OCI Technical Deep Dive 2024年10月29日 日本オラクル株式会社 テクノロジー事業統括 Security & Management ソリューション部 プリンシパル・クラウド・エンジニア, CISSP 西村克也 OCI セキュリティ・サービスによる効果的な不正アクセス監視

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 2 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

企業や組織において実施する情報セキュリティ対策の方針や行動指針 情報資産をどのような脅威からどのように守るのかといった基本的な考え方、情報セキュリティを 確保するための体制、運用規定、基本方針、対策基準などを具体的に記載する 準拠するコンプラインスや各種関係団体のガイドラインを参考に策定 情報セキュリティポリシー 3 システム共通の 情報セキュリティポリシー 政府統一基準 FISCガイドライン等 PCIDSS 個人情報保護法 GDPR 情報システム 情報セキュリティ 責任者 システム責任者 オンプレミス クラウド Copyright © 2024, Oracle and/or its affiliates. All rights reserved

NISC 令和5年度 政府機関等のサイバーセキュリティ対策のための統一基準 - 7.1 情報システムセキュリティ要件 から引用 サイバー・セキュリティ要件に対応するOCI機能とサービス 4 要件 目的 遵守事項 (主なポイント) 必須となる 機能・サービス 追加検討 サービス 1 主体認証 機能の導入 アクセス権限のある主体へのなりすま しや脆弱性を悪用した攻撃による 不正アクセス行為を防止する • 主体の識別及び認証機能の導入 • 認証情報の漏えいによる不正行為の防止、 不正な主体認証の試行に対抗するための措置 • すべての主体に識別コード、主体認証情報を付与 し適切に管理する Identity and Access Management (IAM) N/A 2 アクセス 制御機能 取り扱う情報へのアクセスを業務上 必要な主体のみに限定することにより 情報漏えい等のリスクを軽減する • セキュリティ責任者は、情報の格付・取扱制限に 従いアクセス制御の設定等を行う • アクセスを許可する主体が確実に制限されるように アクセス制御機能を適切に運用する IAM Security Zones Network Firewall WAF 3 権限の管理 アクセス権限の不適切な管理に起因 する不正アクセスや管理者権限の 悪用を防止する • アクセス権限を必要最小限に限定 • 管理者権限の主体情報が盗まれた際の被害の 最小化、内部からの不正操作の防止措置 • 不要なアクセス権限の付与がないか定期的に監視 IAM Cloud Guard Data Safe N/A Copyright © 2024, Oracle and/or its affiliates. All rights reserved

サイバー・セキュリティ要件に対応するOCI機能とサービス 5 要件 目的 遵守事項 (主なポイント) 必須となる 機能・サービス 追加検討 サービス 4 ログの取得・ 管理 不正侵入や不正操作等のセキュリ ティ・インシデント及びその予兆を検知 するための重要な材料として活用する • 不正侵入、不正操作等を検証できるログを取得 • 保存期間や改ざん防止など適切な運用管理 • 取得したログを定期的に点検又は分析する Audit Logging Analytics Logging WAF Network Firewall 5 暗号・ 電子署名 情報の漏えい、改ざん等を防ぐための 手段として、情報システムへ適切に 実装する • 要機密情報は、暗号化の有無を検討 • 要保存情報は、電子署名の付与・検証を検討 • 電子政府推奨暗号リストの暗号鍵を使用 デフォルト 暗号化 Vault 6 監視機能 セキュリティ・インシデントや不正利用 の速やかな認知、セキュリティ対策の 実効性の確認のために、適切な監視 機能の実装と運用を行う • 運用管理機能要件を策定し、監視機能を実装 • 情報セキュリティ責任者は、情報システムの監視 機能を適切に運用する • 新たな脅威に備えて、監視の対象や手法を 定期的に見直す Cloud Guard Vulnerability Scanning Instance Security Data Safe Logging Analytics Logging Logging Analytics Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Cloud Guard, Vulnerability Scanning, Data Safe, IAM, Logging Analytics 必須となる基本のセキュリティ・サービス 6 Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN OCI全体の脆弱性を監視 クラウド内の脆弱な設定やユーザーの アクティビティを追跡しリスクをスコアリング アラートや是正処理を自動化 VMの脆弱性・ワークロード監視 パッケージの脆弱性やオープンポート をスキャンし、VM内ワークロードを保護 Vulnerability Scanning Cloud Guard IAM 認証強化・アクセス制御 多要素による認証強化・連携 ポリシーによるアクセス制御 認証ログ 権限管理 ログ 操作 アクセスログ Logging Analytics Auditログの可視化・長期保存 Auditログから不正ログインや疑わしい 操作を監視し、セキュリティ・インシデント を速やかに検知する Audit Data Safe データベースのセキュリティ強化 Oracle Databaseの脆弱な設定や 不正と疑わしいアクセスを検出 Copyright © 2024, Oracle and/or its affiliates. All rights reserved Instance Security

