今日はなにの日。

気になったこと勉強になったことのメモ。

今日は、OCI Security 2021 Associateの試験内容チェックリストの日。

目次

とある日

Oracle Cloud Infrastructure Security 2021 Associateを受けるので試験ガイドにある、本試験のチェックリストについて調べた内容をまとめた内容です。

Oracle Cloud Infrastructure Security 2021 Associate | Oracle University

クラウド・セキュリティのビジネス上の促進要因と課題

  • 促進要因
    • 迅速な導入:新しいアプリケーションの迅速な導入およびアプリケーション・プロバイダの速やかな変更が可能
    • 費用便益:短期間でのコスト効果の高いライセンス供与
    • 効果的なコラボレーション:: パートナと顧客、サプライヤ、子会社および買収先とのコラボレーションが可能
  • 課題
    • クラウドを利用する上での理解する必要のあるコンセプトとしてセキュリティが共同責任であるということ
    • アプリケーションおよびデータのセキュリティ
    • アイデンティティおよびアクセス管理
    • コンプライアンス、ガバナンスおよび信頼

Cloud-Security-Essentials-ExecPaper_jp.pdf

2021年以降のクラウド・セキュリティにおける上位5つの傾向

クラウド・インフラストラクチャ・セキュリティ|Oracle | Oracle 日本

クラウド・セキュリティのユース・ケース、課題、トレンド(IDaaS、SIEMなど)の特定

ユース・ケース

課題

また、クラウドならではの考え方として、責任共有モデルがあります。これは、クラウドで提供されるシステムにおいて、クラウド事業者が責任を持つ部分とサービスを利用する顧客が責任を持つ部分を明確に分ける考え方で、大きく3つに分類されます。

オラクルのクラウドセキュリティソリューション

  1. ユーザー管理:お客様側でツールの活用やセキュリティ構成の管理を実施
  2. 共有責任:クラウド業者は仕組みを提供、お客様は管理作業に責任
  3. クラウド事業者管理:セキュアなクラウド・インフラとサービスをクラウド事業者が実施

トレンド

2021年以降のクラウド・セキュリティにおける上位5つの傾向

IDaaS

Oracle Identity Cloud Serviceは、クラウド・ネイティブなIdentity-as-a Service(IDaaS)プラットフォームを使用して、さまざまなクラウドおよびオンプレミスのアプリケーションとサービスにわたるユーザー・アクセスと資格を管理します。組織は、ゼロトラスト戦略を可能にし、ユーザーIDを新しいセキュリティ境界として確立できます。

Identity Cloud Service | Oracle 日本

SIEM(Security Information and Event Management)

セキュリティ情報イベント管理(SIEM)システムは、クラウド・リソースのセキュリティを管理するための重要な操作ツールです。Oracle Cloud Infrastructureには、Splunkを使用して効率的なSIEMシステムを実装するために利用できるネイティブの脅威検出、防止およびレスポンス機能が含まれています。

Oracle Cloudからストリームされたログを使用したSplunkへのSIEMシステムの実装

アイデンティティおよびアクセスの管理

クラウド・アクセス資格証明の保護と個々のユーザー・アカウントの設定を担当します。また、自分の従業員アカウントについて、およびテナンシ内で発生するすべてのアクティビティについて、アクセスを管理してレビューする責任も担います。

セキュリティの概要

ユーザー、グループおよびポリシーによるスケーラブルな認可モデルの設計

ユーザ

会社のOracle Cloud Infrastructureリソースを管理または使用する必要がある個々の従業員またはシステム。ユーザーには、インスタンスの起動、リモート・ディスクの管理、仮想クラウド・ネットワークの使用などが必要な場合があります。アプリケーションのエンド・ユーザーは、通常、IAMユーザーではありません。ユーザーには1つ以上のIAM資格証明があります(ユーザー資格証明を参照)。

グループ

一連の特定のリソースまたはコンパートメントに同じアクセスのタイプが必要なすべてのユーザーの集合。

ポリシー

どのユーザーがどのリソースにアクセスできるか、およびその方法を指定するドキュメントです。アクセス権はグループ・レベルおよびコンパートメント・レベルで付与されるため、特定のコンパートメント内またはテナンシ自体への特定のアクセスのタイプをグループに付与するポリシーを記述できます。テナンシへのグループ・アクセス権を付与する場合、グループはテナンシ内のすべてのコンパートメントへの同じアクセスのタイプを自動的に取得します。詳細は、シナリオ例とポリシーの仕組みを参照してください。「ポリシー」の用法は様々です。ポリシー言語で記述された個々のステートメントを意味する場合、"policy"という名前の(Oracle Cloud ID (OCID)が割り当てられている)単一ドキュメント内のステートメントの集合を意味する場合、リソースへのアクセスを制御するために組織で使用されるポリシーの本文全体を意味する場合があります。

条件付きおよび高度なポリシーの実施

一般的なポリシー例:単一グループを指定する場合

Allow group A-Admins to manage all-resources in compartment Project-A

権限またはAPI操作を使用したアクセスのスコープ設定

ポリシー・ステートメントでは、権限またはAPI操作と組み合せた条件を使用して、特定の動詞によって付与されるアクセスの範囲を減らすことができます。

たとえば、グループXYZをリスト、取得、作成または更新でき、削除はできないとします。

  • GROUP_INSPECT
  • GROUP_UPDATE
  • GROUP_CREATE
  • GROUP_DELETE
Allow group XYZ to manage groups in tenancy
 where any {request.permission='GROUP_INSPECT',
            request.permission='GROUP_CREATE',
            request.permission='GROUP_UPDATE'}

否定文を使うことで、GROUP_DELETEを除くすべての権限が許可されるポリシーを作成することもできます。

Allow group XYZ to manage groups in tenancy where request.permission != 'GROUP_DELETE'

リクエスタのIPアドレスによるポリシーの範囲指定

アクセスの範囲を、許可されたIPアドレスのセットのみに設定できます。たとえば、特定のパブリックIP範囲で発生したリクエストのみに特定のオブジェクト・ストレージ・バケットへのアクセスを許可するポリシーを記述したり、特定のVCNの特定のサブネットのみにサービス・ゲートウェイを介したリクエスト発行を許可することができます。

ポリシーにIPアドレスを記述するのではなく、IPアドレスを定義したネットワーク・ソース・オブジェクトをポリシーで記述する。

例:

allow group GroupA to manage object-family in tenancy where request.networkSource.name='corpnet'

