1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@tyskJ

OCI Cloud Guard Instance Security について整理する

1
Posted at

001samune.png

はじめに

本記事では OCI Cloud Guard Instance Security についてまとめていきます。

概要

OCI Cloud Guard Instance Security とは

コンピュートインスタンス及びオンプレミスサーバーのOS内挙動を監視する CSPM 機能 です。
構成としては、サーバー内で稼働する Oracle Cloud Agent (Cloud Guard Workload Protection Plugin) がサーバー内の情報を取集し、Cloud Guardインスタンスセキュリティディテクタレシピ にて検出します。
つまり本機能を使用するには、以下2つが必要となります。

  • 対象サーバーにて Oracle Cloud Agent (Cloud Guard Workload Protection Plugin) を稼働させること (WLPエージェントでもOK)
  • Cloud Guard のターゲットに インスタンスセキュリティディテクタレシピ を紐づけること

厳密には以下2つも必要です

  • IAMポリシーによる権限の付与
  • Oracle Cloud Agent (Cloud Guard Workload Protection Plugin) から Oracle Services Network への疎通性

※ Cloud Guard については以下記事を参照してみてください

インスタンスセキュリティディテクタレシピについて

レシピには Standard(無償)Enterprise(有償) の2種類があります。
レシピ内のディテクタルールは以下の通りです。

画像1.png

上図の #1 #2 のルールに関しては、OCI Vulnerability Scanning Service (VSS) が提供している機能と重複しています。
ただし、脆弱性検知ルールに関しては Windows 未対応であることと、Linuxに関しては以下注意点があるため、必ずしも VSS の代替となるわけではありません。

image.png

インスタンスセキュリティディテクタレシピの料金について

料金は以下の通りです。Enterprise はノード数に比例してコストがかかります。
image.png

インスタンスセキュリティディテクタレシピの制限について

Standard の場合は、対象ノード数とクエリ数に制限があります。
image.png

Enterprise の場合は、クエリ数に制限があります。
image.png

使用方法(デモ)

検証構成

検証構成図は以下の通りです。
なお、以下リソースは作成済みで進めていきます。

  • NWリソース
  • コンピュートインスタンス
  • Cloud Guard有効化及びターゲット設定

architecture.drawio.png

検証では、以下実施していきます。

  • インスタンスセキュリティディテクタレシピの動作確認
  • 環境コードは以下 GitHub にあげてますので、よかったら覗いてみてください

前提条件の確認

本機能を利用する上で満たしているべき条件は以下の通りです。

  • インスタンス内で Oracle Cloud Agent (Cloud Guard Workload Protection Plugin) が稼働してること
  • Oracle Cloud Agent (Cloud Guard Workload Protection Plugin) から Oracle Services Network への疎通性があること
  • IAMポリシーにて適切な権限が与えられていること
  • Cloud Guard のターゲットにインスタンスセキュリティディテクタレシピがアタッチされていること

本検証においての各種状態は以下の通りです。
image.png
image.png
image.png
image.png
画像2.png

検出結果確認

検出結果を確認します。
Oracle管理の場合、インスタンスセキュリティディテクタレシピ内のディテクタルールは DAILY でチェックするため、ターゲットにアタッチしてから翌日であれば結果が確認できると思います。もちろん変更はできますが、変更する場合は、基本的にカスタムレシピを作成して、そちらをアタッチして適宜修正することをお勧めします。

  • 本検証では特に変更を加えておりません
  • また、ターゲットにアタッチしてから約3時間後に検出結果が確認できました

まずダッシュボード上で確認ができます。
確認タイミングが早かったのか、リスクスコアには反映されていませんでした。
image.png

続いて問題として挙がった内容を見てみます。
Oracle Linux インスタンスは脆弱性が、Windows Server インスタンスはオープンポートが確認できます。
image.png

脆弱性の中身としては、リスクレベルに応じて検出されたCVEが一覧化されています。
image.png

オープンポートに関しては、インスタンス内で稼働しているプロセスがどのポートでListenしているかが検出されています。
image.png

  • ポートスキャンに関しては、OS内でListenしているポートが対象となるため、Network Security Group のルールは関係ありません
  • ポートスキャン用ルールはデフォルトで tcp/22 を許可しているため、Oracle Linux インスタンスでの問題が挙がってこなかったと推測します
  • こちらを適宜修正することで、対象のポートを絞ることが可能となります

image.png

おわりに

本記事では OCI Cloud Guard Instance Security についてまとめました。
Cloud Guard で OS内も含めた CSPM を実現できるのは非常に便利であると思いますが、本機能だけでの網羅は現状厳しいということで、OCI Vulnerability Scanning Service もセットでクラウド環境のセキュリティを強化していくのがベストであると思います。

🌟この記事が誰かの役に立てば幸いです!
また、ご質問やフィードバックもお待ちしています。

参考資料

リファレンス

ブログ

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?