Web Application Firewall, Network Firewall, Security Zones, 追加検討サービス① - アクセス制御を強化するセキュリティ・サービス - 7 Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN with Security Zones WEBアプリケーションを保護 多種多様なサイバー攻撃から WEBサイトを保護する Network Firewall Web Application Firewall 不正なネットワーク通信を監視 インターネットやVCN内の相互通信 から不正なトラフィックを検知し遮断 Security Zones セキュアに保護されたコンパートメント コンパートメントには、セキュリティポリシーの 要件に満たしたリソースしか作成させない Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Vault 追加検討サービス② - 電子・暗号署名を強化するセキュリティ・サービス - 8 Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN 暗号化 Vault ユーザー自身による暗号鍵管理 ストレージ、データベースの暗号化をユーザー 自身が持ち込んだ暗号鍵を使用し管理する 各ストレージサービスはOracle管理に によりデフォルト暗号化されている Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Tokyo Region 各種ログ (Audit, サービス, OS) + Logging Analytics 追加検討サービス③ - ログ取得・管理及び監視を強化する統合ログ分析 - 9 Logging Analytics 認証ログ OS Network Firewall Load Balancer VCN Flow Logs Object Storage等 WAF Middleware Database Application 権限管理 ログ 操作 アクセスログ Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN with Security Zones Management Agent for LA Audit サービス・ログ OS内のログ 統合ログ分析基盤 OCIの様々なログを一元的に集約 セキュリティの観点で不正なアクティビティを 横断的に分析するSIEM的なログ分析基盤 セキュアにログを長期保管 Logging Analyticsに ログをアップロードする エージェンド Logging ログ出力管理 ネットワークやFirewallのログなど 様々なサービスログの出力管理 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Cloud Guard 10 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

クラウド全体の脆弱性を監視 OCIの様々なリソース設定やユーザー操作を 監査ログや設定情報から読み取り、脆弱性を検出し是正する - 各サービスの設定に関連するリスクを診断 - ユーザーやネットワークに関する設定変更など、構築・運用で 発生する様々なアクティビティに対するリスクを診断 - 脅威インテリジェンスと連携し、ユーザーのふるまいを学習し診断 検出された問題へのリスク評価と推奨事項をガイド アラートによる通知だけでなく、自動的に修正するレスポンダ処理 リスク検出ポリシーは、Oracleが提供しメンテナンス テナント内の全リージョン・リソースを評価しスコアリング 基本機能として無償、設定も非常に簡単 Cloud Guard 11 Cloud Guard Vault Scanning VCN, Load Balancer Compute, Storages Databases IAM 問題の検知 アクション実行 リスク評価 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

OCIのセキュリティ状況をスコアリングし、問題を可視化 Cloud Guard 12 Cloud Guardダッシュボード 検出された問題 クリティカルな問題への推奨事項 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