時間枠に基づいたリソースへのアクセスの制限

ポリシーで時間ベースの変数を使用して、ポリシーで付与されるアクセスを特定の時間枠のみに制限できます。この機能を使用すると、リソースに対するアクションを特定の時間に制限できます。たとえば、指定した日付までのアクセスのみを許可するポリシーを作成できます。このようなポリシーは、会社が契約者を採用し、契約終了日を過ぎてもアクセスが許可されないようにする場合に役立ちます。または、営業時間中にのみリソースへのアクセスを許可できます(たとえば、月曜日から金曜日の午前9:00から午後5:00 )。この制限により、不正なアクターが認識されなくなる可能性が高いときに変更を加えるリスクを軽減できます。

時間に基づいてアクセスのスコープを設定するために使用できる変数は次のとおりです。

  • request.utc-timestamp
  • request.utc-timestamp.month-of-year
  • request.utc-timestamp.day-of-month
  • request.utc-timestamp.day-of-week
  • request.utc-timestamp.time-of-day

request.utc-timestamp

サポートされている演算子: before | after

Allow group Contractors to manage instance-family in tenancy where request.utc-timestamp before '2022-01-01T00:00Z'

request.utc-timestamp.month-of - year

Allow group SummerInterns to manage instance-family in tenancy where ANY {request.utc-timestamp.month-of-year in ('6', '7', '8')}

request.utc-timestamp.dayof-month

Allow group ComplianceAuditors to read all-resources in tenancy where request.utc-timestamp.day-of-month = '1'

request.utc-timestamp.dayof-week

Allow group WorkWeek to manage instance-family where ANY {request.utc-timestamp.day-of-week in ('monday', 'tuesday', 'wednesday', 'thursday', 'friday')}

request.utc-timestamp.timeof-day

サポートされる演算子: between

Allow group DayShift to manage instance-family where request.utc-timestamp.time-of-day between '17:00:00Z' and '01:00:00Z

コンパートメントを使用したリソースの分離

コンソールは現在のリージョン内のコンパートメント別にリソースを表示するよう設計されています。コンソールでリソースを操作する場合、ページ上のリストから作業するコンパートメントを選択する必要があります。このリストは、アクセス権限のあるテナンシ内のコンパートメントのみが表示されるようにフィルタされています。管理者である場合、すべてのコンパートメントを表示し、すべてのコンパートメントのリソースを操作する権限を持ちますが、アクセス権が制限されているユーザーはそうではない可能性があります。

コンパートメントのアクセス制御

コンパートメントの作成後、少なくとも1つのポリシーを記述する必要があります。そうしないと、アクセスできません(テナンシ・レベルで権限が設定された管理者またはユーザーを除く)。別のコンパートメント内にコンパートメントを作成すると、コンパートメントは階層の上位コンパートメントからアクセス権限を継承します。詳細は、ポリシー継承を参照してください。

アクセス・ポリシーを作成する場合、アタッチ先のコンパートメントを指定する必要があります。これにより、ポリシーを後で変更または削除できるユーザーが制御されます。コンパートメント階層がどのように設計されているかに応じて、テナンシ、親、または特定のコンパートメント自体にアタッチできます。詳細は、ポリシー・アタッチメントを参照してください。

セキュリティ・ゾーンの概要

セキュリティ・ゾーンを使用すると、コンピュート、ネットワーキング、オブジェクト・ストレージおよびデータベース・リソースを含むOracle Cloud Infrastructure内のリソースがOracleのセキュリティ原則に準拠していることを保証できます。

セキュリティ・ゾーンは、コンパートメントおよびセキュリティ・ゾーン・レシピに関連付けられます。セキュリティ・ゾーンでリソースを作成および更新すると、Oracle Cloud Infrastructureでは、これらの操作がセキュリティ・ゾーン・レシピで定義されたポリシーのリストに対して検証されます。セキュリティ・ゾーン・ポリシーに違反している場合、操作は拒否されます。

セキュリティ・ゾーンの概要

動的グループ、ネットワーク・ソースおよびタグベースのアクセス制御の構成

動的グループ

動的グループを使用すると、Oracle Cloud Infrastructureコンピュート・インスタンスを(ユーザー・グループと同様に)プリンシパルのアクターとしてグループ化できます。ポリシーを作成して、インスタンスOracle Cloud Infrastructureサービスに対してAPIコールを実行できるようにします。動的グループを作成する場合、メンバーをグループに明示的に追加するのではなく、グループ・メンバーを定義する一致ルールのセットを定義します。たとえば、ルールで、特定のコンパートメントのすべてのインスタンスが動的グループのメンバーであることを指定できます。メンバーは、インスタンスが起動され、そのコンパートメントで終了すると、動的に変更できます。

動的グループの管理

ネットワーク

ネットワークを保護する方法

  • パブリック・サブネットとプライベート・サブネット: サブネットをプライベートに指定できます。つまり、サブネット内のインスタンスはパブリックIPアドレスを持つことができません。詳細は、パブリック・サブネットとプライベート・サブネットを参照してください。
  • セキュリティ・ルール: インスタンス内外のパケット・レベルのトラフィックを制御します。セキュリティ・ルールは、Oracle Cloud Infrastructure APIまたはコンソールで構成します。セキュリティ・ルールを実装するには、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用します。詳細は、セキュリティ・ルールを参照してください。
  • ファイアウォール・ルール: インスタンス内外のパケット・レベルのトラフィックを制御します。ファイアウォール・ルールはインスタンス自体で直接構成します。Oracle Linuxを実行するプラットフォーム・イメージには、SSHトラフィック用のTCPポート22のイングレスを許可するデフォルト・ルールが自動的に含まれています。また、Windowsイメージには、リモート・デスクトップ・アクセス用のTCPポート3389のイングレスを許可するデフォルト・ルールが含まれています。詳細は、プラットフォーム・イメージを参照してください。
  • ゲートウェイおよびルート表: クラウド・ネットワークから外部の宛先(インターネット、オンプレミス・ネットワークまたは別のVCN)への一般的なトラフィック・フローを制御します。クラウド・ネットワークのゲートウェイおよびルート表は、Oracle Cloud Infrastructure APIまたはコンソールで構成します。ゲートウェイの詳細は、ネットワーキング・コンポーネントを参照してください。ルート表の詳細は、VCNルート表を参照してください。
  • IAMポリシー: Oracle Cloud Infrastructure APIまたはコンソール自体にアクセスできるユーザーを制御します。アクセスのタイプと、アクセスできるクラウド・リソースを制御できます。たとえば、ネットワークとサブネットを設定できるユーザー、またはルート表、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを更新できるユーザーを制御できます。ポリシーは、Oracle Cloud Infrastructure APIまたはコンソールで構成します。詳細は、アクセス制御を参照してください。
  • セキュリティ・ゾーン: ネットワークおよびその他のクラウド・リソースがOracleのセキュリティ原則およびベスト・プラクティスに必ず準拠するように、それらをセキュリティ・ゾーン内に作成できます。セキュリティ・ゾーンはコンパートメントに関連付けられ、すべてのネットワーク管理操作をセキュリティ・ゾーン・ポリシーに照らしてチェックします。たとえば、セキュリティ・ゾーンでパブリックIPアドレスの使用を許可せず、プライベート・サブネットのみを含めることができるようにします。詳細は、セキュリティ・ゾーンを参照してください。

