クラウド・ガードについて＜概要編＞

Slide 1

Slide 1 text

Slide 2

Slide 2 text

© 2024 Database Technology Inc. All Rights Reserved. 2 はじめに本書は、Oracle Cloud Infrastructure（以下「OCI」）のマネージドサービスであるクラウド・ガードについて、弊社の解釈による解説を付記して紹介するものです。 OCIの各サービスにおける最新情報については、オラクル社による公式情報をご確認ください。 OCIコンソールの実際の画面は、本書と若干異なる可能性がございます。

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Slide 6

Slide 6 text

© 2024 Database Technology Inc. All Rights Reserved. 6 1：クラウド・ガードとは ⚫ OCIのセキュリティサービスの一種 ⚫ テナンシレベルで以下の問題を検出する ⚫ クラウドの構成の危険個所 ⚫ クラウドや特定のコンピュートインスタンス内での、不審なアクティビティ ⚫ 検出した問題に対して、手動対応やOracleが設定した自動対応を行う事も可能テナンシレベルで機能するセキュリティサービス

Slide 7

Slide 7 text

© 2024 Database Technology Inc. All Rights Reserved. 7 Tenancy 1：クラウド・ガードの概要図 Cloud Guard OCI Region:AP-OSAKA-1 Availability Domain 1 Subnet VCN Virtual Machine OCI Region:AP-TOKYO-1 Availability Domain 1 Subnet VCN Virtual Machine リージョンより上の、テナンシレベルで機能する

Slide 8

Slide 8 text

© 2024 Database Technology Inc. All Rights Reserved. 8 Tips：OCIのコアセキュリティサービス一覧 ⚫ IAM（Identity and Access Management）……柔軟なアクセス制御 ⚫ 監査ログ（Audit）……OCI内の全てのアクティビティログを管理 ⚫ 要塞（Bastion）……VM （Virtual Machine）やデータベースへのセキュアな接続 ⚫ DDoS保護（DDoS Protection）……レイヤー3/4のDDoS攻撃から保護 ⚫ クラウド・ガード（Cloud Guard）……クラウド全体の脆弱性を監視 ⚫ 脅威インテリジェンス（Threat Intelligence Service）……疑わしいアクティビティを検出 ⚫ セキュリティゾーン（Security Zones）……コンパートメントをセキュアに保護 ⚫ 脆弱性スキャン（Vulnerability Scanning Service）……VMやコンテナの脆弱性を監視 ⚫ 証明書（Certificates）……電子証明書や認証局（Certificate Authorities）の作成

Slide 9

Slide 9 text

Slide 10

Slide 10 text

Slide 11

Slide 11 text

© 2024 Database Technology Inc. All Rights Reserved. 11 2：クラウド・ガードの特徴2 ⚫ デフォルトでは無効化状態なので、有効化する必要がある ⚫ 前提条件として、有料のテナンシが必要 ⚫ レポートリージョンの設定に注意（レポートリージョンの説明はp.12へ） ⚫ サービスを停止したい場合は、無効化を行う ⚫ 無効化した場合は、設定が全てリセットされてしまう点に注意する停止したい場合は無効化しかない

Slide 12

Slide 12 text

© 2024 Database Technology Inc. All Rights Reserved. 12 Tips：レポートリージョンとは？ ⚫ 検出された問題の結果を管理するリージョン ⚫ レポートリージョンは、OCIホームリージョンと同じ意味ではない ⚫ クラウド・ガードを有効化する際に、最初に選択する ⚫ クラウド・ガードを無効化しない限り、レポートリージョンの再設定は不可能 ⚫ レポートリージョンに設定した国の、全ての法的要件に準拠する ⚫ READを除く全てのAPIコールは、レポートリージョンで実行する必要があるレポートリージョンの設定には注意が必要

Slide 13

Slide 13 text

Slide 14

Slide 14 text

Slide 15

Slide 15 text

Slide 16

Slide 16 text

Slide 17

Slide 17 text

© 2024 Database Technology Inc. All Rights Reserved. 17 2-2：概要ページ ⚫ 全体的なセキュリティ状況を、迅速に把握 ⚫ 総合的なセキュリティスコアを、4段階で評価 ⚫ セキュリティスコアは、あくまで大まかな評価である事に注意する ⚫ セキュリティスコアに囚われ過ぎず、環境に合わせた構成を心掛ける不可（0～39）可（40～59）良（60～79）優（80～100）セキュリティスコア