構成ディテクタ・レシピ Cloud Guard 13 ディテクタ・ルール 推奨事項 デフォルト リスク・レベル インスタンスにパブリックIPアドレスがあります すべてのインスタンスへのインターネット・アクセスを許可することは慎重 に検討してください クリティカル データベース・システムにパブリックIPアドレスがあります データベース・システムにパブリックIPアドレスが割り当てられていないこと を確認します クリティカル ユーザーがMFAを有効にしていません Oracle Mobile Authenticatorやワンタイム・パスコード等を使用 して、すべてのユーザーに対してMFAを有効にします クリティカル バケットがパブリックです バケットのパブリック・アクセスが容認されていることを確認し、ポリシーで 制限してアクセスを特定のユーザーのみに許可させます クリティカル スキャンされたホストには脆弱性があります OSパッチを適用するなど、脆弱性ごとにドキュメントに記載されている 推奨アクションを実行します クリティカル VCNセキュリティ・リストでは、すべてのソース(0.0.0.0/0)からの 非パブリック・ポートへのトラフィックが許可されます。 VCNセキュリティ・リストを使用して、サブネット内のインスタンスへの ネットワーク・アクセスを制限します。例えば、コンピュート・インスタンス をインターネット(0.0.0.0/0)に対して公開しない クリティカル VCNセキュリティ・リストにより、制限されたポートへのトラフィックが 許可されます 制限ポートへのアクセス許可がないかセキュリティ・リストを確認します 例) TCP (11,17-19,21,23-25,43,49,53,70-74,79- 81,88,111,123,389,636,445,500,3306,3389,5901,5985,5986,70 01,8000,8080,8443,8888) クリティカル Copyright © 2024, Oracle and/or its affiliates. All rights reserved

脅威モニタリング Cloud Guard 14 OCIの脅威インテリジェンス・サービスと連携し 疑わしいIPアドレスやドメインなど最新の脅威情報を更新 ユーザーのアクティビティ・パターンを機械学習し、ユーザーの リスク・スコアに反映 - 権限が過剰に付与されていないか - セキュリティを低下させる設定をしていないか - 普段とは異なる地域からアクセスしていないか - パスワードを突破しようとする行動をしないか リスクの高いユーザーは、悪質なユーザーとしてマークされ レスポンダの対応する問題として認識される アクセス元のIPアドレスと影響を受けるサービスが明確に なり、何を目的としたアクティビティだったのかトレース可能 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

例) オブジェクト・ストレージのバケットがパブリックに設定変更された場合 Cloud Guard 15 ディテクター 検知ルールのトリガーとして、“バケットがパブリックに変更”された 際に問題として認識（重大度：クリティカル） “バケットがパブリック” (重大度：クリティカル) プログラム 「クラウドイベント」は有効か? => Yes レスポンダー Cloud Guard オペレーター 問題を修正するか？ => Yes レスポンダー レスポンダがバケットを プライベートに設定変更 重大なリスク ユーザーがバケットを パブリックに設定 バケット OCI Events OCI Functions OCI Notifications 「バケットをプライベートにする」が有効か？ => Yes バケット Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Instance Security 16 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

Cloud Guardと連携するワークロード・プロテクション コンピュート・インスタンスやオンプレミス・サーバ内のワークロードを監視し 保護するCSPM(Cloud Security Posture Management) エージェントが定期的にOS内をスキャン - パッケージの脆弱性、オープンポートなどのセキュリティ情報を収集 - OS内の疑わしいプロセスや常駐サービスの監視 - 過剰なログイン失敗や脆弱な設定等のアクテビティを検出 対象OS: Linux, Debian, Windows eBPFによるカーネルレベルでのセキュリティ・イベントを検出 MITRE攻撃フレームワークに準拠したリスク分類 Cloud Guardと連携したOracleマネージドの検出ルール SQLライクのクエリでOSを監視できるosqueryのサポート 用途に応じて選択可能 - Standard (無償) : パッケージの脆弱性、オープンポートの2種類のみ - Enterprise (有償) : 上記に加え、プロセスやサービスなどのアクティビティの監視・保護を含む Instance Security Copyright © 2024, Oracle and/or its affiliates. All rights reserved Windows Cloud Guard Linux Instance Security Instance Security ディテクタ・ルール Instance Security Problem Problem OCI On-Premise 17