ソースおよびタグベースのアクセス制御

条件およびタグ変数のセットを使用して、リソースに適用されているタグに基づいてアクセスのスコープを設定するポリシーを作成できます。アクセスは、リクエストしているリソース(グループ、動的グループまたはコンパートメント)またはリクエストのターゲット(リソースまたはコンパートメント)に存在するタグに基づいて制御できます。タグベース・アクセス制御では、コンパートメント、グループおよびリソースにまたがるタグを使用してアクセス・ポリシーを定義できるため、ポリシーに対する柔軟性が向上します。

タグを使用したアクセスの管理

MFA、アイデンティティ・フェデレーション、SSOの理解

MFA

マルチファクタ認証(MFA)は、ユーザーのアイデンティティを検証するために複数の要素を使用する必要のある認証方法です。認証ファクタの例としては、パスワード(知っているもの)やデバイス(持っているもの)があります。

IAMサービスでMFAが有効化されている場合は、ユーザーがOracle Cloud Infrastructureにサインインするときに、最初の要素(ユーザーが知っているもの)であるユーザー名とパスワードの入力が求められます。その後ユーザーは、登録されたMFAデバイスに2番目の検証コードを提供するよう求められます。これは、2番目の要素(ユーザーが所有しているもの)です。これら2つの要素は連携して機能し、ユーザーのアイデンティティを検証し、サインイン処理を完了するためにセキュリティのもう1つの層が必要です

マルチファクタ認証の管理

アイデンティティ・フェデレーション

Oracle Cloud Infrastructureは、Oracle Identity Cloud ServiceおよびMicrosoft Active Directory(Active Directory Federation Services(AD FS)を介した)、Microsoft Azure Active Directory、Okta、およびSecurity Assertion Markup Language (SAML) 2.0プロトコルをサポートするその他のアイデンティティ・プロバイダをサポートしています。

SSO

Oracle Cloudは、SAML 2.0標準を使用して、Oracle Cloudと、オンプレミスまたは別のクラウドにある他のSAML対応サイトとの間の安全なドメイン間通信を可能にします。管理者は、Oracle Cloudとアイデンティティ・プロバイダ間にSAML 2.0 SSOを構成する必要があります。SSOが有効になっている場合、アイデンティティ・プロバイダはOracle Cloudの認証を実行します。

Single Sign-On (SSO)の有効化

インフラストラクチャ・セキュリティの実装

仮想ネットワーク(DRG v2、ピアリング)の安全な接続

DRG v2

DRGおよびDRGアタッチメントの作業 DRGを作成する場合、DRGを配置するコンパートメントを指定する必要があります。DRGをコンパートメントに配置すると、アクセス制御の制限に役立ちます。使用するコンパートメントがわからない場合、定期的に使用するVCNと同じコンパートメントにDRGを配置します。詳細は、アクセス制御を参照してください。

動的ルーティング・ゲートウェイ(DRG)

ピアリング

セキュリティ上のリスクについて: 他のVCNがインターネットに接続しているかどうかを制御できるとはかぎりません。接続している場合、VCNがバウンス攻撃にさらされ、インターネット上の悪意のあるホストがピアリングしているVCNからのように見えてVCNにトラフィックを送信する可能性があります。これを防ぐには、前述のとおり、セキュリティ・リストを使用して、他のVCNからのインバウンド・トラフィックを、予期されており、適切に定義されたトラフィックに慎重に制限します。

その他のVCNへのアクセス: ピアリング

ハイブリッド・ネットワーク(サイト間VPN、FastConnect)の安全な接続

サイト間VPN

サイト間VPNは、オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)との間にサイト間IPSec接続を提供します。IPSecプロトコル・スイートは、パケットがソースから宛先に転送される前にIPトラフィックを暗号化し、到着時にトラフィックを復号化します。サイト間VPNは、以前はVPN接続およびIPSec VPNと呼ばれていました。

Site - to - Site VPNの概要

  • トランスポート・モード: IPSecはパケットの実際のペイロードのみを暗号化して認証し、ヘッダー情報は元のままです。
  • トンネル・モード(Oracleでサポート): IPSecはパケット全体を暗号化して認証します。暗号化の後、パケットはカプセル化されて、異なるヘッダー情報を持つ新しいIPパケットを形成します。

FastConnect

インターネットではなくプライベート物理ネットワークを介した既存のネットワークとOracle Cloud Infrastructure間の接続の一般的な概念。

MACsec暗号化

FastConnectは、MACsec (IEEE標準802.1AE)を使用してレイヤー2のネットワーク間接続を保護するように構成できます。MACsecが有効な場合、高度な暗号化標準(AES)暗号化アルゴリズムを選択すると、2つの接続ネットワーク間で2つのセキュリティ・キーが交換および検証され、その後セキュアな双方向リンクが確立されます。Oracle Cloud Infrastructure Vaultサービスは、実際の暗号化キーを安全に格納します。

ネットワーク・セキュリティ・グループ(NSG)およびセキュリティ・リストの構成

  • ネットワーク・セキュリティ・グループは、ネットワーク・セキュリティ・グループによって制御されるvNICs間を流れるトラフィックをきめ細かく制御します。
  • セキュリティ・リストは、サブネット内外に流れるトラフィックを制御します。
  • ネットワーク・セキュリティ・グループを使用して、プライベート・サブネットとパブリック・サブネットの両方のリソースへのアクセスを制御します。
    • アプリケーションの層ごとにセキュリティ・グループを作成することで、ワークロードに必要なネットワーク・フローのみを許可します。
    • アプリケーション層内またはアプリケーション層間で不要な潜在的トラフィックを許可しないでください。
    • 必要な場合を除き、アプリケーション層が他の層と通信できないようにします。

