© 2024 Database Technology Inc. All Rights Reserved. 株式会社データベーステクノロジ クラウド・ガードについて ～レスポンダの説明～ 2024年12月5日 (木) 下山 星夜

© 2024 Database Technology Inc. All Rights Reserved. 2 はじめに 本書は、Oracle Cloud Infrastructure（以下「OCI」）のマネージドサービ スであるクラウド・ガードについて、弊社の解釈による解説を付記して紹介 するものです。 OCIの各サービスにおける最新情報については、オラクル社による公式情報 をご確認ください。 OCIコンソールの実際の画面は、本書と若干異なる可能性がございます。

© 2024 Database Technology Inc. All Rights Reserved. 3 第1回：クラウド・ガードの概要 第2回：ディテクタの説明 第3回：レスポンダの説明 第4回：問題・問い合わせの説明、まとめ ※クラウド・ガードは、4回に分けて機能紹介を行います。本書は3回目です。 各回のタイトル

© 2024 Database Technology Inc. All Rights Reserved. 4 Index 1. これまでの復習 2. レスポンダの特徴 3. レスポンダレシピとレスポンダルールについて 4. レスポンダの動作 5. まとめ Cloud Guard

© 2024 Database Technology Inc. All Rights Reserved. 5 1. これまでの復習

© 2024 Database Technology Inc. All Rights Reserved. 6 1：これまでの内容のまとめ ⚫ クラウド・ガードとは、クラウド全体や特定のコンピュートインスタンス 内の問題を検出する、セキュリティサービス ⚫ ターゲットを指定した後は、以下の動作の繰り返し 1. ディテクタ……問題を検出 2. 問題……問題を表示 3. レスポンダ……検出された問題に対して通知・対応 今回は、レスポンダ部分を解説

© 2024 Database Technology Inc. All Rights Reserved. 7 1：レスポンダ【1回目の資料 p.28 の内容】 ⚫ 問題に対してクラウド・ガードが実行可能なアクション ⚫ レスポンダレシピに基づいて、アクションを実行 ⚫ レスポンダレシピは1種類のみ ⚫ イベント生成による通知や、個別の対応を行う ⚫ 1つのターゲットに、レスポンダレシピを1つ設定可能 レスポンダによって、クラウド・ガードのアクションを実行可能

© 2024 Database Technology Inc. All Rights Reserved. 8 Tips：レシピの注意点（ディテクタとレスポンダ共通） 【2回目の資料 p.11 の内容】 ⚫ レシピは2種類存在する 1. Oracle管理レシピ ⚫ ルールの編集不可 ⚫ デフォルトでルートコンパートメントに作成される ⚫ 各ディテクタレシピが1つずつ（合計で5つ） ⚫ レスポンダレシピが1つ（レスポンダはタイプ分けがないため） 2. ユーザ管理レシピ ⚫ ルールの編集可 ⚫ 既存レシピをクローニングして作成 ルールを編集するためには、ユーザ管理レシピを作成する

© 2024 Database Technology Inc. All Rights Reserved. 9 2. レスポンダの特徴

© 2024 Database Technology Inc. All Rights Reserved. 10 2：レスポンダの特徴 ⚫ レスポンダレシピとレスポンダルール ⚫ レスポンダレシピ……レスポンダルールをまとめたもの ⚫ レスポンダルール……問題を検出するための条件 ⚫ レスポンダルールは、適宜更新されていく ⚫ 最新のレスポンダルールのリストは、以下のURLから確認 https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/respond-recipes- reference.htm レスポンダはディテクタと似た構造になっている

© 2024 Database Technology Inc. All Rights Reserved. 11 2：レスポンダについて ⚫ 2024/11/15現在、レスポンダレシピは1個 ⚫ ディテクタレシピと違い、レスポンダレシピはタイプ分けなどはない ⚫ 2024/11/15現在、レスポンダルールは10個 ⚫ ディテクタルールと違い、レスポンダルールは2種類のタイプが存在する ⚫ レスポンダルールのタイプは、アクションの分類を示している 1. NOTIFICATION……通知タイプ。通知を行う 2. REMEDIATION……改善タイプ。当該リソースの削除や変更を行う レスポンダルールのタイプによって、アクションが異なる

© 2024 Database Technology Inc. All Rights Reserved. 12 2：レスポンダレシピのクローニング画面 1. クローンを選択 2. 既存のレスポンダレシピをクローニング レスポンダルールを編集するためには、 既存のレスポンダレシピをクローニングし、ユーザ管理レシピを作成 （デフォルトで作成されるOracle管理レシピは、ルールの編集が不可能）

© 2024 Database Technology Inc. All Rights Reserved. 13 3. レスポンダレシピと レスポンダルールについて

© 2024 Database Technology Inc. All Rights Reserved. 14 3：レスポンダ ⚫ 検出された問題に対して、クラウド・ガードが実行可能なアクション ⚫ ユーザの代わりに、クラウド・ガードが自動でアクションを行う ⚫ レスポンダを使わずに、ユーザが手動で対応する事も可能 ⚫ レスポンダルール毎に、異なるIAMポリシーの設定が必要 ⚫ 例） ⚫ コンピュートインスタンスを停止……Allow service cloudguard to manage instance-family ⚫ IAMポリシーを削除……Allow service cloudguard to manage policies etc. ⚫ 無料で使用可能 レスポンダルールのタイプによっては、 当該リソースの削除や変更が行われるので、 レスポンダは慎重に設定する