Instance Security ディテクタ・ルール Instance Security Copyright © 2024, Oracle and/or its affiliates. All rights reserved 18 ディテクタ・ルール 説明 リスク Win Linux 1 スキャンされたホストに脆弱性があります OS、ライブラリ、アプリケーション等の既知のセキュリティ脆弱性 クリティカル × 〇 2 オープン・ポートでリスニングしているプロセス ネットワーク接続をリスニングしているプロセス クリティカル 〇 〇 3 一時フォルダから作成された疑わしいスケジュール済タスク マルウェアがバックドアを日常的に実行する一般的なメカニズムに対するチェック 高 〇 × 4 一時フォルダから実行されている疑わしいサービス 一時フォルダから実行される疑わしいスケジュール済みタスク 高 〇 × 5 一時フォルダからのプロセスが横移動アクティビティを実行しようとしています 制限された一時領域を超えて横方向/再接続を試みるアクティビティ 高 〇 × 6 過度に失敗したアカウント・ログイン パスワード・スプレーなどの過度なログイン失敗 高 〇 × 7 WMICによる不審なプロセス開始の検出 WMICを利用したスクリプト起動やペイロードのダウンロード等のプロセス 高 〇 × 8 不正なパスによる正当なWindowsプロセスとしてのマスカレード処理 Windowsプロセスになりすました不正なプロセス 高 〇 × 9 Windowsセキュリティ・ルールの無効化 Windowsセキュリティ機能 (windefend)の無効化 高 〇 × 10 リスニング・モードのPuttyプロセス SSHトンネルを作成するためのリスニング・モードのPutty 高 〇 × 11 リスニング・モードのSSHプロセス リスニング・モードのPuttyから、LinuxのSSHトンネルの作成 高 × 〇 12 エージェントがインストールされていないか、期待どおりに実行されていません Cloud Agentが正常に動作していない 高 〇 〇 13 システムプロセス上で可能な逆シェル システム・プロセスで可能なリバース・シェル 高 × 〇 14 ホーム・プロファイルで実行中の不審なcronジョブ マルウェアは、定期的なスケジュール実行のcronジョブを使用してバックドアを準備 中 × 〇 15 疑わしい起動項目が検出されました マルウェアは、再起動時に再度バックドアを実行する起動を使用 中 〇 × 16 Webサーバー・パスが不足している可能性のあるオープンWebシェル・ソケット 外部サーバと不正なリモート制御に使用されるWebシェル 中 〇 ×

検出結果 Instance Security Copyright © 2024, Oracle and/or its affiliates. All rights reserved 19

osquery SQLライクなクエリでOS情報をインタラクティブに検索 - SELECT カラム名 FROM テーブル名 WHEREやJOIN、関数などの複雑な条件を可能にするSQL問い合わせ プロセス, ディスク, デバイス等の200を超える表定義 単体だけでなく、すべてのインスタンスを対象にした横断的なクエリー実行 クエリをお気に入りとして登録し、いつでも再実行 クエリ結果をCSVファイルとしてダウンロード可能 定期的にスケジュール実行し、結果はLoggingサービスに格納 - 頻度 (4h, 6h, 12h,毎日,毎週) OCI CLI, REST APIでのクエリ実行も可能 - oci cloud-guard adhoc-query get - oci cloud-guard adhoc-query-result-collection get-adhoc-query-result-content Instance Security Copyright © 2024, Oracle and/or its affiliates. All rights reserved 20 Host Instance Security Cloud Guard