VCNフロー・ログのユースケースの説明

  • VCNフロー・ログには、VCNを通過するトラフィックの詳細が表示されます。
  • VCNフロー・ログは、トラフィックの監査およびセキュリティ・リストのトラブルシューティングに役立ちます。
  • フロー・ログは、ロギング・サービスを使用して有効化および管理します。詳細は、ロギングの概要を参照してください。
  • フロー・ログは、VNIC、PE、およびRCEから生成できます。PEおよびRCEの場合、PE/RCEに関連付けられたVNICからのものとして表示されます。

VCN内の宛先との間で送受信されるトラフィックの詳細をリストするには、特定のサブネットに対してフロー・ログを有効にします。有効にすると、フロー・ログには、そのサブネット内のコンピュート・インスタンスにアタッチされている既存および将来のすべてのVNICのトラフィックが記録されます。

OCI Bastionの実装

パブリック・エンドポイントを持たないリソースへのプライベートな期限付きSSHアクセスを提供します。

要塞は、Oracle Cloud Infrastructure (OCI)で作成した要塞サーバーのかわりに使用できるインフラストラクチャ・サービスです。要塞はゲートウェイまたはプロキシです。これらは、インターネットからアクセスできないクラウド内のリソースへのセキュアなアクセスを提供する論理エンティティです。ベースはパブリック・サブネットに存在し、ユーザーをプライベート・サブネット内のリソースに接続するために必要なネットワーク・インフラストラクチャを確立します。

Oracle Cloud Infrastructure Identity and Access Management (IAM)との統合により、要塞または要塞サービス内のセッションを管理できるユーザーを制御できます。Oracle Cloud Infrastructure Auditとの統合により、要塞サービスおよび要塞セッションに関連する管理アクションを監視できます。

Bastionサービスを使用したプライベート・サブネット内のリソースへのアクセス

セキュリティ・ポリシーの推奨事項

  • ターゲット・リソースを持つサブネット上のイングレス・ルールでは、要塞のプライベート・エンドポイントIPである単一のIPアドレスからの着信TCPトラフィックのみを許可する必要があります。
  • Linuxの場合は22、ウィンドウの場合は3389、MySqlの場合は33060など、宛先の正確なポートを指定します。ポートにALLを使用することは避けてください。

Vulnerability Scanningの構成

スキャンの概要

Oracle脆弱性スキャン・サービスは、潜在的脆弱性をホストおよびコンテナ・イメージを定期的にチェックすることで、セキュリティの状況を改善します。このサービスでは、開発者、運用およびセキュリティ管理者は、正しく構成されていないリソースまたは脆弱なリソースを包括的に可視化し、これらの脆弱性に関するメトリックと詳細を示すレポートを生成できます。

スキャンの概要

スキャン・サービスは、次のリソースの脆弱性を識別します:

スキャン・サービスでは、いくつかのセキュリティの問題を識別できます:

OKEおよびOracle Functionsのセキュリティの構成

OKE

Oracle Cloud Infrastructure Container Engine for Kubernetesは、完全に管理されたスケーラブルで可用性の高いサービスで、コンテナ化されたアプリケーションをクラウドにデプロイする際に使用できます。開発チームがクラウドネイティブ・アプリケーションを確実に構築、デプロイおよび管理する場合、Container Engine for Kubernetes (単にOKEと省略されることもあります)を使用します。アプリケーションが必要とするコンピュート・リソースを指定すると、Container Engine for Kubernetesは既存のOCIテナンシでOracle Cloud Infrastructureにそれらをプロビジョニングします。

Container Engine for Kubernetesの概要

クラスタ・アクセスの設定

kubectlを使用してクラスタにアクセスするには、クラスタKubernetes構成ファイル(通常はkubeconfigファイル)を設定する必要があります。kubeconfigファイル(デフォルトではconfigという名前で、$HOME/.kubeディレクトリに格納される)には、クラスタにアクセスするために必要な詳細が含まれています。kubeconfigファイルを設定したら、kubectlを使用してクラスタの管理を開始できます。

クラスタ・アクセスの設定

Oracle Functions

  • 小規模だが強力なコード・ブロック(通常は1つの単純な処理を実行)
  • アプリケーションにグループ化される
  • 指定したDockerレジストリにDockerイメージとして格納される
  • CLIコマンドまたは署名付きHTTPリクエストに応答して呼び出される

ネットワーク・セキュリティ・グループ(NSG)へのアプリケーションの追加

ネットワーク・セキュリティ・グループ(NSG)を使用すると、VCN内の特定のVNICおよびその他のリソースに適用されるイングレスおよびエグレス・ルールを定義できます。サブネットにアタッチされ、そのサブネット全体のすべてのリソースに適用されるセキュリティ・ルールを含むセキュリティ・リストとは異なり、個々のリソースをNSGに追加できます。セキュリティ・リストではなくNSGを使用すると、個々のリソースに適用されるセキュリティ・ルールをより詳細に制御できます。NSGの詳細は、ネットワーク・セキュリティ・グループを参照してください。

ネットワーク・セキュリティ・グループ(NSG)へのアプリケーションの追加

Oracle Functionsアプリケーションを1つ以上のNSGに追加できます(最大5つ)。NSGにアプリケーションを追加すると、その特定のアプリケーションのすべての機能に適用されるイングレスおよびエグレス・ルールを定義できます。

アプリケーションとデータの保護

OCI Vaultのキーの構成および管理

ボールト・サービスを使用すると、暗号化キーおよびシークレットのコンテナとしてボールトをテナンシ内に作成できます。必要に応じて、仮想プライベート・ボールトは、ハードウェア・セキュリティ・モジュール(HSM)の専用パーティションを提供し、仮想に依存しないHSMと事実上同等の暗号化キーのストレージ分離レベルを提供します。

ボールトの管理

キーは1つ以上のキー・バージョンを表す論理エンティティで、それぞれに暗号化マテリアルが含まれています。キーの暗号化マテリアルは、暗号化またはデジタル署名にキーを使用できる特定のアルゴリズム用に生成されます。暗号化に使用する場合、キーまたはキー・ペアはデータを暗号化および復号化し、データが格納されている場所またはデータの転送中にデータを保護します。AES対称キーを使用すると、同じキーによってデータが暗号化および復号化されます。RSA非対称キーを使用すると、公開キーはデータを暗号化し、秘密キーはデータを復号化します。

