· 

OCIセキュリティサービスのまとめ

みなさまこんにちは。Tachanです。

 

以前クラウドガードについての記事を書きました。

 

OCIではミッションクリティカルなワークロードの実行や安全性の高いデータの保存のために、効果的で管理しやすいセキュリティを提供しています。

OCIのセキュリティアプローチは、以下の7本の柱に基づき設計されています。

  1. 顧客の分離
  2. データ暗号化
  3. セキュリティコントロール
  4. 可視性
  5. セキュアハイブリッド・クラウド
  6. 高可用性
  7. セキュア・インフラストラクチャ(3rd partyによる監査、厳しいセキュリティ基準への対応)

今回は、クラウドガード以外にOCIでどのようなセキュリティサービスが提供されているのかまとめていこうと思います。

提供されているセキュリティサービス

OCIではセキュリティサービスとして以下のサービス、または機能を提供しています。

 

リージョン可用性ドメイン

OCIではデータセンターを各国や地域に独立させ、データの可用性と耐久性を高めています。

また、地理的プロファイルおよび脅威プロファイルを備えたインフラストラクチャを選択することが可能です。

 

Identity and Access Management (IAM)

クラウド・リソースにアクセスできるユーザーを制御することで、安全なアクセスを実現できます。

権限は4種類あり、IAMのポリシーを記述することで設定ができます。

(リンクをクリックすると、同ブログの「OCIユーザへのポリシーの適用方法」の記事に飛びます)

 

inspect: リソースの機密情報またはユーザー指定メタデータにはアクセスせずに、リソースをリストできる権限を提供します。

read: inspectに加えて、ユーザー指定のメタデータおよび実際のリソースそのものを取得する権限が含まれます。

use: readに加えて、既存のリソースを操作する権限が含まれます(操作はリソース・タイプによって異なります)。

リソースを更新する権限が含まれますが、更新操作が実質的には作成操作と同じであるリソース・タイプは、更新することができません。そのような場合、更新できるのはmanage権限になります。

manage: リソースに対するすべての権限が含まれます。

 

 

セキュリティ・ゾーン

コンパートメントに関連付けられるサービスで、リソースのセキュリティ・ポリシーを自動的に設定して適用します。

このセキュリティ・ポリシーはOracleのセキュリティ原則およびベスト・プラクティスであり、誤ってオブジェクトストレージを公開してしまうなどの設定ミス防止に役立ちます。

 

Oracle Cloud Infrastructure Audit

テナンシ内のリソースへのすべてのAPIコール、およびGUI管理コンソールからのログイン・アクティビティが記録されます。

※オブジェクト・ストレージ・サービスでは、バケット関連イベントのロギングがサポートされますが、オブジェクト関連イベントのロギングはサポートされません。

ログの中の情報には、次の情報が含まれています。

・APIアクティビティが発生した時間

・アクティビティのソース

・アクティビティのターゲット

・アクションのタイプ

・レスポンスのタイプ

  

 

ボールト・サービス

データの保護や保護されたリソースへの接続に使用する、

暗号化キーまたはシークレット資格証明を作成、管理できます。

ボールトを使用することで、ボールトやマスター暗号化キー、シークレットのライフサイクル管理機能を実行できるため、これらのリソースの制御やアクセスが簡単になります。

 

 

セキュリティ・アドバイザ

セキュリティ設定と監視を一元的に管理することが可能です。

リソースの作成と設定を安全に行うためのワークフローを提供します。

セキュリティ・アドバイザでは、以下が作成可能です。

 

  • セキュアなオブジェクト・ストレージ・バケット
  • セキュア・ファイル・システム
  • セキュアな仮想マシン・インスタンス
  • セキュアなブロック・ボリューム

上記のリソースを作成する際に、セキュリティ・ポリシーに適合したセキュアな設定が行われるようサポートする機能を提供しています。

これを使うことで、セキュアなリソース作成を簡単に行うことができます。

 

 

2.その他のサービスが持つセキュリティ機能

■インスタンス

インスタンスでベア・メタル・インスタンスを選択すると、物理サーバーを完全に専用することができます。

このインスタンスはOracle管理のハイパーバイザがないため、Oracle担当者はメモリーまたはローカル(NVMe)ストレージにアクセスできません。

また、ベア・メタル・インスタンスでは、ユーザーはOSレベルの管理権限を持ちます。

 

 

■ネットワーク

ネットワークではセキュアな通信を実現できるIPSecや、専用線サービスFastConnectが提供されています。

他にもVCNのアクセスをパケットレベルで制御するセキュリティ・リストや、

インスタンス単位でアクセス制御するネットワーク・セキュリティ・グループがあります。

 

 

■ストレージ・サービス

OCIでは3種類のストレージサービスが提供されています。

 

ローカル・ストレージ

インスタンス上のNVMe対応ストレージです。高いIOPSが提供されます。

 

ブロック・ボリューム

ネットワーク接続されたストレージ・ボリューム。iSCSIプロトコルを使用してインスタンスにアタッチできる永続ストレージを提供します。

ボリュームは高パフォーマンスのネットワーク・ストレージに格納され、自動バックアップおよびスナップショット機能をサポートします。ボリュームとそのバックアップは、ユーザーのVCN内からのみアクセスすることができ、保存中は一意キーを使用して暗号化されます。

 

オブジェクト・ストレージ

大容量のデータをオブジェクトとして格納するためのリージョン用サービス。強力な一貫性と耐久性を提供します。

すべてのオブジェクトは、保存中に一意キーを使用して暗号化され、

デフォルトではバケットおよびオブジェクトへのアクセスに認証が必要になります。

 

ユーザーはIAMのセキュリティ・ポリシーを使用して、ユーザーおよびグループにバケットへのアクセス権限を付与できます。

3.おわりに

以上、OCIで提供されているセキュリティサービスのまとめでした。

 

次回は、自分が知らなかったサービスや、各サービスのベストプラクティスについて

書いていきたいと思います。

最後までお読みいただきありがとうございました。