本記事ではOCI Security Zoneにて事前定義されているポリシーの一覧を紹介します。
OCI Security Zone ポリシーは7つに分類することができます。この記事では、7種類全てのポリシーを紹介すると同時に、各ポリシーの細かい定義について紹介していきます。
タイプ1: "リソース移動の制限"(Restrict Resource Movement)
[ポリシー概要]
データの整合性を確保するため、セキュリティ・ゾーン内の特定のリソースは、セキュリティ・ゾーンの外部にあるコンパートメントに移動することを禁じます。また、セキュリティ・ゾーン内のすべてのポリシーが満たされないかぎり、既存のリソースをセキュリティ・ゾーン内のコンパートメントに移動することを禁止します。
deny block_volume_in_security_zone_move_to_compartment_not_in_security_zone
リソースタイプ:ブロック・ストレージ
セキュリティ・ゾーン内のブロック・ボリュームは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。
deny boot_volume_in_security_zone_move_to_compartment_not_in_security_zone
リソースタイプ:ブロック・ストレージ セキュリティ・ゾーン内のブート・ボリュームは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。
deny instance_in_security_zone_move_to_compartment_not_in_security_zone
リソースタイプ:コンピュート
セキュリティ・ゾーン内のコンピュート・インスタンスは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。。
deny instance_not_in_security_zone_move_to_compartment_in_security_zone
リソースタイプ:コンピュート
同じセキュリティ・ゾーンにないコンパートメントからコンピュート・インスタンスをセキュリティ・ゾーンに移動することはできません。
deny subnet_in_security_zone_move_to_compartment_not_in_security_zone
リソースタイプ:仮想ネットワーク(VCN)
セキュリティ・ゾーン内のサブネットは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。
deny bucket_in_security_zone_move_to_compartment_not_in_security_zone
リソースタイプ:オブジェクト・ストレージ
セキュリティ・ゾーン内のバケットは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。
deny file_system_in_security_zone_move_to_compartment_not_in_security_zone
リソースタイプ:ファイル・ストレージ
セキュリティ・ゾーン内のファイル・システムは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。
deny mount_target_in_security_zone_move_to_compartment_not_in_security_zone
リソースタイプ:ファイル・ストレージ
セキュリティ・ゾーン内のマウント・ターゲット(ファイル・ストレージ)は、同じセキュリティ・ゾーンにないコンパートメントに移動できません。
deny db_instance_move_to_compartment_not_in_security_zone
リソースタイプ:データベース(すべてのタイプ)
セキュリティ・ゾーン内のデータベースは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。
deny database_with_dataguard_association_move_to_compartment_in_security_zone
リソースタイプ:"データベース(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム)"
Data Guardアソシエーションが同じセキュリティ・ゾーン内にない場合、データベースをセキュリティ・ゾーンに移動できません。!
タイプ2:"リソース移動の制限"(Restrict Resource Movement)"
[ポリシー概要]
データの整合性を確保するため、セキュリティ・ゾーン内の特定のリソースは、セキュリティ・ゾーンの外部にあるコンパートメントに移動できません。移動するとセキュリティが低下する可能性があるためです。また、セキュリティ・ゾーン内のすべてのポリシーが満たされないかぎり、既存のリソースをセキュリティ・ゾーン内のコンパートメントに移動することはできません。
deny block_volume_in_security_zone_move_to_compartment_not_in_security_zone ブロック・ストレージ セキュリティ・ゾーン内のブロック・ボリュームは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。
deny boot_volume_in_security_zone_move_to_compartment_not_in_security_zone** ブロック・ストレージ セキュリティ・ゾーン内のブート・ボリュームは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。