osqueryのクエリー Instance Security Copyright © 2024, Oracle and/or its affiliates. All rights reserved 21 問い合わせ内容 SQL フィジカル・システム情報 SELECT hostname, cpu_brand, cpu_physical_cores, cpu_logical_cores, physical_memory FROM system_info; ハードウェア変更イベント情報 SELECT * FROM hardware_events; プロセス一覧 SELECT * FROM processes; 特定パーティションの空きスペース SELECT path, ROUND( (10e-10 * blocks_available * blocks_size), 1) AS gb_free, 100 - ROUND ((blocks_available * 1.0 / blocks * 1.0) * 100, 1) AS percent_used, device, type FROM mounts WHERE path = '/'; 疑わしいプロセスを検出 (バイナリがディスクから削除済み) SELECT name, path, pid FROM processes WHERE on_disk = 0; 直近1時間のrootログインを確認 SELECT * FROM last WHERE username = “root" AND time > (( SELECT unix_time FROM time ) - 3600 ); 主要なディスクの暗号化を確認 SELECT * FROM mounts m, disk_encryption d WHERE m.device_alias = d.name AND m.path = "/"AND d.encrypted = 0; CPUを最も使用しているプロセスのTop5 SELECT pid, uid, name, ROUND(((user_time + system_time) / (cpu_time.tsb - cpu_time.itsb)) * 100, 2) AS percentage FROM processes, (SELECT (SUM(user) + SUM(nice) + SUM(system) + SUM(idle) * 1.0) AS tsb,SUM(COALESCE(idle, 0)) + SUM(COALESCE(iowait, 0)) AS itsb FROM cpu_time) AS cpu_time ORDER BY user_time+system_time DESC LIMIT 5; メモリを最も使用しているプロセスのTop10 SELECT pid, name, resident_size from processes order by resident_size desc limit 10;

osqueryの実行例 Instance Security Copyright © 2024, Oracle and/or its affiliates. All rights reserved 22 CPUを最も使用している プロセスのTop5

Network Firewall 23 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

OCIネイティブの次世代ファイアーウォール Network Firewall 24 Network Firewall ✓ ステートフル・ネットワーク・フィルタリング ✓ URLフィルタリング ✓ 不正侵入検知・防止 (IPS/IDS) ✓ SSLインスペクション ✓ ✕ Copyright © 2024, Oracle and/or its affiliates. All rights reserved 不正なトラフィックやマルウェアからOCIネットワークを保護するファイアウォール・サービス Palo Alto Networksの最先端のテクノロジーを活用した脅威検出インテリジェンスを搭載 高可用性を考慮したデプロイメントを数ステップで作成可能 - 4Gbps(デフォルト)から最大25Gbpまで拡張可能なネットワーク帯域 - Active-ActiveのHA構成、 それぞれ別のADにデプロイ Oracleマネージドで提供されるメンテナンスフリーの脅威検出シグネチャ ユーザー要件に応じた様々なファイアウォール・ポリシーの作成 インターネット、閉域網、OCIリージョン間など様々なネットワーク構成に適用が可能 VTAPのミラーパケットを検査するトンネル・インスペクション 主なセキュリティ機能 - ステートフル・ネットワーク・フィルタリング : IPv4/IPv6, ポート, プロトコルに基づくアクセス制御 - URLフィルタリング: ドメインやURLを用いたインバウンド・アウトバウンド通信制限 - 不正侵入検知・防止(IPS/IDS): 最新の脅威インテリジェンスで不正なトラフィックを検出し遮断 - SSLインスペクション: クライアントとサーバー間のHTTPS通信を復号しトラフィックを検査

不正侵入検知・防止(IDS・IPS) 25 Palo Alto Networksの脅威分析エンジンとUnit42 (セキュリティ研究チーム)で構築されたIDS・IPSソリューション 最新の脅威シグネチャと検知メカニズムで脅威を識別 既知の脆弱性の悪用、マルウェア、悪意のあるURL、 スパイウェア、C&C攻撃に対する検知やブロックを行う App-IDテクノロジーを使用してアプリケーション層に対する 不正アクセスから正確に保護 - App-IDは、ポート、プロトコル、暗号化または回避技術に関係なく アプリケーションを正確に識別するPalo Alto独自のトラフィック分類 テクノロジー IDS(不正侵入検知)は、脅威を検出しログ出力のみ IPS(不正侵入防止)は、検知だけでなくトラフィックを切断する Copyright © 2024, Oracle and/or its affiliates. All rights reserved

