こんにちは!テリロジーのY.Tです。
今回はOCIのセキュリティゾーンのご説明とできることのご紹介をさせていただきます。
1.セキュリティゾーンとは
OCIのコンパートメントに、ポリシーを一括適用できるサービスです。
特定のコンパートメントに対して、セキュリティゾーンを設定することで、パブリックサブネットやパブリックバケットの作成を禁止することや、ブートボリュームやブロックボリュームはセキュリティゾーン以外のコンパートメントへの移動を禁止することなどのセキュリティポリシーを、一括で適用することが可能です。
適用後はポリシー違反となる操作はできないようになります。
また、セキュリティゾーンのポリシーはカスタマイズ可能なため、任意のポリシーのみを特定のコンパートメントに割り当てることも可能です。
2.セキュリティゾーンの適用方法
OCI Webコンソールの「アイデンティティとセキュリティ」>「セキュリティゾーン」へ推移します。
「セキュリティゾーンの作成」をクリックすると以下のような画面が出てきます。
「ゾーン・レシピの選択」では以下のいずれかが選択可能です。
- Oracle管理:デフォルトのポリシーが全て適用されます
- 顧客管理:適用するポリシーを任意に選択することができます。
※顧客管理を選択した場合、適用するポリシーのリストである「ゾーン・レシピ」を事前に作成しておき、指定します。
セキュリティゾーンに対して任意の名前、説明を入力後、
セキュリティゾーンを適用するコンパートメントを選択し保存することでセキュリティゾーンの作成が完了します。
3.任意のポリシーの適用方法
任意のポリシーのみを適用したい場合、「ゾーン・レシピ」をあらかじめ作成しておく必要があります。
「ゾーン・レシピ」は左メニューから作成することが可能です。
上記画像内にある、「ポリシー・タイプ」から、パブリックアクセスやデータの暗号化など、関連する項目毎に設定することも可能です。
選択可能なポリシー・タイプ:
- すべて
- Use Only Configurations Approved by Oracle:
ポリシー例)セキュリティ・ゾーンにAlways Freeデータベース・インスタンスは作成することは不可 など - Restrict Resource Association:
ポリシー例)ブート・ボリュームが同じセキュリティ・ゾーン内に存在しない場合、インスタンスの起動は不可 など - Restrict Resource Movement:
ポリシー例)セキュリティ・ゾーン内のデータベースを、同じセキュリティゾーンに紐づいていない、他のコンパートメントに移動することは不可 など - Require Encryption:
ポリシー例)セキュリティ・ゾーン内のブート・ボリュームは、Vaultサービスで顧客管理マスター暗号化キーを必ず利用する など - Deny Public Access:パブリック・アクセスの拒否
ポリシー例)パブリックサブネットやインターネットゲートウェイの作成することは不可 など - Ensure Data Durability:データ耐久性の保証
ポリシー例)データベースではバックアップの設定なしで作成することは不可 など - Ensure Data Security:データ・セキュリティの保証
ポリシー例)セキュリティ・ゾーン内のデータベース・バックアップを使用して、同じセキュリティゾーンに紐づいていない、他のコンパートメントでデータベースを作成することは不可 など