ボールトの概要

キーまたはキー・バージョンを作成する場合、ボールト・サービスが内部でキー・マテリアルを生成するかわりに、独自のキー・マテリアルをインポートできます。

次のキー・タイプおよびキー・シェイプをボールト・サービスにインポートできます。

キーおよびキー・バージョンのインポート

キー・タイプ サポートされているキー・サイズ
対称キー: Advanced Encryption Standard (AES)アルゴリズムベースの対称キーは、暗号化または復号化に使用されます。 次のいずれかの長さのAESキーをインポートできます。128ビット(16バイト)192ビット(24バイト)256ビット(32バイト)
非対称キー: Rivest-Shamir-Adleman (RSA)アルゴリズムベースの非対称キーは、暗号化、復号化、署名、または検証に使用されます。 次のいずれかの長さのRSA鍵をインポートできます。2048ビット(256バイト)3072ビット(384バイト)4096ビット(512バイト)

OCI Vaultでのシークレットの構成および管理

シークレット シークレットとは、パスワード、証明書、SSHキー、Oracle Cloud Infrastructureサービスで使用する認証トークンなどの資格証明です。シークレットをボールトに格納すると、コードや構成ファイルなどの他の場所に格納するよりも優れたセキュリティを実現できます。リソースや他のサービスへのアクセスに必要な場合、ボールト・サービスからシークレットを取得できます。 シークレットは、コンソール、CLIまたはAPIを使用して作成できます。シークレットのシークレット・コンテンツは、外部ソースからサービスにインポートされます。ボールト・サービスによってシークレットがボールトに格納されます。 ボールト・サービスでは、シークレットがOracle Cloud Infrastructureリソースとしてサポートされています。

ボールトの概要

Data Safeによって提供される主な機能の説明

データ・セーフは、Oracleクラウドおよびオンプレミス・データベース用の統合されたコントロール・センターです。データ・セーフを使用して、データベースおよびデータ・セキュリティ構成の収集、ユーザー・アカウントに関連するリスクの検出、既存の機密データの識別、データを保護するためのコントロールの実装、およびユーザー・アクティビティの監査を行います。

データベースの保護

  • データ・セーフ監査の保存方針を1年間延長します。
  • データ検出によって機密として識別されたデータをマスクします。
  • Center for Internet Security (CIS )、一般データ保護規則(GDPR)およびセキュリティ技術実装ガイド(STIG)の国防総省ライブラリによって推奨されるセキュリティ・コントロールを特定するには、セキュリティ評価を使用します。
  • データ・セーフ活動監査の主要イベントのアラートを設定します。

Oracle Data Safeは、データの機密性の理解、データに対するリスクの評価、機密データのマスキング、セキュリティ制御の実装とモニター、ユーザー・セキュリティの評価、ユーザー・アクティビティのモニター、およびデータ・セキュリティ・コンプライアンス要件への対処を支援する、Oracleデータベースの統合コントロール・センターです。

Oracle Data Safeの概要

Oracle Data Safeには、Oracleデータベース内の機密データおよび規制対象データを保護するための次の一連の機能がすべて、単一の使用しやすい管理コンソールに用意されています:

  • *セキュリティ評価*は、データベース構成のセキュリティを評価するのに役立ちます。データベース構成、ユーザー・アカウントおよびセキュリティ・コントロールを分析し、リスクを軽減または緩和するためのベスト・プラクティスに従った改善アクティビティに関する推奨事項とともに結果をレポートします。
  • *ユーザー評価*は、データベース・ユーザーのセキュリティを評価し、高リスク・ユーザーを特定するのに役立ちます。ターゲット・データベースのデータ・ディクショナリ内のユーザーに関する情報を確認し、各ユーザーのリスク・スコアを計算します。たとえば、ユーザー・タイプ、ユーザーの認証方法、各ユーザーに割り当てられているパスワード・ポリシー、各ユーザーがパスワードを変更してから経過した時間を評価します。また、各ユーザーに関連する監査レコードへの直接リンクを示します。この情報を使用して、適切なセキュリティ・コントロールおよびポリシーをデプロイできます。
  • *データ検出*は、データベースの機密データの検出に役立ちます。検索する機密データの種類をデータ検出に指示すると、データベースおよびデータ・ディクショナリ内の実際のデータを調べて機密列のリストが返されます。データ検出では、デフォルトで識別、経歴、IT、財務、医療、雇用および学業の各情報に関連する様々な機密データを検索できます。
  • *データ・マスキング*は、本番以外の目的にデータが安全であるように機密データをマスキングする方法です。たとえば、組織は、開発およびテストのアクティビティをサポートするために本番データのコピーの作成が必要になることがよくあります。単に本番データをコピーすると、機密データが新しいユーザーに公開されます。セキュリティ上のリスクを回避するには、データ・マスキングを使用して、機密データを本物のような架空データで置き換えます。
  • *アクティビティ監査*を使用すると、データベースでのユーザー・アクティビティを監査して、データベースの使用状況をモニターできます。
  • *アラート*では、通常とは異なるデータベース・アクティビティが発生したときに常に通知されます。

Oracle Data Safeの機能概要と特徴 | Oracle Cloud Infrastructure 活用資料集

Oracle Autonomous DatabaseおよびDB Systemのセキュリティの構成

Autonomous Databaseのプライベート・エンドポイントの有効化

可能な場合は、Oracle Autonomous Transaction Processingでプライベート・エンドポイントを使用します。

プライベート・エンドポイントは、共有自律型データベースへのパブリック・アクセスを排除するために使用されます。データベースのすべてのトラフィックは、転送ルーティングやサービス・ゲートウェイの使用を必要とせずに、Oracle Cloud InfrastructureのVCNを使用してプライベートのままです。

  • プライベート・エンドポイントを定義する場合は、専用のプライベート・サブネットを使用します。
  • プライベート・エンドポイント・ネットワーク・セキュリティ・グループに対して、プロトコルTCPおよび宛先ポートがデータベース・リスナー・ポートと等しいステートレス・イングレス・ルールを定義します。ソースCIDRラベルを、許可されたアクセス権を持つサブネットのみ、またはオンプレミスの場合は動的ルーティング・ゲートウェイ(DRG)に制限します。
  • プライベート・エンドポイント・ネットワーク・セキュリティ・グループに対して、プロトコルTCPを使用してステートレス・エグレス・ルールを定義します。宛先CIDRを、許可されたアクセス権を持つサブネットまたはDRG (オンプレミスの場合)のみに制限します。

