Contenu connexe
Similaire à Oracle Cloud Infrastructure セキュリティの取り組み [2021年8月版] (20)
Oracle Cloud Infrastructure セキュリティの取り組み [2021年8月版]
- 3. 今後求められるセキュリティ対策と日本の取り組むべき点
考慮点 ゼロトラストセキュリティの考え方 セキュリティ対策例 日本企業の状況
ネットワーク
• 通信を監視し、未許可のクラウドサービスの
利用を制限
• CASB
• Cloud Proxy
• WAF
グローバルより
注力している
デバイス
• デバイスの認証を常に実施
• 全てのデバイスの保護を徹底
• EDR、EPP
• MDM グローバルと同様
IDアクセス管理
• ID・ユーザを必ず検証
• 必要に応じて多要素認証(MFA)を実施
• IAM
• PAM
• MFA
グローバルより
対応が遅れている
アプリケーション • すべてのアクセスを制限し、不正操作を監視
• CASB、UEBA
• 標的型メール対策
• SIEM、SOAR
グローバルと同様
データ
• データが漏洩・改ざんされないように保護
• 必要最小限の権限付与
• 暗号化
• アクセス制御
グローバルより
対応が遅れている
Copyright © 2021, Oracle and/or its affiliates
3 出典: Oracle and KPMG Threat Report 2020
安全なクラウドセキュリティ環境を整備するためには、ネットワークセキュリティだけでなく、
ゼロ・トラスト・セキュリティな対策が必要となります。
- 4. Copyright © 2021, Oracle and/or its affiliates
4 出典: Oracle and KPMG Threat Report 2020
- 6. 共有責任モデル:Oracle Cloud Infrastructure の場合
アプリがアクセスするデータ
アプリケーション
Middleware
データベース
OS
Virtual Machine
サーバー・ストレージ
ネットワーク
物理
アプリがアクセスするデータ
アプリケーション
Middleware
データベース
OS
Virtual Machine
サーバー・ストレージ
ネットワーク
物理
アプリがアクセスするデータ
アプリケーション
Middleware
データベース
OS
Virtual Machine
サーバー・ストレージ
ネットワーク
物理
IaaS
PaaS
SaaS
ユーザー管理
クラウド
事業者管理
共有責任
お客様側でツールの活用や
セキュリティ構成の管理を実施
SECURITY ON
THE CLOUD
SECURITY OF
THE CLOUD
オラクルはセキュアなクラウド・インフラ
とサービスを提供
Copyright © 2021, Oracle and/or its affiliates
6
Oracle が力を入れて
取り組んでいるところ
- 7. オラクルが実現する堅牢なセキュリティ
データ中心の
セキュリティ
自動化された
セキュリティ
管理
セキュリティ
・バイ・デザイン
SECURITY ON THE CLOUD
SECURITY OF THE CLOUD
+
強力、完全なテナント分離
強制的な暗号化
(DB/Storage/Network)
階層型権限管理
特権ユーザーのアクセス制御
ボット対策とWAF(*)
セキュリティポリシーの自動有効
リスクのある設定を自動検知
Copyright © 2021, Oracle and/or its affiliates
7
Defense
In
Depth
重要情報の隠蔽 セキュリティ構成
機密データ発見 アクティビティ監査
DBセキュリティ対策の自動化
* WAF: Web Application Firewall
脆弱性スキャン
自動化されたログ分析
脆弱性自動修復
多要素認証とリスクベース認証
- 8. クラウドプラットフォームレベルでの環境隔離と暗号化
階層型権限管理
✓ 部署ごとの権限設定を実現
✓ コンパートメント間のリソースアクセ
スが可能、部署を跨いだシステム
構築も容易
✓ コンパートメント毎のクオータ設定に
より 使い過ぎを抑止
強制的な暗号化
✓ すべてのデータ・サービスはOracle
がフルマネージドで暗号化
✓ データベースファイル,ストレージ
Block Volume, Boot Volume
✓ すべてのネットワーク通信も暗号化
強力、完全なテナント分離
✓ 分離された仮想ネットワークにより
情報漏洩のリスクを最小化
AD2
リージョン1
AD2
リージョン2
すべてのデータ
を暗号化
MACSec
