7
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

Cloud Guardを使ってみる

Last updated at Posted at 2020-09-24

2020年9月にCloud Guardが正式にOracle Cloud Infrastructureの機能としてリリースされました。クラウド環境が正しくセキュアに使用されているかというのは管理者の心配事の一つですが、それを解決するべくCloud GuardはOCI上の各種設定がセキュアになっているか常に監視し、ポリシー違反や不正なアクテビティがあった場合にアラート通知、または設定の修正の自動化までを提供します。

ここでは、Cloud Guardの有効化手順と実際にパブリックになっているオブジェクト・ストレージ上のバケットの検出・修正までの一連の設定を紹介します。

今回は、OCI_Administratorロールを付与したユーザーですべてのコンパートメントを対象に設定をしていますが、参照のみのユーザーやコンパートメント単位で管理ユーザーを作成したいなどユーザーごとにアクセス制御の設定を追加したい場合はドキュメントのポリシーのユースケースを参考にして下さい。

Cloud Guardを有効化する

  • セキュリティ -> クラウド・ガード -> クラウド・ガードの有効化をクリック
    image.png

  • 必要なポリシーを追加
    image.png

  • 以下の設定を選択し、有効化を実行

    • レポート・リージョン: 各種ログのストア先、レポートリージョンはテナントで1つ
    • モニターするコンパートメント:すべて or コンパートメント指定
    • 構成・ディテクタレシピ: Oracle管理
    • アクテビティ・ディタクタレシピ: Oracle管理
      image.png
  • 有効化が完了すると、以下のCloud Guardのダッシュボードが表示される
    image.png

Cloud Guardの動作を確認する

Cloud Guardを有効化した時点で、二つのディテクタ・レシピは既に有効化されており、監視が開始されています。また、ダッシュボード上ではリスクスコアやいくつかの問題が検出され表示がされていると思います。

ここでは、OCI Configuration Detector Recipeの中にあるBucket is publicというパブリック・バケットに関するルールを検出させてみます。
image.png

このルールに検出させるのは、オブジェクト・ストレージ上に新しくバケットを作成し、プライベートからパブリックに変更するだけです。

  • バケットを作成するとCloud Guardの問題の画面にBucket is publicの問題が表示される
    image.png

  • 問題を修正するには一番右のメニューから修正を選択
    image.png

  • 必須のポリシーを追加し、修正を実行
    image.png

  • ダッシュボードのレスポンダ・ステータスにバケットをprivateに変更したことが確認できる
    image.png

提供されているレシピは、ユーザー独自の条件をつけてカスタムすることが可能です。
また、ディタクタ・レシピやレスポンダ・レシピの数はまだまだ少ないですが、今後のアップデートでさらに充実してくる予定です。

7
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
7
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?