データベースの保護

データベースの保護

データベース・サーバー、それらへのネットワーク・アクセスおよび実際のデータが保護されていることを確認します。

データベースの保護

  • ユーザーおよびネットワーク・アクセスの制御
  • データベース・リソースを削除する権限の制限
  • データの暗号化
  • セキュリティーパッチを適用する
  • DBセキュリティ・ツールの使用
  • データ・セーフの有効化

OCIストレージ・サービスのセキュリティの構成

Oracle Cloud Infrastructureには、ブロック、オブジェクトおよびファイルという複数のストレージ・オプションが用意されています。データは、保存中およびこれらのサービスの転送中に暗号化されます。クラウド内のデータが安全であることを確認するために、次のメカニズムを使用して追加のベスト・プラクティスを適用します。

保存データの保護

オブジェクトストレージの保護

Object Storageサービスは、信頼性が高く費用効果の高いデータ耐久性を提供する高性能ストレージプラットフォームです。分析データや画像や動画などのリッチコンテンツなど、あらゆるコンテンツタイプの非構造化データを無制限に保存できます。

オブジェクトストレージの保護

  • アクセス制御:特権を可能な限り制限します。ユーザーには、作業を実行するために必要なアクセス権のみを付与する必要があります。
  • 暗号化と機密性:暗号化キーとシークレットを使用して、データを保護し、保護されたリソースに接続します。これらのキーを定期的に回してください。
タスク 詳しくは
暗号化キーをローテーションする データ暗号化
CloudGuardで検出された問題に対応する クラウドガード
定期的にバックアップを取る データの耐久性
データを別の場所に移動またはコピーするときに、データの整合性を確保します データセキュリティ
セキュリティ監査を実行する 監査

ファイルストレージの保護

ファイルストレージサービスは、NFSv3エンドポイントを各顧客のVCNサブネットのマウントターゲットとして公開します。 マウントターゲットはDNS名で識別され、IPアドレスにマップされます。(マウントターゲットサブネットの)VCNセキュリティリストを使用して、許可されたIPアドレスのみからマウントターゲットへのネットワークアクセスを構成することをお勧めします。

ファイルストレージの保護

ブロックボリュームの確保

ブロックボリュームサービスを使用すると、ブロックストレージボリューム を動的にプロビジョニングおよび管理できます。ストレージ、パフォーマンス、およびアプリケーションの要件を満たすために、ボリュームを作成、接続、接続、および移動したり、必要に応じてボリュームのパフォーマンスを変更したりできます。ボリュームをインスタンスに接続して接続すると、通常のハードドライブのようにボリュームを使用できます。データを失うことなく、ボリュームを切断して別のインスタンスに接続することもできます。

ブロックボリュームの確保

  • アクセス制御:特権を可能な限り制限します。ユーザーには、作業を実行するために必要なアクセス権のみを付与する必要があります。
  • 暗号化と機密性:暗号化キーとシークレットを使用して、データを保護し、保護されたリソースに接続します。これらのキーを定期的に回してください。
タスク 詳しくは
暗号化キーをローテーションする データ暗号化
CloudGuardで検出された問題に対応する クラウドガード
定期的にバックアップを取る データの耐久性
セキュリティ監査を実行する 監査

Web Application Firewallの作成と構成

Oracle Cloud Infrastructure Web Application Firewall (WAF)は、ロード・バランサやWebアプリケーション・ドメイン名など、強制ポイントにアタッチされた、リージョンベースおよびエッジ強制サービスです。WAFは、悪意のある不要なインターネット・トラフィックからアプリケーションを保護します。WAFは、インターネット接続エンドポイントを保護することにより、顧客のアプリケーションに対する一貫性のあるルール適用を実現できます。

Web Application Firewallの概要

Web Application Firewall(WAF)を使ってWebサーバを保護する - Oracle Cloud Infrastructureアドバンスド — oracle-tech

クラウド・セキュリティの対策状況の改善

Cloud Guardの一般的なユース・ケースの説明

クラウド・ガードのモニタリングの有効化

エンタープライズ・アーキテクト、セキュリティ・アーキテクト

Oracle Cloud Guardを使用すると、Oracle Cloud Infrastructureの顧客テナント全体のクラウド・セキュリティ状況を統一して表示できます。

Oracle Cloud Guardは、テナント間の正しく構成されていないリソースおよびセキュアでないアクティビティを検出し、セキュリティ管理者にクラウド・セキュリティの問題のトリアージおよび解決の可視性を提供します。即時利用可能なセキュリティ・レシピを使用してセキュリティの非一貫性を自動的に修正し、セキュリティ運用センターを効果的にスケーリングできます。

すべてのコンパートメントを監視するには、テナンシのルート・レベルでCloud Guardが有効になっていることを確認します。

Oracle Cloud Infrastructure用のネットワーク・セキュリティを設計し、ワークロードを保護

クラウド・ガードでの構成の実行

Oracle Cloud Guardの最適化の有効化

エンタープライズ・アーキテクト、セキュリティ・アーキテクト、ネットワーク・アーキテクト

Oracle Cloud Guardの最も興味深い設計原則の1つは、Oracleによる組込み専門知識の使用です。Oracleは、使用可能なセキュリティ制御および大規模なセキュリティ制御の適用方法など、Oracle Cloud Infrastructureを最もよく認識しています。Oracleは、検索する問題と、それらを軽減するためにセキュリティ機能を適用する方法も認識します。

Oracleは、Oracle Cloud Guardの専門知識を即時利用可能なルールに埋め込んで、一般的な問題および設計段階で修正されたベースラインからの逸脱を識別し、それに応じて最適化します。専門知識を埋め込むことで、Oracleはユーザーからの負担を軽減し、これらのポリシーを自分で構築する必要がなくなります。

Oracle Cloud Guardには、ディテクタ・レシピとレスポンダ・レシピの2つの主要な構成オプションがあります。ディテクタ・レシピは特定の違反の検出方法を処理し、レスポンダ・レシピは違反の対応方法を処理します。

ディテクタ・レシピは、事前定義および事前構成されたルールのセットです。これらのレシピは、Oracle Cloud Infrastructureのセキュリティ・ベスト・プラクティスに基づいて、クラウド・アカウントに存在するセキュリティ違反およびリスク(存在する場合)を検出します。