Slide 18

Slide 18 text

Slide 19

Slide 19 text

Slide 20

Slide 20 text

Slide 21

Slide 21 text

Slide 22

Slide 22 text

Slide 23

Slide 23 text

© 2024 Database Technology Inc. All Rights Reserved. 23 3：クラウド・ガードの設定および動作フロー 1. ターゲット……監視対象とするコンパートメントの設定 ⚫ 監視対象の設定は、最初に行う 2. ディテクタ……問題を検出 3. 問題……問題を表示 4. レスポンダ……検出された問題に対して通知・対応監視対象を設定した後は、問題を検出→対応の繰り返し

Slide 24

Slide 24 text

© 2024 Database Technology Inc. All Rights Reserved. 24 3：ターゲット ⚫ クラウド・ガードで監視する対象の範囲を設定 ⚫ 1つのコンパートメントに、1つのターゲットを設定可能 ⚫ 選択したコンパートメントおよび、子コンパートメントもチェック対象 ⚫ 別のターゲットに出会うまでは、いくらでも子コンパートメントを下る監視対象となるコンパートメントを選択

Slide 25

Slide 25 text

© 2024 Database Technology Inc. All Rights Reserved. 25 3：ディテクタ ⚫ ターゲットのセキュリティ状況をチェックし、問題を検出 ⚫ 4種類のディテクタレシピに基づいて、問題のディテクタタイプを分別 ⚫ 構成……OCIのリソース構成・設定をチェック ⚫ アクティビティ……OCIのリソース作成・削除・更新等のアクティビティをチェック ⚫ 脅威……OCIのユーザの悪質性をチェック ⚫ インスタンスセキュリティ……コンピュートインスタンスに特化したチェック ⚫ 1つのターゲットに、各ディテクタタイプのレシピを1つずつ設定可能ディテクタによって、セキュリティ状況をチェック

Slide 26

Slide 26 text

© 2024 Database Technology Inc. All Rights Reserved. 26 Tips：クラウド・ガードで課金が発生する場合とは？ ⚫ ディテクタレシピの内、インスタンスセキュリティ・ディテクタレシピのみ2種類のタイプが存在する ⚫ Standard……無料で使えるレシピ。基本的な検出のみ可能 ⚫ Enterprise……有料で使えるレシピ。1ノードあたり1.0695円／月。豊富な検出が可能課金の有無はタイプを確認

Slide 27

Slide 27 text

© 2024 Database Technology Inc. All Rights Reserved. 27 3：問題 ⚫ ディテクタによって検出された問題を表示 ⚫ 検出された問題に対して、3種類の対応が可能 ⚫ 修正……クラウド・ガードのレスポンダを使用して対応（レスポンダの説明はp.28へ） ⚫ 解決済としてマーク……手動で対応。対応が不十分だと問題が再検出される可能性があり、その場合は再度オープン ⚫ 終了……終了済みとして問題をクローズ。問題が再検出されても、オープンはしない検出された問題に対して、どのように対応するかを決定

Slide 28

Slide 28 text

© 2024 Database Technology Inc. All Rights Reserved. 28 3：レスポンダ ⚫ 問題に対してクラウド・ガードが実行可能なアクション ⚫ レスポンダレシピに基づいて、アクションを実行 ⚫ レスポンダレシピは1種類のみ ⚫ イベント生成による通知や、個別の対応を行う ⚫ 1つのターゲットに、レスポンダレシピを1つ設定可能レスポンダによって、クラウド・ガードのアクションを実行可能

Slide 29

Slide 29 text

Slide 30

Slide 30 text

© 2024 Database Technology Inc. All Rights Reserved. 30 4：クラウド・ガードの画面の昔と今 ⚫ クラウド・ガードの画面は、昔と今とでかなり違う ⚫ 機能追加によって画面が変化 ⚫ 機能追加がなくても、レイアウトが変わる事がある ⚫ 昔の画面は各種設定がそのまま表示されていたが、今の画面は分類ごとに整理されていて、見やすくなっている常に変化があるのがクラウドサービスの特徴

Slide 31

Slide 31 text

Slide 32

Slide 32 text

Slide 33

Slide 33 text

Slide 34

Slide 34 text

Slide 35

Slide 35 text

Slide 36

Slide 36 text

Slide 37

Slide 37 text

© 2024 Database Technology Inc. All Rights Reserved. 37 お問い合わせ OCIに関するお困りごとは，ぜひ弊社までご相談ください。お電話でのお問い合わせ 075-231-6131 受付時間：平日 10:00～17:00 メールでのお問い合わせ inquiry@db-tec.com ※お手数ですが、御社名、ご氏名、お問い合わせ内容を本文中にご記載ください。 https://www.db-tec.com/ 弊社ホームページからも、お問い合わせを承っております。 Oracleは、オラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標である場合があります。