前回は、クラウド環境でのデータベースセキュリティについて、Oracle Cloud Infrastructureで提供される統合データベースセキュリティ管理サービス Oracle Data Safeについて解説しました。今回は、データベースを稼働させるインフラストラクチャ、すなわちテナントを保護するための機能であるOracle Cloud Guardの概要と初期設定を行う方法をご案内します。
※前回までの記事はこちらから
・クラウドでのデータセキュリティはオンプレとどう違う?~Oracle Data Safe概要~
・マルチクラウド環境やオンプレミスのOracle DBも同じツールで一括管理!~Oracle Data Safeの設定方法~
・統合DBセキュリティサービス「Oracle Data Safe」でワンランク上のデータセキュリティを実現!~Oracle Data Safeの主要機能~
Oracle Cloud Guardとは
Oracle Cloud Guard は、セキュリティの問題を監視・検出するのに役立つ Oracle Cloud Infrastructure が提供する無料のサービスです。 Oracle Cloud Guard は、セキュリティの問題を検出するだけではなく、特定された問題を修正するために設定変更の提案を表示できます。また、ユーザーに代わって設定変更を実行することもできます。
Oracle Cloud Guard を有効化して利用する前に、まず Oracle Cloud Guard で使用される基本的な用語を紹介します。
Oracle Cloud Guard で使用される用語
ターゲット
Oracle Cloud Guard がチェックする対象のコンパートメントの範囲を指します。チェックする対象の全ての子コンパートメントは、親コンパートメントに割り当てられた構成を継承します。
コンパートメントごとに異なる検出ルールを構成するには、それらに対して個別にターゲットを定義する必要があります。
コンパートメントの詳細については、次の URL を参照ください。
https://www.ashisuto.co.jp/db_blog/article/N0023_OracleCloud_20200710.html
ディテクタ
アクティビティまたは構成に基づいて、潜在的なセキュリティの問題を特定するためのチェックを実行します。
レスポンダ
ディテクターが問題を特定したときに Oracle Cloud Guard が実行できるアクションを指定します。(手動または自動)
レポート・リージョン
レポート・リージョンを選択すると、ホストされている国の全ての法的要件に準拠することになります。そのため、レポート・リージョンの選択は慎重に行ってください。
Oracle Cloud Guard を有効にすると、Oracle Cloud Guard を無効にして再度有効化しない限り、レポート ・リージョンを変更できません。
Oracle Cloud Guard を無効化すると、全てのカスタマイズ設定と既存の問題(履歴を含む)が失われます。そのため、カスタマイズ設定は手動で復元する必要があります。また、Oracle Cloud Guard は、レポート・リージョンからのみ無効にできる点も留意ください。
Oracle Cloud Guardを有効化するための前提条件
1.ユーザーが Oracle Cloud Guard を使用できるようにするには、管理者権限を持つユーザーグループ (CloudGuardUsers)を作成します。
2.Oracle Cloud Guard リソースを管理するには、次のステートメントにポリシーを追加して、CloudGuardUsers グループ内の全てのユーザーを有効にします。
allow group CloudGuardUsers to manage cloud-guard-family in tenancy
注: 「管理者」グループのメンバーである場合は、上記「1.」 「 2.」 をスキップして以下のポリシーを使用してください。
allow group Administrators to manage cloud-guard-family in tenancy
ポリシーの詳細な設定については、次の URL を参照ください。
https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm
Oracle Cloud Guardの有効化(デフォルト設定)
1.ナビゲーション メニューを開き、「アイデンティティとセキュリティ」をクリックします。 「クラウド・ガード」セクションの「概要」をクリックします。
2.表示されるクラウド・ ガードのページで、「クラウド・ ガードの有効化」ボタンをクリックします。
3.「クラウド・ガードの有効化」ダイアログ ボックスで「ポリシーの作成」をクリックすることで、Oracle Cloud Guard がテナントのリソースを管理できるようにするポリシー「CloudGuardPolicies」をポリシーグループに追加できるようにします。
以下のポリシーが追加されます。
allow service cloudguard to manage cloudevents-rules in tenancy where target.rule.type='managed'
allow service cloudguard to read vaults in tenancy
allow service cloudguard to read keys in tenancy
allow service cloudguard to read compartments in tenancy
allow service cloudguard to read tenancies in tenancy
allow service cloudguard to read audit-events in tenancy
allow service cloudguard to read compute-management-family in tenancy
allow service cloudguard to read instance-family in tenancy
allow service cloudguard to read virtual-network-family in tenancy
allow service cloudguard to read volume-family in tenancy
allow service cloudguard to read database-family in tenancy
allow service cloudguard to read object-family in tenancy
allow service cloudguard to read load-balancers in tenancy
allow service cloudguard to read users in tenancy
allow service cloudguard to read groups in tenancy
allow service cloudguard to read policies in tenancy
allow service cloudguard to read dynamic-groups in tenancy
allow service cloudguard to read authentication-policies in tenancy
allow service cloudguard to use network-security-groups in tenancy
allow service cloudguard to read data-safe-family in tenancy
allow service cloudguard to read autonomous-database-family in tenancy
全てのポリシーが正常に作成されたら、「次へ」 をクリックします。
4.表示される画面で、レポート・リージョンとコンパートメントを選択します。
さらに、構成ディテクタ・レシピに「OCI Configuration Detector Recipe (Oracle管理) 」を選択、アクティビティ・ディテクタ・レシピに「OCI Activity Detector Recipe (Oracle管理) 」を選択、脅威ディテクタ・レシピに「OCI Threat Detector Recipe (Oracle管理)」を選択します。最後に「有効化」をクリックします。
5.有効化が完了したら、クラウド・ガード画面で「クラウド・ガードに移動」をクリックします。
クラウド・ガードの「概要」ページが次のように表示されます。「概要」ページでは、セキュリティ・スコアの評価、リスク・スコア、問題、推奨事項などの詳細を取得できます。
Oracle Cloud Guardが有効化されると、「クラウド・ガード」セクションの下の「問題」リンクをクリックして、ターゲットとなるコンパートメントでこれまでに検出された問題のリストを一覧表示できます。
さいごに
本記事では、Oracle Cloud Infrastructure全体の構成・操作を監視し、セキュリティ上の問題を検知可能なOracle Cloud Guardの概要を解説しました。次回は、Oracle Cloud Guardによって検出された問題の解決方法を解説します。お楽しみに。
データベースセキュリティウェビナーのご案内
企業の最重要な資産のひとつであるデータベースをクラウドに移行する際、セキュリティで押さえるべき基本とは?
以下の観点で、クラウドならではのセキュリティ対策の活用法をお伝えします。
約20分の本ウェビナーでサクッとポイントを確認してみませんか?
オンデマンドでいつでもご視聴いただけます!
・クラウドコンピューティングのサービスモデル(IaaS、PaaS、SaaS)の違いと責任分界点
・クラウド環境の堅牢性は何で示されるか
・クラウド環境ならではの脅威
・Oracle Cloudに備わるデータベースセキュリティ
データベースセキュリティの基本を理解したい方、これからOracle Databaseのクラウド化を検討される方など、セキュリティ対策を担当する方にオススメです。
講師:
渡邊 敦(本記事の執筆者)
執筆者情報
2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案/啓蒙活動も担当し、二足の草鞋で活躍中。...show more
2019年5月よりアシストでデータベースエンジニア、コンサルタントとして勤務。...show more