ディテクタ・レシピは、インフラストラクチャの最適化を有効にする方法の1つです。次のバリエーションがあります。

  • 構成ディテクタ・レシピ:このレシピは、Oracle Cloud Guardの事前プロビジョニング・ルールによって決定される、テナンシ内のセキュリティ・ルールに違反する構成をチェックして検出します。たとえば、パブリックIPを持つコンピュート・インスタンスや、パッチが適用されていないデータベース・インスタンスなどです。
  • アクティビティ・ディテクタ・レシピ:このレシピは、Oracle Cloud Guardの事前プロビジョニング・ルールによって決定される、テナンシ内のセキュリティ・ルールに違反する個々のユーザー・アクションまたはアクティビティをチェックおよび検出します。たとえば、データベース・システムを終了するユーザーや、サブネットを削除するユーザーなどです。

ディテクタ・レシピを介してルール違反を検出すると、Oracle Cloud Guardはレスポンダ・レシピから事前構成済アクションのいずれかを実行できます。これらのアクションはリソースに依存します。たとえば、パブリックIPがある場合はコンピュート・インスタンスを停止または削除し、パブリックに表示されるオブジェクト・ストレージ・バケットをプライベートにします。これらのレスポンダ・レシピでは、より多くのルールを使用してアクションを推奨でき、ルールの選択はリソース・タイプによって異なります。

Security Zones と Security Advisorの理解と実装

Security Zones

最大セキュリティ・ゾーン・サービスは、不適切に低いセキュリティ・ポリシーのリスクを最小限に抑えるのに役立ちます。

新しいプロジェクトを開始して新しいソリューションを構築する際には、次のような様々なソースから、そこに多数のベスト・プラクティスのガイダンスがあります。

これらのベスト・プラクティスでは、通常、認証、暗号化、ストレージ、アクセス制御など、様々なセキュリティ・トピックについて説明しています。ただし、多くの場合、ベスト・プラクティスのアドバイスは無視されます。これはすべて何度も見られています。つまり、プロジェクトのタイムライン、予算制約、ナレッジ・ギャップおよび非本番として開始される環境は、すべて関連するベスト・プラクティスに従わず、セキュアでない環境と脆弱なセキュリティ状態につながる可能性があります。

Oracle Cloud Infrastructure内の最大セキュリティ・ゾーン・サービスは、このリスクを最小限に抑えるために役立ちます。セキュリティ・ゾーンは予防的な制御であり、機密データおよびリソースが含まれているという性質上、設計上の制限があります。たとえば、「最大セキュリティ・ゾーン」は、最大セキュリティ・ポリシーが有効な状態でリリースされます。これは、パブリック・アクセスを許可しない位置であり、機密データは可能なかぎりインターネットから分離する必要があります。セキュリティ・ポリシーでは、このポリシーを解除するリソースがリアルタイムで作成されないようにすることで、この位置が強制されます。

Security Advisor

Oracle Cloud Infrastructure Security Advisorは、セキュリティ・ゾーンのリソースの構成要件など、Oracleセキュリティのベスト・プラクティスをサポートおよび強化します。これは、既存のワークフローを組み合せて合理化し、最初からベースライン・セキュリティ要件を満たすリソースを効率的に作成します。

セキュリティ・アドバイザの概要

セキュリティ操作の管理

セキュリティ監視とアラートの導入

モニタリングおよび監査計画の作成

モニタリング戦略が成功すると、ヘルス・モデリングに重点が置かれます。

状態モデリングとは、監視を通じてワークロードのセキュリティ状態を維持するアクティビティのことです。これらのアクティビティは、現在のセキュリティ・プラクティスが有効かどうか、または新しい要件があるかどうかを示すことができます。状態モデリングには、次のカテゴリを含めることができます。

  • ワークロードおよびワークロードが実行されるインフラストラクチャを監視します。
  • 監査の実施
  • 監査ログを有効化、取得および格納します。
  • セキュリティ修正を更新およびパッチ適用します。
  • インシデントに回答します。
  • 実際のインシデントに基づいて攻撃をシミュレートします。

ロギングおよびログ分析ソリューションの設計および実装

ガバナンス、監査、および監視

Oracle Cloud Infrastructureは、クラウド・リソースを効率的かつ効果的に監視および管理するために使用できる豊富なサービスのポートフォリオを提供します。

Governance, Audit, and Monitoring

セキュリティ管理と推奨事項
OracleCloudリソースのインベントリを作成します。
リソースの命名規則を定義して使用します。
タグのシステムを使用してリソースを分類します。
監視およびログデータを集約および分析するためのシステムを実装します。
アラートと通知を設定します。
支出にソフト制限を設定します。予算の概要を参照してください。
コンパートメントレベルのクォータを設定します。コンパートメントクォータを参照してください。
クラウド監査手順を確立します。
プロセス脅威インテリジェンス。
ログを検査および分析するための手順を確立する

OCI 監査(Audit)ログの監査および確認のユースケースの説明

監査の構成

エンタープライズ・アーキテクト、セキュリティ・アーキテクト

Oracle Cloud Infrastructure Auditサービスでは、サポートされるすべてのOracle Cloud Infrastructureパブリック・アプリケーション・プログラミング・インタフェース(API)エンドポイントへのコールがログ・イベントとして自動的に記録されます。

現在、すべてのサービスがOracle Cloud Infrastructure Auditによるロギングをサポートしています。

Oracle Cloud Infrastructure Object Storageでは、バケット関連イベントのロギングがサポートされますが、オブジェクト関連イベントのロギングはサポートされません。Oracle Cloud Infrastructure Auditによって記録されるログ・イベントには、Oracle Cloud Infrastructureコンソール、コマンドライン・インタフェース(CLI )、ソフトウェア開発キット(SDK )、ユーザー独自のクライアント、または他のOracle Cloud Infrastructureサービスによって行われるAPIコールが含まれます。ログの中の情報には、次の情報が含まれています。

  • APIアクティビティが発生した時間。
  • アクティビティのソース。
  • アクティビティのターゲット。
  • アクションのタイプ。
  • レスポンスのタイプ。

各ログ・イベントには、ヘッダーID、ターゲット・リソース、記録されたイベントのタイムスタンプ、リクエスト・パラメータおよびレスポンス・パラメータが含まれます。Oracle Cloud Infrastructure Auditによってロギングされたイベントを表示するには、コンソール、APIまたはSDK for Javaを使用します。イベントのデータを使用して、診断の実行、リソース使用状況の追跡、コンプライアンスのモニター、セキュリティ関連イベントの収集を行うことができます。

