無料診断
    お問い合わせ

    オラクルでクラウド環境の設定ミスを防ごう!

     2020.10.30  株式会社テリロジー 技術統括部

    皆さんこんにちは!
    Tachanです。

    今回はCloud Guard(クラウド・ガード)の機能について書いていきたいと思います。

    2020年9月17日にOracleは、設定ミスやサイバー攻撃の脅威によるリスクから、
    クラウド上のワークロードやデータを自動的に保護するためのサービスを発表しました。
    https://www.oracle.com/jp/corporate/pressrelease/jp20190917-2.html

    1. Oracle Data Safe
      データベースのセキュリティを自動化し、データ、ユーザー、設定に関するセキュリティ問題を可視化
    2. Oracle Cloud Guard(今回ご紹介のサービス)
      データ解析、脅威や設定ミスの自動検出を行い、これらのセキュリティ上の脅威を追跡・阻止
    3. Oracle Maximum Security Zones
      常時稼働が求められる環境に、防止・検出機能を自動化する。
      ユーザーが設定したリソースのセキュリティ管理やセキュリティ施策を強化する

    Cloud Guardは、2020年9月15日に新機能として既にリリースされています。

    クラウド・ガード とは

    概要は下記の通りです。

    • 構成に関連するセキュリティの問題(弱点)を検出・改善する機能
    • 検出された問題やセキュリティ評価をダッシュボードで見ることができる
    • 検出された問題の修復を手動又は自動で行うことができる
    • 利用料は無料

    クラウド・ガードでは以下のサービスをチェックします。

    • APIキー
    • DB
    • DBシステム
    • ブロック・ボリューム
    • IAM
    • インスタンス
    • ロードバランサー
    • ネットワーク・セキュリティ・グループ
    • セキュリティリスト
    • ゲートウェイ
    • オブジェクト・ストレージ
    • パスワードポリシー
    • 管理者権限
    • 多要素認証
    • VNIC

    クラウド・ガードの作成方法

    実際にCloud Guardを触ってみます。

    ① 左のメニューバーの「セキュリティ」>「クラウド・ガード」をクリック

    ② クラウド・ガードの有効化をクリック

    クラウド・ガードの作成方法 画像1

    ③ クラウド・ガードが各リソースにアクセスするために「ポリシーの作成」を押し、「次へ」をクリック

    クラウド・ガードの作成方法 画像2

    ④ 以下のチェックしたい項目を選択し、有効化をクリック

    • リージョン
    • コンパートメント
    • 構成ディテクタ・レシピ (セキュリティの弱点を検出する際のルール)
    • アクティビティ・ディテクタ・レシピ (ユーザーのアクティビティの問題を検出・警告するルール)

    クラウド・ガードの作成方法 画像3

    以上でクラウド・ガード有効化することができました。

    クラウド・ガードの使い方

    作成後、ダッシュボードへ移動すると、テナンシ内のリスク評価や弱点が表示されます。
    ダッシュボードの機能について簡単に紹介します。

    ① 問題

    ここのタブではテナンシで検出された弱点を確認することができます。
    推奨設定が書かれているので改善が容易です。

    ② ディテクタ・レシピ

    ディテクタ・レシピは、セキュリティの弱点を検出する際のルールを指します。
    また、問題の自動修復を実行するためのトリガー(基準)になります。
    自動修復したい方はこちらをターゲットに追加しましょう。

    最初は、オラクルが用意したデフォルトのレシピしかありませんが、それをコピーし、内容をカスタムすることができます。
    ルールの無効化やリスクレベルの設定も変更可能のため、ユーザーの環境に合わせて脅威を検出することができます。

    ③ レスポンダ・レシピ

    このレシピは、②の基準で問題が検出された際にCloud Guardが自動で行うアクションを設定することができます。 自動修復したい方はこちらをターゲットに追加しましょう。

    デフォルトのレスポンダ・レシピでは以下のアクションが設定されています。

    ■通知

    • Cloud Event

    ■修復(実行)

    • IAMポリシーの削除
    • インターネットゲートウェイの削除
    • パブリックIPアドレスの削除
    • IAMユーザーの無効化
    • DBバックアップの有効化
    • プライベートバケットの作成
    • バリューキーの作成
    • インスタンスの停止
    • インスタンスの終了

    また、このレシピもディテクタ・レシピと同様に、既存のレシピをクローンすることで新しいレシピを作成することができます。

    使ってみて疑問に思ったところ・わかったこと

    • クラウド・ガードで検出される評価や問題は、対象を指定できるのか
      →できない。テナント全体をモニタリングする仕様になっている。
    • レシピは何に使われるのか
      →脅威をもつリソースやコンパートメントを特定したり、修復を自動で行いたいときに使う。
      その際、「ターゲット」、「ディテクタ・レシピ」、「レスポンダ・レシピ」の設定が必要。

    手動で修復を行う場合レスポンダ・レシピは必要ありません。
    また、ターゲットまたは自動実行の設定されてない限り、勝手に修復されることはありません。

    今回はクラウド・ガードを使ってみました!
    無料でクラウド環境のセキュリティを高められるので、
    ぜひクラウド・ガードを利用してみましょう!
    Architecting on AWS受講レポート
    Oracle WebLogicの脆弱性について

    RECENT POST「OCIサービス紹介」の最新記事

    OCIサービス紹介

    2022.03.22

    テリロジーが提供しているOCIの4つのサービス
    OCIサービス紹介

    2022.03.22

    Oracle FunctionsのスクリプトをAPIGW経由で確認 Part1
    OCIサービス紹介

    2022.03.22

    Oracle FunctionsのスクリプトをAPIGW経由で確認 Part2
    OCIサービス紹介

    2021.12.01

    OCIのDNSサービス
    オラクルでクラウド環境の設定ミスを防ごう!

    RECENT POST 最新記事

    Sumologicで目にするOpen Telemetry Collectorとは(前編)

    Sumologicで目にするOpen Telemetry Collectorとは(前編)
    CSE Automation で Slack 連携してみた

    CSE Automation で Slack 連携してみた
    Sumo Logic ダッシュボードやフォルダ共有について

    Sumo Logic ダッシュボードやフォルダ共有について
    Sumo Logicに関するサポート内容のご紹介

    Sumo Logicに関するサポート内容のご紹介
    Insight Trainerの活用方法 ~Sumo Logic CSEチューニングをより簡単に~

    Insight Trainerの活用方法 ~Sumo Logic CSEチューニングをより簡単に~

    RANKING人気記事ランキング

    ブログ無料購読のご案内

    TOPIC トピック一覧

    SEARCHブログ内検索