概要
共有セキュリティモデル
オンプレ環境であれば顧客にすべての範囲の責任がある。
共有席にモデルであれば、物理的な範囲と仮想化の範囲はOracleが責任を持ち、その他を顧客が責任を持つ。
主なセキュリティ・サービス
- インフラ・ストラクチャーの保護
外部ネットワークから(パブリックから)のトラフィックを対策。
DDos Protection(DDos攻撃)
WAF(悪意のあるWEBトラフィックのフィルタリング)
Security List(パブリックからのトラフィック) - OSとワークロードの保護
パッチ管理やワークロードの分離、要塞管理など。
Dedicated Host(専用ホスト、ほかのユーザとハードウェアを共有しないワークロード)
Bastion(要塞、重要なデータは内部に保持し要塞からアクセス)
OS Manager(OS管理) - 検知と修復
セキュリティ・ポスチャー(クラウド環境精査)、セキュア・エンクレープ(システム上で実行されている他のプロセスから機密性の高いコードとデータを分離して保護)、自動セキュリティ診断、セキュリティ・アドバイザなど。
Cloud Guard
Max Security Zone
脆弱性Scanning
Security Advisor - データ保護
保存中・転送中のデータ暗号化、鍵の保存・管理など。
Ecription(暗号化)
Key Management
Key Vault(ボールト)
Data Safe - アイデンティティとアクセス管理
IAMによる管理。
クラウド・ガード
セキュリティの問題の検出と対策(修正)の流れをクラウド・ガードを用いて構成する。
① ターゲット(調査対象)を決める。コンパートメントやサブコンパートメント。
② 問題点の検出。問題を検出した際に警告を発する(トリガーを発生させる)。
③ 問題として挙がる。
④ 措置を行う(自動または手動)。
セキュリティ・ゾーンとセキュリティ・アドバイザ
セキュリティ・ゾーン
セキュリティを無効にできない場所(コンパートメント)を作り出す。
コンパートメントにセキュリティ・ゾーンを設定すると、セキュリティ・レシピが作られる。
セキュリティ・アドバイザ
セキュアなリソース作成のためのウィザード(テンプレートなどをもとに作成することができる)が用意されている。
脆弱性スキャン
潜在的脆弱性がないかCVE(脆弱性の情報を集めたデータベース、日々更新される)をもとに毎日または毎週検査する。
また、ポートのスキャン(不必要なポートが設定されていないかなど)をチェックする。脆弱性のレベルや適用すべきパッチなども教えてくれる。
Vault(ボールト)
各キーをマスターキーで暗号化する。(マスターキーのみ守ればよい。各キーは対応するデータと同じバケットに保存)
キーのローテーションも可能。マスターキーのみをローテーションし、各キーは新しいキーで復号できる(暗号化はできない)。
対応する暗号鍵はAES、RSA、ECDSA(暗号化無し)
鍵はHSM(ハードウェア・セキュリティ・モジュール)かソフトウェアにてサーバー内に保存
HSMからエクスポートはできない。サーバーからエクスポート可能。
WAFとDDoS
| 機能 | DDoS | WAF |
|---|---|---|
| 保護対象 | OCI | OCI、他クラウド、オンプレミス |
| 監視レイヤー | 3,4 | 3,4,7 |
| 保護ポリシー変更 | なし | あり |
| アラート通知 | なし | あり |
| 有償 | なし | あり |