サービス概要/特徴
ハイライトする時はこのマークダウンを使う。
OCI Security Zoneは、Oracle Cloud Infrastructure (OCI)にて標準機能(無償)として提供されるサービスの一つです。 主にセキュリティとコンプライアンスを強化するために使われます。
当該記事では、初めて使う人向けに、OCI Security Zone の基本的な機能、利用方法、およびメリットについて説明します。
セキュリティ・ゾーンを利用することで、従来は手動でユーザ毎に複雑なポリシーを付与して管理していたところ、リソース作成時にセキュリティポリシーを自動的に反映させることが可能となります。 これにより、データ保護とコンプライアンスを確保を実現することが可能になります。
たとえば、暗号化の強制、パブリックアクセスの制限、不正な構成が検知された場合、これらの操作が反映されることを防ぎます。これにより、組織はセキュリティ侵害のリスクを大幅に軽減し、クラウド環境の安全性を高めることができます。OCI Security Zoneは、シンプルな設定と自動化されたセキュリティ管理を提供し、クラウド運用の効率を向上させます。
外部からの攻撃を防ぐというよりは、内部からセキュリティを堅牢にする類のサービスと認識してもらって問題ないと思います。
• •
• •
どんな時に使うと便利か
- 高いセキュリティレベルで保護する必要があるコンパートメントに対してセキュリティ・ポリシーを適用したいときに大変便利
→ 例えば、機密性の高いデータが保存されたDatabaseや インスタンスがあるコンパートメントに対して、厳格なアクセス 管理を実現したい場合など。 改行したい
- リソース要件に合わせて、Security ZonesとCloud Guardを組み合わせ、厳格なアクセス管理を行うコンパートメントとリスクの検知を行うコンパートメントを構成したい場合。
→ 同社別サービスのCloud Guardもコンパートメント単位でのセキュリティリスク監視を実現するサービスとなるため、Security Zoneと組み合わせた利用もセキュリティ対策に効果的です。
コンパートメントとは:
Oracle Cloud Infrastructure で使用される論理的なグループのこと。
例えば、異なるプロジェクトや部門、環境(開発、テスト、本番など)ごとにリソースをグループ化することができるため、コンパートメントは、リソースの管理やアクセス制御、コスト管理に役立ちます。
てすと
レシピ
セキュリティ・ゾーンでは、選択したコンパートメント内のリソースに対して、 セキュリティ・ゾーン・ポリシーを割り当てることができます。セキュリティ・ゾーン内でのリソース作成または更新などの操作が セキュリティ・ゾーン・ポリシーに違反する場合、実行できません。
レシピとは、セキュリティ・ゾーン・ポリシーの集合です。
セキュリティ・ ゾーンにはレシピが割り当てられ、レシピ内で有効化されているす べてのポリシーが実施されます。レシピは、大きく分けてMaximum Security RecipeとCustom Security Recipeの2つに分類することができます。
これらのレシピは以下の7つのタイプに分類することができます。
レシピの詳細な定義についてはこちらをご参照願います。
Maximum Security Recipe
オラクルにて事前定義した57のセキュリティ・レシピが適用されます。
Oracle管理タイプのレシピとなりますので、ユーザー側でポリシーの内容を変更することはできません。
オラクルが定義するベストプラクティスで運用可能なセキュリティレシピとなります。
Custom Security Recipe
一方で、Custom Security Recipeは顧客管理タイプのレシピとなります。
ユーザー自身でセキュリティ・レシピを管理することができる為、事前定義された57のポリシーをチューニング(有効/無効)することが可能です。オラクルが定義するベストプラクティスでは運用が難しい時などに有効なレシピです。
導入方法
1: OCIトップ画面のナビゲーション・メニューから
アイデンティティ・セキュリティ > セキュリティ・ゾーンを選択します。
2: コンパートメントを選択
3: セキュリティ・ゾーンの作成を選択
4: ゾーンレシピを選択
Oracle 管理→ Maximum Security Recipeが適用されます。
顧客管理→ レシピの作成 項目から自身でチィーニングしたCustom Security Recipeを選択することも可能です。
ユースケース
潜在的なセキュリティリスクの特定
【対策概要】
n 潜在するセキュリティリスクを可視化し、情報漏洩などに 繋がるセキュリティインシデントを抑止
Ø 脆弱な設定状況の把握と改善
Ø OCIユーザーの不正アクティビティを検知・対応
n 精度の高いセキュリティリスク管理にて、運用・管理における ワークロードを最適化
Ø 脅威インテリジェンスデータを用いた精度の高い分析 Ø 脆弱な設定の自動修復
【サービス構成(例)】
n Cloud Guard ・・・ セキュリティリスクの検知・対応
n Vulnerability Scanning ・・・ インスタンスの脆弱性を調査 n Threat Intelligence ・・・ 脅威インテリジェンスデータの提供 n Security Zones ・・・ 特定コンパートメントを要塞化
まとめ
OCI Security Zoneはセキュリティポリシーの自動適用に焦点を当てており、リソース作成時にセキュリティを確保することが可能となる無償サービスとなります。