deny instance_in_security_zone_move_to_compartment_not_in_security_zone コンピュート セキュリティ・ゾーン内のコンピュート・インスタンスは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。。
deny instance_not_in_security_zone_move_to_compartment_in_security_zone** コンピュート 同じセキュリティ・ゾーンにないコンパートメントからコンピュート・インスタンスをセキュリティ・ゾーンに移動することはできません。
deny subnet_in_security_zone_move_to_compartment_not_in_security_zone 仮想ネットワーク(VCN) セキュリティ・ゾーン内のサブネットは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。
deny bucket_in_security_zone_move_to_compartment_not_in_security_zone オブジェクト・ストレージ セキュリティ・ゾーン内のバケットは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。
deny file_system_in_security_zone_move_to_compartment_not_in_security_zone ファイル・ストレージ セキュリティ・ゾーン内のファイル・システムは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。
deny mount_target_in_security_zone_move_to_compartment_not_in_security_zone ファイル・ストレージ セキュリティ・ゾーン内のマウント・ターゲット(ファイル・ストレージ)は、同じセキュリティ・ゾーンにないコンパートメントに移動できません。
deny db_instance_move_to_compartment_not_in_security_zone データベース(すべてのタイプ) セキュリティ・ゾーン内のデータベースは、同じセキュリティ・ゾーンにないコンパートメントに移動できません。
deny database_with_dataguard_association_move_to_compartment_in_security_zone "データベース
(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム)" Data Guardアソシエーションが同じセキュリティ・ゾーン内にない場合、データベースをセキュリティ・ゾーンに移動できません。
タイプ2: リソース関連の制限(Restrict Resource Association)
[ポリシー概要]
セキュリティ・ゾーンのリソースに必要なすべてのコンポーネントも同じセキュリティ・ゾーンに配置されている必要があります。セキュリティ・ゾーンにないリソースは脆弱で、別のセキュリティ・ゾーンのリソースはセキュリティ状態が低い可能性があります。
タイプ3: パブリック・アクセスの拒否(Deny Public Access)
[ポリシー概要]
セキュリティ・ゾーン内のリソースは、パブリック・インターネットからアクセスできない必要があります。
プライベート・サブネットを作成する場合、そのサブネットで起動されたコンピュート・インスタンスは、パブリックIPアドレスを持つことができません。この制限により、サブネット内のコンピュート・インスタンスにインターネット・アクセスできないことが保証されます。プライベート・サブネットのコンピュート・インスタンスの場合、サービス・ゲートウェイによって、オブジェクト・ストレージなどのパブリック・サービスへのプライベート・アクセスが可能になります。
タイプ4: 暗号化の要求(Require Encryption)
[ポリシー概要]
セキュリティ・ゾーン内のリソースは、顧客管理キーを使用して暗号化する必要があります。データは、転送中も保存中も暗号化する必要があります。
"暗号化の要求
(Require Encryption)" セキュリティ・ゾーン内のリソースは、顧客管理キーを使用して暗号化する必要があります。データは、転送中も保存中も暗号化する必要があります。
deny block_volume_without_vault_key ブロック・ストレージ セキュリティ・ゾーン内のブロック・ボリュームは、ボールト・サービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。
deny boot_volume_without_vault_key ブロック・ストレージ セキュリティ・ゾーン内のブート・ボリュームは、ボールト・サービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。
deny buckets_without_vault_key オブジェクト・ストレージ セキュリティ・ゾーン内のオブジェクト・ストレージ・バケットは、ボールト・サービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。
deny file_system_without_vault_key ファイル・ストレージ セキュリティ・ゾーン内のファイル・システムは、ボールト・サービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。
タイプ5: データ耐久性の保証(Ensure Data Durability)
[ポリシー概要]
セキュリティ・ゾーン内のリソースに対して定期的に自動バックアップを実行する必要があります。
deny database_without_backup
"データベース
(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム)"