高速・スケーラブルな
Layer2 暗号化
部署ごとにCompartment(サブアカウント)を作成
「コンパートメント」モデル
テナント
コンパートメント A コンパートメントB
ユーザー グループ ポリシー
ポリシー ポリシー
部署-A 部署-B
Hypervisor
VM VM VM
VM VM VM
ホストOS / カーネル
ネットワーク仮想化
物理サーバー
Copyright © 2021, Oracle and/or its affiliates
8
セキュリティ
・バイ・デザイン
- 9. リスクのある設定を自動検知
• 構成とアクティビティを監視
• 問題の特定、脅威を検出
• 問題の是正、顧客通知
セキュリティポリシーの自動有効
• ベスト・プラクティスを強制的に適用
• 初期段階からリソースの
セキュリティを確保
脆弱性自動修復
• Oracle Autonomous Databaseに
おける脆弱性自動修復
• Oracle Data Safeによる
セキュリティ・リスク軽減
自動化されたEnd-to-Endのセキュリティで人的ミスを排除
パブリックアクセス不可
自動パッチ適用
アップグレード
Oracle Cloud Guard Oracle Security Zone
Oracle
Autonomous
Database
Oracle Data Safe
Copyright © 2021, Oracle and/or its affiliates
9
•セキュリティ構成評価
•ユーザーのリスク評価
•アクティビティの監査
•機密データの発見
•データ・マスキング
自動化された
セキュリティ
管理
- 10. 多層防御によるデータ中心のセキュリティ
外部からの攻撃
» ボットによる攻撃
» 標的型攻撃
» ランサムウェア
» DDoS
内部からの攻撃
» バックドア
» 内部不正
» 不正アクセス
特権ユーザー
管理
ネットワーク
IDアクセス
管理
インフラ
ストラクチャ
データベース
Web
Application
Firewall
Identity
Cloud Service
Data Safe
強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理
Copyright © 2021, Oracle and/or its affiliates
10
データ
Observability and Management / Management Cloud
強制的な
暗号化
Autonomous Linux Autonomous Database
Vulnerability Scanning
Cloud Guard/
Security Zones
監査証跡
行・列レベルの
アクセス制御
データ中心の
セキュリティ
- 12. Oracle Cloud Infrastructure
セキュリティのプロもSaaS基盤としてOCIを選択
Copyright © 2021, Oracle and/or its affiliates
12
世界最大のコンピュータ
ネットワーク機器ベンダー
ハードウェアやソフトウェアセンサーから
テレメトリー情報を収集し、データを高度な
機械学習技術によって分析するSaaS
(Cisco Tetration) でOCIを採用
数千コア以上の大規模アプリケーションを
2ヶ月で稼働
インテリジェンス主導型の
セキュリティ企業
なりすまし攻撃、フィッシング、スパムによる
Eメール脅威の対策を提供するSaaSで
OCIを採用
高度なリアルタイム分析をベアメタル・
インスタンスを活用することでクラウドで実現
業界をリードする
サイバーセキュリティ企業
脅威の識別、調査、解決を行うクラウドベースの
SIEMソリューション(McAfee ESM Cloud)で
OCIを採用
他社クラウドに比べ1/4のコストで実現
60万データソースにおける1秒当たり
50万イベントをサポート
- 13. Copyright © 2021, Oracle and/or its affiliates
13
Oracle Cloud Infrastructure の
セキュリティへソリューションのご紹介
- 15. Encryption by Default (すべてのデータは暗号化)
Oracle Cloud Infrastructure
Copyright © 2021, Oracle and/or its affiliates
15
AD1
AD2
AD3
CUSTOMER REGION 1
AD1
AD2
AD3
CUSTOMER REGION 2
TDEでDatabaseファイルを暗号化
MACSec
高速・スケーラブルな
Layer2 暗号化
