[oci]クラウド・アドバイザを使ってみる

クラウドのより効率的、安全な運用を支援をするクラウドアドバイザ

クラウド・アドバイザはCost Management と Security のふたつの視点から、現在のOCIの運用に対してアドバイスしてくれるサービスです。
このサービスは、クラウド運用の上で役に立つので、定期的に確認するようにすると良いと思います。
Cost managementは初期状態から動いていますが、Securityのアドバイザは、意識的にユーザーが機能をオンにしないと動きません、なのでどう使えるのか確認してみたいと思います。

初期状態では機能していないのは、cloudguardというオラクルの運営するサービスアカウントに対して、私のシステムを覗いてもよいですよ、というユーザー側のオプトインによってはじめて有効化できます、という考え方に基づくものであると思われます。
ここで、私のアカウントの設定詳細を知ることのできるcloudguardというオラクル運営の第三者アカウントを招き入れるリスクは、自分が設定のミスをして、セキュリティ上の問題を起こすリスクより小さいと判断するかどうかになると思います。しかし、独自な社内ルールなど禁止されていたりしていない限りはオンにしておいた方が、よりセキュアだと思います。

なお、クラウド・ガードSecurityはAlways Freeでは使用できません。

初期設定

クラウドガードの有効化

コンソールで セキュリティ >> クラウドガード　または
クラウド・アドバイザ >> ダッシュボード >> Security
で移動し "クラウド・ガードの有効化"　をクリック

確認画面の中に cloudgouardというサービスに対してこの一覧にあるようにいろいろなものに対してreadアクセスの閲覧権限を与えますかと聞かれていますので、許可します。

ポリシーの作成をクリック

この"有効化"で、上記のcloudguardポリシーを有効化します。
これを全てのコンパートメントに対して有効化　します。
もちろん、見てはいけないコンパートメントがある場合はルートコンパートメント以外にしましょう。

どのような項目をチェックするかと言うと、ディテクタ・レシピは2種類あり
構成ディテクタ(OCI Configuration Detector Recipe)　と
アクティビティ・ディテクタ (OCI Activity Detector Recipe) 　です。
どんな項目をチェックしているのかは、それぞれのレシピを開いてみると分かります。
構成ディテクタは39種類の検知項目で、設定に対する検知で、例えば、アクセス許可範囲が広すぎないかとかの警告をしてきます。

アクティビティディテクタは24種類の検知項目で、動きに対する検知で、例えばインスタンスを消去したのであれば、それに対してアクセス権を持っていたIAM許可を消す必要はありませんか、などと警告してきます。

クラウドガードの機能確認

有効化したのでクラウドガードに移動

もしもアカウント作成直後のであれば、何のアクティビティもないので信用スコアもありませんが・・・

OCIを使い続けると、いろいろな設定に対して評価値を出してくれます、これは別のアカウントでの評価例です。

それぞれのウィンドウの表示するものの意味は、設定 >> ガイド・ツアー >> 起動済み の右端にスタート・ガイド　を選ぶことで、ポップアップ形式で意味を説明してくれます。

推奨事項タブでは　改善すべき事項トップ10がリストされています、総括的に改善していきたい場合は、上位から順に見直していくと良いと思います。

コスト・マネジメント

クラウド・アドバイザは、セキュリティアドバイザと対をなす、コストに関するアドバイスをしてくれます、初期状態で動いています。

クラウド・アドバイザ >> ダッシュボード　で表示できます。

ここでの指摘事項は、コストの総額ではなく、無駄使いに対する警告です、構成的に意味のない使い方を指摘してくれます。
下の図では、215円のコスト削減ができますと、ガイドしてします。
調べたところ、起動していないboot volumeがあったので削除しました。

まとめ

クラウド・ガードではコストとセキュリティ設定について改善点をガイドしてくれます。
定期的にチェックすることでクラウド運用を安定化していけると思います。
セキュリティ・アドバイザも活用することで、よりセキュアにできると思います。

Links