"セキュリティ・ゾーン内のデータベースは、自動バックアップを実行するように構成する必要があります。
Oracle Cloud Infrastructure Object Storageへのデータベースのバックアップを参照してください"
タイプ6: データ・セキュリティの保証(Ensure Data Security)
[ポリシー概要]
セキュリティ・ゾーン内のデータは特権的とみなされ、セキュリティ・ゾーンの外部にコピーできません。
deny database_not_in_security_zone_create_from_backup_in_security_zone "データベース
(ベア・メタルおよび仮想マシンDBシステム、Exadata DBシステム)" セキュリティ・ゾーン内のデータベース・バックアップを使用して、同じセキュリティ・ゾーンにないデータベースを作成することはできません。
deny database_in_security_zone_create_clone_not_in_security_zone "データベース
(仮想マシンDBシステム、Autonomous Database)" セキュリティ・ゾーン内のデータベースをクローニングして、同じセキュリティ・ゾーンにないデータベースを作成することはできません。
deny file_system_in_security_zone_clone_to_compartment_not_in_security_zone ファイル・ストレージ セキュリティ・ゾーンにファイル・システムをクローニングして、同じセキュリティ・ゾーンにないファイル・システムを作成することはできません。
タイプ7: Oracleが承認する構成のみの使用(Use Only Configurations Approved by Oracle)
[ポリシー概要]
Oracleでは、セキュリティ・ゾーン内のリソースに対して特定のセキュリティ機能を有効にして構成する必要があります。
1つの例は、コンピュート・インスタンス(コンピュート)のオペレーティング・システム構成です。
deny instance_without_sanctioned_image コンピュート、コンピュートマネジメント プラットフォーム・イメージを使用して、セキュリティ・ゾーンにコンピュート・インスタンスを作成する必要があります。カスタム・イメージからセキュリティ・ゾーンにコンピュート・インスタンスを作成することはできません。
deny free_database_creation "データベース
(すべてのタイプ)" セキュリティ・ゾーンにAlways Freeデータベース・インスタンスは作成できません。
deny security_list_to_allow_traffic_to_restricted_port
仮想ネットワーク(VCN) セキュリティ・ゾーン内の制限付きポートへのトラフィックを許可するセキュリティ・リストを作成または変更することはできません。
deny delete_network_security_group
仮想ネットワーク(VCN) セキュリティ・ゾーン内のVCNネットワーク・セキュリティ・グループは削除できません。
deny load_balancer_with_weak_SSL_communication Load Balancer セキュリティ・ゾーン内のロード・バランサ・リスナーのSSLポリシーは、TLS 1.2以上を使用する必要があります。
deny network_security_group_with_unsecure_ingress_rule 仮想ネットワーク(VCN) セキュリティ・ゾーン内のセキュアでないポートまたはIPアドレスへのイングレスを許可するルールでは、ネットワーク・セキュリティ・グループを追加できません。
deny revoke_certificate_authority_version 証明書管理 セキュリティ・ゾーン内の認証局(CA)バンドル内の中間証明書を取り消すことはできません。
deny delete_vcn 仮想ネットワーク(VCN) セキュリティ・ゾーン内のVCNは削除できません。
deny update_route_table 仮想ネットワーク(VCN) セキュリティ・ゾーンのVCNルート表は更新できません。
deny update_network_security_group_ingress_rule 仮想ネットワーク(VCN) セキュリティ・ゾーン内のネットワーク・セキュリティ・グループのイングレス・ルールは変更できません。
deny update_network_security_group_egress_rule 仮想ネットワーク(VCN) セキュリティ・ゾーン内のネットワーク・セキュリティ・グループのエグレス・ルールは変更できません。
deny delete_vcn_security_list 仮想ネットワーク(VCN) セキュリティ・ゾーン内のVCNセキュリティ・リストは削除できません。
deny update_vcn_security_list_ingress_rules 仮想ネットワーク(VCN) セキュリティ・ゾーン内のVCNセキュリティ・リストのイングレス・セキュリティ・ルールは変更できません。
deny update_vcn_security_list_egress_rules 仮想ネットワーク(VCN) セキュリティ・ゾーン内のVCNセキュリティ・リストのイングレス・セキュリティ・ルールは変更できません。
deny update_DHCP_options 仮想ネットワーク(VCN) セキュリティ・ゾーンのDHCPオプションは更新できません。
仮想ネットワーク(VCN) セキュリティ・ゾーン内のローカル・ピアリング・ゲートウェイは更新できません。
deny detach_volume
ブロック・ストレージ セキュリティ・ゾーン内のボリュームはデタッチできません。
deny delete_certificate_authority
証明書管理 セキュリティ・ゾーン内の認証局は削除できません。