• OCIに存在するすべてのデータ・サービスはOracleがフルマネージドで暗号化
– Block Volume, Boot Volume, Object Storage, File Storage, Oracle Databaseファイル
– すべてのネットワーク通信も暗号化されている
セキュリティ
・バイ・デザイン
- 16. アカウント内セキュリティ分離をネイティブに実装
コンパートメント・モデルによる階層型アカウント管理
Copyright © 2021, Oracle and/or its affiliates
16
課題
部署をまたいで使用
するシステムの構築
が困難
部署ごとのアクセス権
限設定が複雑
部署ごとのコスト制
御が困難
• Compartmentを部署ごとに分けることで、
部署ごとの権限設定を実現
• Compartment間のリソースアクセスが可能なため部署
をまたいだシステム構築も容易
• Compartmentごとの課金表示やクオータ設定によるコ
スト管理
アカウント空間 アカウント空間
アカウント空間
部署-A
部署-B
部署-A
部署-B
全部署で共通のアカ
ウントを作成
部署ごとに
アカウントを作成
or
従来型のアカウントの作成方法
Tenancy
Compartment A Compartment B
Users Groups
部署ごとにCompartment(サブアカウント)を作成
部署-A 部署-B
「コンパートメント」モデル
Policy
Policy Policy
セキュリティ
・バイ・デザイン
セキュリティ
・バイ・デザイン
- 17. Oracle Cloud Guard
Copyright © 2021, Oracle and/or its affiliates
17
• 構成とアクティビティを継続的に監視
• 様々なソースからのデータを分析し、関連付け
• 問題を特定し、セキュリティ上の脅威を検出
• お客様の要件によっては、表面化した問題の是
正や顧客に通知
• ルートコンパートメントに適用できるため、
グローバル全体かつ新しいリソースも監視可能
• 無償で提供
自動化された
セキュリティ
管理
- 18. Oracle Maximum Security Zones
Copyright © 2021, Oracle and/or its affiliates
18
• 重要な資産を非常に安全場所に配置
• セキュリティは選択ではなく、常時オン
• 初期段階からリソースの安全性を確保することで、
セキュリティ問題を軽減
• 機密性の高いワークロードのための厳格な
セキュリティ対策を実施
• 無償で提供
事前定義のルール
パブリックアクセス不可、
安全でないストレージなし
軽減
セキュリティの問題;
リソース作成時にルールを強制的に適用
他社クラウドにはない、Oracle Cloud Infrastructureが業界初で提供した機能
自動化された
セキュリティ
管理
- 19. • OSの脆弱性スキャンを行うサービス
• 潜在的な脆弱性、オープン・ポート、アップデートの
必要なパッケージなどを定期的にチェック
• 特定のインスタンスや、コンパートメント内にすべて
のインスタンスに対して実行可能
• Center for Internet Security (CIS) ベンチマーク
の項目との対応状況の確認も可能
• Cloud Guardとの連携も可能
• 対象OS
• Oracle Linux / CentOS / Ubuntu
• Windows (CISベンチマークは対象外)
• 無償で提供
Oracle Vulnerability Scanning
Copyright © 2021, Oracle and/or its affiliates
19
自動化された
セキュリティ
管理
- 20. Oracle Autonomous Database
20 Copyright © 2021, Oracle and/or its affiliates
49%
19%
32%
セキュリティアセスメント
High Risk: 33
Medium Risk: 22
Low Risk: 13
68
Risks
18%
28%
24%
15%
15%
Data Discovery
Employee Basic Data: 27
Public Identifier: 49
Address: 42
Compensation data: 31
Oraganization Data: 32
179
Columns
56%
11%
31%
ユーザーアセスメント
Critical Risk: 47
High Risk: 9
Medium Risk: 2
Low Risk: 26
84
Users
Compensation data: 27
.