IDS・IPSルールで不正なトラフィックを検出・遮断 26 VCN Firewall Subnet Subnet Instance Network Firewall Internet Subnet Instance Database インターネットや専用線との境界にNetwork Firewallを 配置し、VNC内のリソースをサイバー攻撃から保護する 同様にマルウェア感染等よるVNC内部からの外向きの 不正なアクセスを未然に防止する VCN Firewall Subnet Subnet Instance Network Firewall Instance Subnet Database VCN Firewall Subnet Network Firewall VNC内のサブネット間やVCN間の通信の保護を目的と した構成など、Network Firewallの配置位置によって 対象のリソースを限定することもできる VCN内の疑わしいアクティビティの監視や情報漏洩対策 としても有用 Copyright © 2024, Oracle and/or its affiliates. All rights reserved

インターネットアクセスを監視する基本的な設定例 27 VCN 172.16.0.0/21 Firewall Subnet 172.16.1.0/24 Internet Gateway Secure Public Subnet 172.16.0.0/24 Instance 172.16.0.1 Network Firewall 172.16.1.100 Destination CIDR Route Target 0.0.0.0/0 172.16.1.100 Internet Destination CIDR Route Target 0.0.0.0/0 IGW ① ② ③ Destination CIDR Route Target 172.16.0.0/24 172.16.1.100 Internet Gateway Route Table Firewall Subnet Route Table Secure Public Route Table ④ ⑤ vNIC0 ① ③ FW ④ ② ⑤ ： インバウンド ： アウトバウンド FW インバウンド・アウトバウンドのトラフィックを Network Firewallに通過させる Copyright © 2024, Oracle and/or its affiliates. All rights reserved

オンプレミスとVCN間のトラフィック監視 Copyright © 2024 Oracle and/or its affiliates. All rights reserved. 28 On-Premises 10.0.0.0/16 Customer Premises Equipment Tokyo Region Hub-VCN 172.16.0.0/21 Firewall Private Subnet 172.16.0.0/24 Network Firewall 172.16.0.101 Destination CIDR Route Target 10.0.0.0/16 DRG Site-to-Site VPN DRG Private Subnet 172.16.1.0/24 Instance Destination CIDR Route Target 10.0.0.0/16 172.16.0.101 VCN Route Table Destination CIDR Route Target 172.16.0.0/21 172.16.0.101 Route Table Route Table

Tokyo Region オンプレミスとVCN間のトラフィック監視 (IPSec-VPN + Hub & Spoke) Copyright © 2024 Oracle and/or its affiliates. All rights reserved. 29 Private Subnet 192.168.1.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Private Subnet 192.168.2.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Hub-VCN 192.168.0.0/24 Firewall Private Subnet 192.168.0.0/24 Network Firewall 192.168.0.105 Destination CIDR Route Target 0.0.0.0/0 DRG VCN Route (インバウンド・ルーティング用) Route Table Route Table Attachment Name Hub-VCN DRG VCN Attachment Destination CIDR Route Target 0.0.0.0/0 192.168.0.105 DRG Route Route Table ( アウトバウンド・ルーティング用) On-Premises 172.16.0.0/21 Customer Premises Equipment Site-to-Site VPN Spoke-VCN 1 192.168.1.0/24 Spoke-VCN 2 192.168.2.0/24 Attachment Name DRG Route Hub-VCN 192.168.1.0/24 → Spoke1-VCN 192.168.2.0/24 -> Spoke2-VCN 172.16.0.0/21 -> IPSec Tunnel Spoke-VCN1 0.0.0.0/0 -> Hub-VCN Spoke-VCN2 0.0.0.0/0 -> Hub-VCN DRG Destination CIDR Route Target 192.168.1.0/24 Hub-VCN 192.168.2.0/24 Hub-VCN IPSec DRG Table

