今日は、OCI Architect (Associate)のセキュリティスキルチェック復習の日。
目次
とある日
Japanese: Become OCI Architect (Associate): 日本語 | Learn Oracle | Oracle University
Learn OCI & Try Hands-on LabsOracle Cloud Infrastructure Architect Associate Workshop (JP)
OCIスキルチェックの復習です。
Oracle Cloud Infrastructure Architect Associate認定試験に向けて勉強しています。
セキュリティスキルチェックで出てきたキーワードを調べてまとめた内容です。
Oracle Cloud Infrastructureのセキュリティについて
アプリケーションでは、セキュリティ、データ保護およびコンプライアンス要件をすべて満たす、信頼性の高い、パフォーマンスの高い、および費用効果の高いクラウド・ソリューションが必要です。Oracle Cloudは、状況に依存しないセキュリティ・テクノロジや運用プロセスの基盤として構築されており、これらを使用することで、セキュリティの不一致を完全に制御できます。
WAF(ウェブ・アプリケーション・ファイアウォール)
Oracle Cloud Infrastructure Web Application Firewall (WAF)は、ロード・バランサやWebアプリケーション・ドメイン名など、強制ポイントにアタッチされた、リージョンベースおよびエッジ強制サービスです。WAFは、悪意のある不要なインターネット・トラフィックからアプリケーションを保護します。WAFは、インターネット接続エンドポイントを保護することにより、顧客のアプリケーションに対する一貫性のあるルール適用を実現できます。
WAFを使用すると、サイト間スクリプト(XSS)、SQLインジェクション、およびその他のOWASP定義の脆弱性を含むインターネットの脅威に対してルールを作成および管理できます。アクセス・ルールは、地理情報またはリクエストの署名に基づいて制限できます。
Web Application Firewall(WAF)を使ってWebサーバを保護する - Oracle Cloud Infrastructureアドバンスド — oracle-tech
OCI Vault
Oracle Cloud Infrastructureボールトは、安全にリソースにアクセスするために使用するデータおよびシークレット資格証明を保護する暗号化キーを一元的に管理できる管理サービスです。ボールトは、従来は構成ファイルやコードに格納していたマスター暗号化キーおよびシークレットを安全に格納します。具体的には、保護モードに応じて、キーはサーバーに格納されるか、連邦情報処理標準(FIPS) 140 -2セキュリティ・レベル3のセキュリティ証明を満たす、可用性の高い永続的なハードウェア・セキュリティ・モジュール(HSM)に格納されます。
サポートされている主な暗号化アルゴリズム
マルチファクタ認証の管理
マルチファクタ認証は、ユーザーのアイデンティティを検証するために複数の要素を使用する必要がある認証の方法です。
- ユーザーのみが自分のアカウントに対してマルチファクタ認証(MFA)を有効化できます
- ユーザーは自分のアカウントのMFAを無効化することもできます
- 管理者グループのメンバーは他のユーザーのMFAを無効にできますが、別のユーザーのMFAを有効にできません
サポートされるオーセンティケータ・アプリケーション
MFAの注意点
- MFAに登録する予定のモバイル・デバイスに、サポートされているオーセンティケータ・アプリケーションをインストールする必要があります。
- 各ユーザーは、サインインするたびにアクセスできるデバイスを使用して、MFAを有効にする必要があります。管理者は、別のユーザーのMFAを有効化できません。
- MFAを有効化するには、モバイル・デバイスのオーセンティケータ・アプリケーションを使用して、IAMサービスによって生成され、コンソールに表示されるQRコードをスキャンします。QRコードは、秘密キーをアプリケーションと共有しており、アプリケーションはIAMサービスによって検証可能なTOTPを生成できます。
- ユーザーは、MFAで使用するデバイスを1つのみ登録できます。
- Oracle Cloud Infrastructureアカウントをオーセンティケータ・アプリケーションに追加すると、アカウント名がOracle <tenancy_name> -
としてオーセンティケータ・アプリケーションに表示されます。
セキュリティ・ゾーン
セキュリティ・ゾーンを使用すると、コンピュート、ネットワーキング、オブジェクト・ストレージおよびデータベース・リソースを含むOracle Cloud InfrastructureのリソースがOracleのセキュリティ原則に準拠していることを確信できます。
セキュリティ・ゾーンは、コンパートメントおよびセキュリティ・ゾーン・レシピに関連付けられます。
セキュリティ・ゾーン・レシピで定義されたポリシーのリストに対してこれらの操作が検証されます。セキュリティ・ゾーン・ポリシーに違反している場合、操作は拒否されます。
ゾーン内に定義されているリソースは事前定義したポリシーが適用される。
あれしたらだめこれしたらだめみたいなルールを決めれる。
操作ユーザ主導ではなく、リソース主導の操作を定義できるサービス
〆
他のクラウドサービスやもともとある機能がOCIでも導入されているため理解はしやすい。