自動パッチ適用アップグレード
管理者は顧客データにアクセス不可
通信と格納データのデフォルト暗号化
自動化された
セキュリティ
管理
- 21. ハイブリットクラウドで利用するデータベース をよりセキュアに
✓ 統合されたデータベースセキュリティ管理サービス
1. 機密データの発見(Sensitive Data Discovery )
2. データ・マスキング(Data Masking)
3. アクティビティの監査(Activity Auditing)
4. セキュリティ構成の評価(Security Assessment)
5. ユーザーのリスク評価(User Assessment)
✓ 特別なセキュリティの専門知識
✓ 多層防御における重要なデータ・セキュリティ対策
✓ 短時間でセキュリティ・リスクを軽減
✓ Oracle Cloud Databaseの利用でサービスを無償提供 ※1
✓ オンプレミス、他社クラウド上のオラクルDBへも対応
- 24,000円 /ターゲット/月 ※2
Oracle Data Safe
Copyright © 2021, Oracle and/or its affiliates
21
※1 監査機能は100万レコード/ターゲット/月まで無償、その他の機能は無償
※2 監査機能は 100万監査レコード/ターゲット/月まで利用可能、
その他の機能は追加コストなく利用可能
Oracle Cloud上の
データベース
監査
ユーザー 発見
アセス マスク
オンプレミス
のデータベース
Data Safe
AWS, Azure上の
オラクルデータベース
データ中心の
セキュリティ
- 22. Exadata Cloud Service であればデータセキュリティ機能を無償で利用可能
機密性の高い情報を保護するデータ・セキュリティ
Copyright © 2021, Oracle and/or its affiliates
22
発見的対策
予防的対策
凡
例
1. 監査証跡の記録
✓ 情報システムに対するサイバー攻撃を予兆検知
2. セキュリティ設定ミス、特権ユーザーの利用を監視
✓ 無差別型攻撃で狙われる構成ミスや管理者権限の利用状況を監視
3. データの暗号化
✓ 個人データが漏えいした際、二次的被害(社内外の影響)を最小限に
4. データのアクセス制御 / 権限分掌
✓ 悪意のある攻撃者よりデータの閲覧、改変、破壊などを防ぐ
✓Data Safe による構成・ユーザの
アセスメントと機密データの発見
✓Data Safeによる監査ログの管理
✓Oracle Cloudはデフォルトで暗号化
✓Database Vaultによる権限分掌
データ中心の
セキュリティ
- 23. 特権DBユーザの権限分掌
Oracle Database Vault
Copyright © 2021, Oracle and/or its affiliates
23
• 特権ユーザの無制限のアクセスを禁止し、ユーザごとのアクセス権限を厳格にする
DB
ルールセット
機密データの
取り扱い者
DB管理者
セキュリティ
管理者
サーバ
管理者
機密データ
データディクショナリ
業務データ
ユーザ・アカウント
時刻
=8:00~19:00
曜日 = 月~金
IPアドレス =
xxxxx
• 許可された範囲で機密データに
アクセス可能
• DBの運用管理業務
• 業務データと機密データ
へのアクセスは不可
• アカウントと鍵の管理業務
• 業務データと機密データへのアクセ
スは不可
• サーバとOSの管理業務のみ
• DBへのアクセスは不可
DB管理者であっても、管
理業務に必要ない業務
データ、機密データへのアク
セスを禁止する
必要に応じてルールを適用し、時
間帯やIPアドレスでアクセスを制
限する
それ以外
それ以外
それ以外
それ以外
すべて
一般利用者
• 許可された範囲で業務データにア
クセス可能
データ中心の
セキュリティ
- 24. • パブリック・アクセスを持たないターゲットへの制限付き
および時間制限付きのセキュアなアクセスを提供
• 許可されたユーザーのみが Secure Shell (SSH) セッショ
