· 

オラクルでクラウド環境の設定ミスを防ごう!

皆さんこんにちは!

Tachanです。

 

 

今回はCloud Guard(クラウド・ガード)の機能について書いていきたいと思います。

 

2020917日にOracleは、設定ミスやサイバー攻撃の脅威によるリスクから、

クラウド上のワークロードやデータを自動的に保護するためのサービスを発表しました。

https://www.oracle.com/jp/corporate/pressrelease/jp20190917-2.html

 

 

    Oracle Data Safe
・データベースのセキュリティを自動化し、データ、ユーザー、設定に関するセキュリティ問題を可視化

    Oracle Cloud Guard(今回ご紹介のサービス)
・データ解析、脅威や設定ミスの自動検出を行い、これらのセキュリティ上の脅威を追跡・阻止

    Oracle Maximum Security Zones
・常時稼働が求められる環境に、防止・検出機能を自動化する。
ユーザーが設定したリソースのセキュリティ管理やセキュリティ施策を強化する

 

Cloud Guardは、2020915日に新機能として既にリリースされています。

 

 

1.クラウド・ガード とは

概要は下記の通りです。

・構成に関連するセキュリティの問題(弱点)を検出・改善する機能

・検出された問題やセキュリティ評価をダッシュボードで見ることができる

・検出された問題の修復を手動又は自動で行うことができる

・利用料は無料

 

 

クラウド・ガードでは以下のサービスをチェックします。

APIキー

DB

DBシステム

・ブロック・ボリューム

IAM

・インスタンス

・ロードバランサー

・ネットワーク・セキュリティ・グループ

・セキュリティリスト

・ゲートウェイ

・オブジェクト・ストレージ

・パスワードポリシー

・管理者権限

・多要素認証

VNIC

2.クラウド・ガードの作成方法

実際にCloud Guardを触ってみます。

    左のメニューバーの「セキュリティ」>「クラウド・ガード」をクリック

    クラウド・ガードの有効化をクリック 

 

    クラウド・ガードが各リソースにアクセスするために「ポリシーの作成」を押し、「次へ」をクリック

    以下のチェックしたい項目を選択し、有効化をクリック

・リージョン

・コンパートメント

・構成ディテクタ・レシピ (セキュリティの弱点を検出する際のルール)

・アクティビティ・ディテクタ・レシピ (ユーザーのアクティビティの問題を検出・警告するルール)

 

以上でクラウド・ガード有効化することができました。

3.クラウド・ガードの使い方

作成後、ダッシュボードへ移動すると、テナンシ内のリスク評価や弱点が表示されます。

ダッシュボードの機能について簡単に紹介します。

 

    問題

ここのタブではテナンシで検出された弱点を確認することができます。

推奨設定が書かれているので改善が容易です。

 

 

    ディテクタ・レシピ

ディテクタ・レシピは、セキュリティの弱点を検出する際のルールを指します。

また、問題の自動修復を実行するためのトリガー(基準)になります。

自動修復したい方はこちらをターゲットに追加しましょう。

 

最初は、オラクルが用意したデフォルトのレシピしかありませんが、それをコピーし、内容をカスタムすることができます。

ルールの無効化やリスクレベルの設定も変更可能のため、ユーザーの環境に合わせて脅威を検出することができます。

 

 

    レスポンダ・レシピ

このレシピは、②の基準で問題が検出された際にCloud Guardが自動で行うアクションを設定することができます。

自動修復したい方はこちらをターゲットに追加しましょう。

 

デフォルトのレスポンダ・レシピでは以下のアクションが設定されています。

■通知

Cloud Event

 

■修復(実行)

IAMポリシーの削除

・インターネットゲートウェイの削除

・パブリックIPアドレスの削除

IAMユーザーの無効化

DBバックアップの有効化

・プライベートバケットの作成

・バリューキーの作成

・インスタンスの停止

・インスタンスの終了

 

また、このレシピもディテクタ・レシピと同様に、既存のレシピをクローンすることで新しいレシピを作成することができます。

 

 

4.使ってみて疑問に思ったところ・わかったこと

・クラウド・ガードで検出される評価や問題は、対象を指定できるのか

→できない。テナント全体をモニタリングする仕様になっている。

 

・レシピは何に使われるのか

→脅威をもつリソースやコンパートメントを特定したり、修復を自動で行いたいときに使う。

その際、「ターゲット」、「ディテクタ・レシピ」、「レスポンダ・レシピ」の設定が必要。

 

手動で修復を行う場合レスポンダ・レシピは必要ありません。

また、ターゲットまたは自動実行の設定されてない限り、勝手に修復されることはありません。

 

 

今回はクラウド・ガードを使ってみました!

無料でクラウド環境のセキュリティを高められるので、

ぜひクラウド・ガードを利用してみましょう!