© 2024 Database Technology Inc. All Rights Reserved. 15 3：レスポンダレシピ レスポンダルール：10個 レスポンダレシピはクローンが可能

© 2024 Database Technology Inc. All Rights Reserved. 16 3：レスポンダルールの編集 有効か無効かを選択 必要なIAMポリシーが書かれている

© 2024 Database Technology Inc. All Rights Reserved. 17 3：レスポンダルールのサマリー情報 1 レスポンダルール名 タイプ 実行されるアクションの詳細 トリガーとなるディテクタルール Cloud Event NOTIFICATION 問題の詳細をイベントに公開 全てのディテクタルール Delete IAM Policy REMEDIATION IAMポリシーを削除 構成：Policy gives too many privileges 構成：Tenancy admin privilege granted to group Disable IAM User REMEDIATION IAMユーザの資格を無効化 アクティビティ：Bastion created アクティビティ：Bastion session created アクティビティ：CA bundle updated アクティビティ：Certificate Authority (CA) deleted アクティビティ：Intermediate Certificate Authority (CA) revoked アクティビティ：Export Image アクティビティ：Import Image アクティビティ：Instance terminated アクティビティ：Update Image アクティビティ：Database System terminated アクティビティ：All rules in IAM group アクティビティ：All rules in Networking group

© 2024 Database Technology Inc. All Rights Reserved. 18 3：レスポンダルールのサマリー情報 2 レスポンダルール名 タイプ 実行されるアクションの詳細 トリガーとなるディテクタルール Delete Internet gateway REMEDIATION インターネットゲートウェイを削除 構成：VCN has Internet Gateway attached Enable DB Backup REMEDIATION DBの自動バックアップを有効化 構成：Database is not backed up automatically Make Bucket Private REMEDIATION バケットの可視性をプライベートに変更 構成：Bucket is public Rotate Vault Key REMEDIATION 新しいバージョンのキーでローテーション 構成：Key has not been rotated Delete Public IP(s) REMEDIATION コンピュートインスタンスのパブリックIP を削除 構成：Instance has a public IP address Stop Compute Instance REMEDIATION コンピュートインスタンスを停止 構成：Instance has a public IP address Terminate Compute Instance REMEDIATION コンピュートインスタンスを削除 構成：Instance has a public IP address

© 2024 Database Technology Inc. All Rights Reserved. 19 4. レスポンダの動作

© 2024 Database Technology Inc. All Rights Reserved. 20 4：レスポンダの動作 ⚫ ターゲットにレスポンダレシピを設定する事が可能 ⚫ ターゲット内で検出された問題に対して、アクションを実行 ⚫ レスポンダルールがトリガーされた際の挙動について、2種類の構成設定から選択 1. ルールの実行前に確認 2. 自動的に実行 ターゲットにレスポンダレシピを設定すると、 レスポンダルール毎に構成の設定が可能になる

© 2024 Database Technology Inc. All Rights Reserved. 21 4：ターゲットへのレスポンダレシピの設定 レスポンダレシピを1つ設定可能

© 2024 Database Technology Inc. All Rights Reserved. 22 4：ターゲットに設定したレスポンダレシピ レスポンダルール毎に、構成の設定が可能

© 2024 Database Technology Inc. All Rights Reserved. 23 4：レスポンダルールの構成 IAMポリシーステートメントの追加も可能 ルールの実行前に確認するか、自動実行するかを選択 ▼IAMポリシーステートメントの追加 ・CloudGuardPolicies-security_service というIAMポリシーが作成される ・表示されているポリシー ステートメントが追加される

© 2024 Database Technology Inc. All Rights Reserved. 24 4：レスポンダアクティビティ 1 トリガーされたレスポンダのステータスを表示

© 2024 Database Technology Inc. All Rights Reserved. 25 4：レスポンダアクティビティ 2 ルールの実行前に確認する構成の場合は、アクションを選択

© 2024 Database Technology Inc. All Rights Reserved. 26 4：レスポンダアクティビティ 3 レスポンダルールの実行をスキップする事も可能

© 2024 Database Technology Inc. All Rights Reserved. 27 5. まとめ

© 2024 Database Technology Inc. All Rights Reserved. 28 5：まとめ ⚫ レスポンダレシピはレスポンダルールをまとめたもの ⚫ ユーザ管理のレスポンダレシピしかレスポンダルールの編集が出来ない ⚫ レスポンダルールによっては、既存の構成を変えてしまう可能性がある ⚫ 検出された問題に対して、手動で対応するという運用もあり レスポンダは自動でアクションを行ってくれるが、使用には注意が必要

© 2024 Database Technology Inc. All Rights Reserved. 29 お問い合わせ OCIに関するお困りごとは，ぜひ弊社までご相談ください。 お電話でのお問い合わせ 075-231-6131 受付時間：平日 10:00～17:00 メールでのお問い合わせ inquiry@db-tec.com ※お手数ですが、御社名、ご氏名、 お問い合わせ内容を本文中にご記載ください。 https://www.db-tec.com/ 弊社ホームページからも、お問い合わせを承っております。 Oracleは、オラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標である場合があります。