ンを使用して特定の IP アドレスに接続
• Bastionセッションを使用して、Maximum Security
Zonesのコンパートメント内にアクセスが可能
• 既存の踏み台サーバーをなくしコスト削減が可能
• OCI IAM(*)と統合により、アクセスできるユーザーと、
それらのリソースで実行できる操作の制御を集中管理
• 誰が、いつ、Bastionを作成/削除/更新したかの
操作を監査可能
• 無償で提供
Oracle Cloud Infrastructure Bastion
Copyright © 2021, Oracle and/or its affiliates
24
データ中心の
セキュリティ
クライアント
sshクライアント
sshトンネル
DBクライアント
Oracle Cloud Infrastructure
VCN
Bastion Private Subnet
インスタンス
データベース
セッション
セッション
* Oracle Cloud Infrastructure Identity and Access Management
- 25. 権限管理とアクセスコントロール
IDとアクセス制御
• コンパートメントとグループ、ポリシーを
組み合わせた柔軟かつ強力な設定
多要素認証も含めた厳密なID管理
• SMSを用いたワンタイムパスワード
• iPhone、Android用アプリの提供
• ワンタイムパスワード
• 通知への応答(許可/拒否)
• 事前登録質問への回答 (秘密の
質問)
柔軟なアクセス制御設定
• アプリケーション単位でアクセスの許
可や拒否、再認証や二要素認証の
要求をポリシーとして指定
Oracle Identity Cloud Service
Copyright © 2021, Oracle and/or its affiliates
25
ワンタイムパスワード 通知への応答
イントラネットからの
アクセスはID/PWのみ
インターネットからのアクセス
には二要素認証を要求
Users
User1
User2
Instances
Instance1
Instance2
Groups
GroupX
GroupY
Dynamic
Groups
GroupZ
コンパートメントB
コンパートメントA
PolicyA PolicyB2
PolicyB1
Policies
PolicyA: allow group GroupX
PolicyB1: allow group GroupY
PolicyB2: allow dynamic-group
GroupZ
• 使用したIdP
• 所属グループ
• ユーザー名
• IPアドレス
データ中心の
セキュリティ
- 27. Oracle Management Cloud
ログ管理・監視・分析
27 Copyright © 2021, Oracle and/or its affiliates
ログ分析の効率化、機械学習
✓ 機械学習による自動分類、異常値検出、アラート
✓ 事前定義済みのログ収集テンプレート
✓ 様々なログフォーマットに対応し、DB監査ログ、ID管理ログやOSログ
などあらゆるログを投入して監査工数の削減に活用
クラスタ分析によるパターン検出・例外検出
✓ 類似パターンを持つログを自動的に認識しグルーピング
✓ 膨大なイベントログをパターン毎に集約
✓ 注意すべき情報をハイライトし、能動的な分析を支援
✓ 「Error」などのキーワードを含むクラスタ
✓ 例外的なメッセージ(件数の少ないクラスタ)
2016-02-29 19:23:42,317 [[ACTIVE] ExecuteThread: '6' for queue: 'weblogic.kernel.Default (self-tuning)'] ERROR
console.ConsolePerfCollector logp.251 - Session Expired while processing page with viewId null,so tracing for the
page is not recorded. ConsolePerfTraceData is...
