Cloud Guardとは(クラウドガード:以下CG)
一言でいうと「クラウド上でセキュリティ設定がしっかりしているかどうかをザックリ調べてくれて怪しい(脆弱そうな)箇所があれば指摘してくれるOracle Cloud Infrastructureの無料で使えるセキュリティツール」です
もう少し詳しく言うと、こんな画面でセキュリティリスクを評価してくれます。例えば「パブリックになっているストレージが存在していないかどうか」「FW(セキュリティリスト)で不要に穴が開いていないか」「変わった挙動のユーザアクセス履歴がないか」などをチェックしてくれます。
それらを検知した場合には、検知した内容に合わせて予め対処法を指定しておくことによって、ある程度自動で対応してくれます。例えば、問題があると検知したコンピュートには、自動でそのコンピュートインスタンを停止したりという具合です。
やりたいこと
色々自動で対応してくれると言っても「やはりちゃんと人の目で確認してから対処したい」「自動で停止とか操作されるのは何だか怖い・不安」ではないでしょうか。(ちゃんとテストした上で設定すれば良い話ですが)
ですので、ここでやりたいことは「CGが検知した内容をメール通知する」ための設定をしていきます
Cloud Guardで検知したらメール通知する設定方法
全体の流れ
全体の流れとしては下記のような流れになります
- ディテクタレシピの設定:検知する内容を決めます
- レスポンダレシピの設定:検知した場合にどう対応するか決めます
- ターゲットの設定:検知するリソースの対象コンパートメントを決めます
- 通知(トピックとサブスクリプション)の設定:通知先メールアドレスを設定します
- ルールの設定:検知した事をイベントとして捉え、通知できるようにします
では1つずつ見ていきます
ディテクタレシピの設定
「アイデンティティとセキュリティ」から「クラウドガード」を選択します
オラクル管理のデフォルトのディテクターが3種類あるので、それをクローンして自分用のディテクターを3つ作成していきます。
クラウドガードの左側のメニューから「ディテクタレシピ」を選択し、対象の「コンパートメント」を選択してから「クローン」をクリック
クローニングの種類が3つあるので、3回下記の作成作業を繰り替えします。
3つのディテクタレシピを作成しました。
レスポンダレシピの設定
先程と同じ要領で「レスポンダレシピ」を選択し「クローン」をクリックします。
レスポンダレシピを1つ作成しました
「レシピ名」をクリックし「レスポンダルール」を修正します
レスポンダルールとは問題が生じた際に「どういう対処を自動でしましょうか」といった設定になります。
冒頭で言及したように、ここでは自動で設定変更してほしくないので「Cloud Event」以外のルールを無効にします。
下記図のように「Cloud Event」以外にチェックを入れ「無効化」をクリックします
「ステータス」が「無効化」になったことを確認します
ターゲットの設定
クラウドガードの左下のメニューから「ターゲット」を選択し、「コンパートメント」を選択してから「新規ターゲットの作成」を選択します
「ターゲット名」「説明」を入力し、
先程作成した3つのディテクタレシピと1つのレスポンダレシピを選択し「作成」します
「ターゲットの詳細」画面に遷移するので左下のメニューから「レスポンダレシピ」を選択し、追加されている「レシピ名」をクリックします
レスポンダルールの「Cloud Event」だけが有効になっていることを確認し、「Cloud Event」を編集します(右側の「・・・」をクリックすると「編集」ボタンが表示されます)
ルールトリガーが「自動的に実行」にチェックを入れ、「自動的な実行の確認」にもチェックを入れ「保存」します
通知(トピックとサブスクリプション)の設定
コンソールメニューより「開発者サービス」より「通知」を選択し「トピックの作成」をします
「トピックの詳細」画面へ遷移し、「サブスクリプションの作成」をします
プロトコルは「電子メール」を選択し通知先のメールアドレスを入力します
サブスクリプション作成をすると設定したメールアドレス宛にメールが飛びます。
メール下記に記載されいてる「Confirm subscription」のリンクをクリックするとサブスクリプションがアクティブな状態になります。
メール件名:Oracle Cloud Infrastructure Notifications Service Subscription Confirmation
ルールの設定
コンソールメニューより「監視および管理」から「ルール」を選択します
「ルールの作成」を選択し、ルール条件の「イベントタイプ」にCLoud Guardをイベントタイプは「Detected Problem」にします。
アクションタイプを「通知」とし、先ほど作成したトピックを適用します。
メールが送信されるか確認
メールがちゃんと飛ぶか確認するためパブリックなオブジェクトストレージを作成してみます
作成したバケットを「可視性の編集」をしパブリックに変更します
しばらくするとメールが送信されてきました。設定はちゃんとできたようです。
メール件名:OCI Event Notification
注意点
もしメールが届かず設定が上手くいっていない際には「設定」から下記レポートリージョンを確認してみてください。
レポートリージョンと通知設定・ルール設定をしたリージョンが一致していない場合、上手くいかないようです
公式マニュアル
下記を参考に進めましたので参考にしてください
CGを説明している動画(英語だがざっくり概要を掴むには分かりやすい図がでてるので紹介)
https://www.coursera.org/lecture/oracle-cloud-infrastructure-architect-associate/cloud-guard-exJPl
公式マニュアル(今回は基本的に下記の流れに沿って設定しています)
https://docs.oracle.com/ja-jp/iaas/cloud-guard/using/export-notifs-config.htm