VTAPのミラーパケットを検査するトンネル・インスペクション VXLANのサポートによりVTAPとの連携が可能 VTAPは各サービスの通信トラフィックをミラーリングしてターゲットに 送信するOCIネイティブのパケット・キャプチャ機能 VTAPが可能なリソース - コンピュート・インスタンス、ロードバランサー、データベース・システム等 VTAPのミラーパケットはVXLANによってカプセル化されているため Network Firewallによって非カプセル化しトラフィックを検査 侵入検知(IDS)のセキュリティ・ルールによりサイバー攻撃を検知 - XSS (クロスサイトスクリプティング)、CSRF、SQLインジェクション - DDoS、ブルートフォース、マルウェア、C&C攻撃など 既存のネットワークに影響を与えないアウトオブバンド構成が可能 - VTAPソースとターゲット間にNetwork Firewallを配置 トンネル・インスペクションのログはLoggingに出力 Network Firewall Copyright © 2024 Oracle and/or its affiliates. All rights reserved. 30 VTAP Flexible Load Balancer Compute Database System Exadata VM Cluster VTAP ソース VTAP ターゲット Network Firewall 対象サービスの トラフィックをミラー Load Balancer User packet packet packet VXLAN VXLAN 非カプセル化 及び パケット検査 2024年8月新機能

トンネル・インスペクションの設定例 Copyright © 2024 Oracle and/or its affiliates. All rights reserved. 31 Tokyo Region nwfw-vcn1 172.16.0.0/21 Internet Gateway Internet Webapp Subnet 172.16.1.0/24 Instance LB Subnet 172.16.0.0/24 Instance VTAP LB Subnet 172.16.3.0/24 Load Balancer Flexible Load Balancer Network Firewall Subnet 172.16.2.0/24 Firewall 172.16.2.31 VTAPターゲット VTAP Destination CIDR Route Target 172.16.3.0/24 172.16.2.31 追加 ①Network Firewall用の サブネットにFWを作成する ②VTAPのターゲット作成 - LBとバックエンドセットを作成 ③VTAPの作成 - ソースとターゲットを指定する ④LBサブネットのルート表に FWのルートを追加する - VTAPソースからターゲットに流れる トラフィックはFWを経由するようにする ⑤FWのポリシーにトンネル検査 ルールとセキュリティルールの アクションをIDSで追加する VTAP Backend Subnet 172.16.5.0/24 Instance VTAPソース ① ② ③ ④ 2024年8月新機能 ⑤

トンネル・インスペクションの設定例 Copyright © 2024 Oracle and/or its affiliates. All rights reserved. 32 Tokyo Region nwfw-vcn1 Public Subnet Public Subnet Flexible Load Balancer Database Subnet Backend Webapp Subnet Database Instance Instance VTAPソース VTAPソース VTAPソース VTAPソース VTAP LB Subnet 172.16.3.0/24 Load Balancer Network Firewall Subnet 172.16.2.0/24 Firewall 172.16.2.31 VTAPターゲット VTAP Backend Subnet Instance Internet Gateway ルート表 ルート表 ルート表 ルート表 VTAP 既存ネットワークへの影響という点では、 以下が追加となる 1. Network Firewallの作成 × 1 2. VTAPターゲットの作成 × 1 3. VTAPの作成 × n 4. 各VTAPソースのサブネットのルート表に FWへのルールを追加 × n 2024年8月新機能 Destination CIDR Route Target 172.16.3.0/24 172.16.2.31

検出された不正トラフィック例 33 Network Firewallが検知した1週間の不正トラフィック どこの国からのアクセスか？ 不正トラフィックのカテゴリと比率 Network Firewallが判別した不正トラフィックの種類 ※これらの画面はLogging Analyticsのものです Copyright © 2024, Oracle and/or its affiliates. All rights reserved

セキュリティ編 https://oracle-japan.github.io/ocitutorials/security/ 監視・管理編 https://oracle-japan.github.io/ocitutorials/management/ アイデンティティ編 https://oracle-japan.github.io/ocitutorials/identity/ Oracle Cloud Infrastructureの運用管理・セキュリティサービスまとめ https://qiita.com/western24/items/4824e4b3799b824197c6 OCIチュートリアル Copyright © 2024, Oracle and/or its affiliates. All rights reserved 34

No content