2016-03-11 17:10:08,130 [EMUI_17_10_08_/console/database/instance/orarep/sqlmonitor/list] ERROR
reports.ReportXmlBean logp.251 - getReportXML SQLException: ORA-31011: XML解析に失敗しました
ORA-19213: 行 1
LPX-00118: Warning: エンティティ“amp;inst_id=1&”が未定義です
データ中心の
セキュリティ
- 28. 28 Copyright © 2021, Oracle and/or its affiliates
カテゴリ 機能 機能名 単価
セキュリティ・
バイ・デザイン
強力、完全なテナント分離 Isolated Network Virtualization / Bare Meta 標準機能
強制的な暗号化 Encryption by Default 標準機能
階層型権限管理 Compartment 標準機能
自動化された
セキュリティ管理
リスクのある設定を自動検知 Cloud Guard 無償
ポリシーの自動適用 Security Zones 無償
脆弱性スキャン Vulnerability Scanning 無償
オンラインでのパッチ適用 Autonomous Database 無償 (*1)
自動化されたログ分析 Logging Analytics 10GBまで無償
データ中心の
多層防御
DBセキュリティ対策の自動化 Data Safe 無償~ (*2)
特権ユーザー管理 Database Vault DBCS HP ~ (*3)
多要素認証、リスクベース認証 Identity Cloud Service ¥384 ~ (*4)
ボット対策とWAF Web Application Firewall ¥90 ~ (*5)
*1 Autonomous Database 利用時に無償で利用可能
*2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償
*3 DBCS High Performance以上で利用可能
*4 価格単位:¥384 [ユーザー/月]
*5 価格単位 : ¥72 [1,000,000インカミングリクエスト/月] + ¥18 [グッドトラフィックのギガバイト/月]
- 29. 価格詳細:クラウドサービス (1)
29 Copyright © 2021, Oracle and/or its affiliates
* 監査記録の蓄積は、 100万監査レコード/ターゲット/月まで無償、その他の機能は無償
** 監査記録の蓄積は、 100万監査レコード/ターゲット/月まで利用可能、その他の機能は追加コストなく利用可能
*** 税抜き価格
• Oracle Data Safe
サービス名 単価 単位
Data Safe for Database Cloud Service (*) 無償
Data Safe for Database Cloud Service - Audit Record Collection Over 1 Million Records ¥12 1万監査レコード/ターゲット/月
Data Safe for On-Premises Databases & Databases on Compute (**) ¥24,000 ターゲットデータベース/月
Data Safe for On-Premises Databases & Databases on Compute –
10,000 Audit Records Per Target Per Month
¥12 1万監査レコード/ターゲット/月
サービス名 単価 単位
Oracle Cloud Guard 無償
Oracle Security Zones 無償
Oracle Vulnerability Scanning 無償
Bastion 無償
• Oracle Cloud Guard / Security Zones / Vulnerability Scanning / Bastion
- 30. 価格詳細:クラウドサービス (2)
30 Copyright © 2021, Oracle and/or its affiliates
• Oracle Identity Cloud Service
• Oracle Cloud Infrastructure Web Application Firewall
* 税抜き価格
サービス名 単価 単位
Oracle Identity Cloud Service - Enterprise User ¥384.00 ユーザー/月
Oracle Identity Cloud Service - Consumer User ¥1.92 ユーザー/月
サービス名 単価 単位
Web Application Firewall - Requests ¥72 1,000,000インカミングリクエスト/月
Web Application Firewall - Good Traffic ¥18 グッドトラフィックのギガバイト/月
Web Application Firewall - Bot Management ¥480 1,000,000インカミングリクエスト/月
• Oracle Cloud Infrastructure Logging Analytics
サービス名 単価 単位
Oracle Cloud Infrastructure Logging Analytics - Active Storage ¥60.0 Logging Analytics Storage Unit Per Hour
Oracle Cloud Infrastructure Logging Analytics - Archival Storage ¥2.4 Logging Analytics Storage Unit Per Hour
• 最初10GBは無料で利用可能。10GBを超えて利用した場合に課金が発生
- 31. 参考資料
31 Copyright © 2021, Oracle and/or its affiliates
概要
• オラクルセキュリティ サービス概要
https://www.oracle.com/jp/security/
• オラクルのクラウドセキュリティソリューション概要
https://blogs.oracle.com/sec/cloud-security-overview
• オラクルセキュリティ活用事例
https://blogs.oracle.com/sec/case-oraclesecurity
• クラウドセキュリティの最新情報:
クラウドセキュリティナビ
https://blogs.oracle.com/sec
各サービスを詳しく知りたい
• Oracle Cloud Infrastructure Web Application Firewall
https://blogs.oracle.com/sec/introducing-the-oci-waf-jp
• Oracle Data Safe
https://blogs.oracle.com/sec/data-safe-overview
• オラクルが提供するID管理ソリューション
https://blogs.oracle.com/sec/oracleidm1-idm
• Oracle Cloud :セキュリティとコンプライアンス
https://blogs.oracle.com/sec/oracle-cloud-compliance
セミナー情報
• https://blogs.oracle.com/oracle4engineer/column_cloud_seminar