  • 監査保持が365日に設定されていることを確認します。
  • Oracle Cloud Infrastructure Auditデータにアクセスする必要があるサード・パーティ・ツールがある場合は、適切な保存期間を設定して、Oracle Cloud Infrastructure Auditデータをオブジェクト・ストアにコピーするようにサービス・コネクタ・ハブを構成します。

セキュリティとコンプライアンスのための設計

OCI共有セキュリティ責任モデルの説明

Learn About Security in Oracle Cloud Infrastructure

共有セキュリティモデル

ラクルは、クラス最高のエンタープライズグレードのセキュリティテクノロジーと運用プロセスを採用して、クラウドサービスを保護しています。Oracle Cloudでワークロードを安全にデプロイおよび運用するには、セキュリティとコンプライアンスの責任を認識している必要があります。

ラクルは、クラウドオペレータのアクセス制御やインフラストラクチャのセキュリティパッチなど、クラウドのインフラストラクチャと運用のセキュリティを確保します。クラウドリソースを安全に構成するのはあなたの責任です。次の図は、共有セキュリティ責任モデルを示しています。

ラクルは、各リージョンの可用性ドメインと障害ドメインの物理的セキュリティのすべての側面に単独で責任を負います。オラクルとお客様の両方が、ハードウェア、ソフトウェア、および関連する論理構成と制御のインフラストラクチャセキュリティに責任を負います。

顧客としてのセキュリティ責任には、次のものが含まれます。

  • OracleCloud上に作成するプラットフォーム。
  • デプロイするアプリケーション。
  • 保存して使用するデータ。
  • ワークロードの全体的なガバナンス、リスク、およびセキュリティ。

責任の共有は、ID管理、アクセス制御、ワークロードセキュリティ、データの分類とコンプライアンス、インフラストラクチャセキュリティ、ネットワークセキュリティなどのさまざまなドメインに及びます。

  • IDおよびアクセス管理(IAM)

    クラウドアクセスの資格情報を保護し、個々のユーザーアカウントを設定します。自分の従業員アカウントおよびテナント内のすべてのアクティビティのアクセス許可を管理および確認します。

    Oracleは、ID管理、認証、承認、監査などの必要なIAMサービスを提供します。

  • ワークロードのセキュリティ

    ラクルは、強化され、最新のパッチを含む安全なイメージを提供します。オラクルは、現在使用しているものと同じサードパーティのセキュリティソリューションを簡単に導入できるようにします。

    コンピューティングインスタンスをプロビジョニングした後、オペレーティングシステムとアプリケーション層を攻撃や侵害から保護および保護します。これには、アプリケーションとオペレーティングシステムへのパッチ適用、オペレーティングシステム構成の安全性の確保、マルウェアやネットワーク攻撃からのアプリケーションの保護が含まれます。OS管理サービスを使用して、コンピューティングインスタンスオペレーティングシステム環境の更新とパッチを管理します。OS管理を参照してください。

  • データの分類とコンプライアンス

    セキュリティとコンプライアンスの要件を満たすために、データを適切に分類してラベルを付けます。展開を監査および監視して、展開が引き続きデータコンプライアンスの義務を果たしていることを確認します。

  • ホストインフラストラクチャのセキュリティ

    コンピューティングリソース(仮想マシン、ベアメタルインスタンス、およびコンテナー)、ストレージリソース(オブジェクトストレージ、ローカルストレージ、およびブロックボリューム)、およびデータベースサービスを安全に構成および管理します。

    ラクルは、サービスが最適に構成され、保護されていることを確認する責任を共有しています。この責任には、ハイパーバイザーのセキュリティが含まれます。これは、ホストが正しく通信し、ストレージデバイスを安全に接続およびマウントするために必要なアクセス許可とネットワークアクセス制御の構成にまで及びます。

  • ネットワークセキュリティー

    仮想ネットワーク、負荷分散、DNSゲートウェイなどのネットワーク要素を安全に構成します。

    ラクルは、ネットワークインフラストラクチャのセキュリティを確保します。

  • クライアントとエンドポイントの保護

    ユーザーは、モバイルデバイスやブラウザなどのさまざまなハードウェアおよびソフトウェアシステムを使用して、クラウドリソースにアクセスする場合があります。OracleCloudInfrastructureサービスへのアクセスを許可するすべてのクライアントとエンドポイントのセキュリティを確保します。

  • 物理的セキュリティ

    Oracleは、 Oracle Cloud Infrastructureサービス の実行に使用されるグローバルな物理インフラストラクチャ(ハードウェア、ソフトウェア、ネットワーキング、およびファシリティ)を保護します。

侵入および脆弱性テストのユースケースの説明

脆弱性を継続的にスキャン

エンタープライズ・アーキテクト、セキュリティ・アーキテクト

Oracle Vulnerability Scanning Serviceは、ホストに潜在的脆弱性がないか定期的にチェックすることで、Oracle Cloud Infrastructureのセキュリティ状態を改善します。このサービスは、これらの脆弱性に関するメトリックと詳細を含むレポートを生成します。

Oracle Vulnerability Scanning Serviceのコア機能は次のとおりです。

  • Oracle Cloud Infrastructureプラットフォームと緊密に統合された、単純で、デフォルトでは規定的で無料のスキャン・スイート。
  • ホストおよびコンテナのスキャン用のOracle Cloud Infrastructure作成およびオープン・ソースのスキャン・エンジンに基づくデフォルトのプラグインおよびエンジン。
  • Oracle Cloud Infrastructureは、顧客フリート全体でこれらのエンジンおよびエージェントのデプロイメント、構成およびアップグレードを管理します。
  • スキャン・スイートによって検出された問題は、クリティカルな脆弱性を優先するルールおよびMLとともに、Oracle Cloud Guardを介して検出されます。
  • Oracle Cloud Infrastructureは、最大セキュリティ・ゾーンを含む、検出から修復までの時間を短縮するために、レスポンダを介してアクション(アラート、自動修正または隔離)を実行します。

資料

サービス別資料 - セキュリティ | Oracle Cloud Infrastructure 活用資料集

アイデンティティと認可ポリシーの管理

Oracle Cloud Infrastructure Security Guide

セキュリティおよびコンプライアンスの効果的な戦略について

セキュリティのベスト・プラクティス

Oracle Cloud Infrastructureのセキュリティについて