDEA-768A-4565-94F8-6C5044BEE977 OCI VSS Create Target Instance Recipe https://www.youtube.com/watch?v=lEQpgk6Fkj0 OCI VSS Scanning Detectors on Cloud Guard https://www.youtube.com/watch?v=X_GeCBV2xDY Qualys OCI Vulnerability Scanning Service BYOL https://www.qualys.com/docs/qualys-cloud-platform-oci-onboarding-guide.pdf Cloud Guard設定・操作ガイド https://speakerdeck.com/oracle4engineer/cloud-guardshe-ding-cao-zuo-gaido
  42. None