こんにちは。a.nakamuraです。
本記事はOracle Cloud Infrastructure Advent Calendar 2023 カレンダー1の Day7の記事と書いています。
今回はCloud Guard(クラウド・ガード)を有効化してOracle Cloud Infrastructure(OCI)の設定を監視する方法、問題へのアクションについて記載します。
参考
クラウド・ガード
クラウド・ガードとは
OCIのサービス設定やアクティビティを監視しアクションを実行することで、クラウドを安全に利用するサービスです。
- OCIのセキュリティ状態をスコアで表示し、問題を可視化する。
- 認証やネットワーク、ストレージ等の脆弱な設定を自動的に検出する。
- 検出ルールはOracleが管理しているので、ユーザーがメンテナンスする必要がない。
- 問題の具体的な対応を自動実行。
- 無料で利用可能。
クラウド・ガードを有効化する方法
1.管理者権限を持つユーザーでOCIにログインしてください。
2.OCIコンソール画面の左上のハンバーガーアイコン → [アイデンティティとセキュリティ] → [クラウド・ガード]を選択してください。
3.[クラウド・ガードの有効化]を選択してください。
4. クラウド・ガードがOCIリソースの管理を許可するポリシー [CloudGuardPolicies]を作成する画面に移動するので[次]を選択してください。
ポリシーの内容は以下です。
allow group CloudGuardUsers to read threat-intel-family in tenancy
allow service cloudguard to read keys in tenancy
allow service cloudguard to read compartments in tenancy
allow service cloudguard to read compute-management-family in tenancy
allow service cloudguard to read instance-family in tenancy
allow service cloudguard to read virtual-network-family in tenancy
allow service cloudguard to read volume-family in tenancy
allow service cloudguard to read tenancies in tenancy
allow service cloudguard to read audit-events in tenancy
allow service cloudguard to read vaults in tenancy
allow service cloudguard to read object-family in tenancy
allow service cloudguard to read load-balancers in tenancy
allow service cloudguard to read groups in tenancy
allow service cloudguard to read dynamic-groups in tenancy
allow service cloudguard to read users in tenancy
allow service cloudguard to read database-family in tenancy
allow service cloudguard to read authentication-policies in tenancy
allow service cloudguard to read policies in tenancy
allow service cloudguard to use network-security-groups in tenancy
allow service cloudguard to read data-safe-family in tenancy
allow service cloudguard to read autonomous-database-family in tenancy
allow service cloudguard to manage cloudevents-rules in tenancy where target.rule.type='managed'5. 基本情報を設定した後、[有効化]を選択してください。
レポート・リージョン:Japan East (Tokyo)
モニターするコンパートメント:すべて
構成ディテクタ・レシピ:なし(デフォルト)
アクティビティ・ディティクタ:なし(デフォルト)
レポート・リージョンについて・・選択したリージョンの法的要件に準拠するように監視をします。
ディティクタについて ・・それぞれのディティクタには、Oracleが管理しているレシピ(検出ルール)が適用され、レシピに基づいて問題が検出されます。Oracle管理のレシピに含まれる様々なルールに対して検出条件の変更など一部のカスタマイズをすることで独自のレシピを作成することができます。
6. クラウド・ガードが有効化になり、ダッシュボードを確認できるようになります。
ダッシュボードの確認
ダッシュボード画面の左上部にある[問題のスナップショット]に、重大度レベル別に問題が分類されています。
確認したい重大度を選択することで、重大度別の問題一覧を表示できます。
クラウド・ガードダッシュボード画面の右上部にある[問題]では、[グループ化基準]プルダウンで選択したリージョン、コンパートメントまたはリソースタイプ毎に集計された棒グラフを表示できます。
また、確認したい棒グラフを選択することでそのコンパートメントの問題一覧を表示できます。
また、検出した問題はクラウド・ガードのダッシュボード画面左側の[クラウド・ガード] → [問題]からフィルターを使用して検索が可能です。
問題の詳細画面では、問題の内容、推奨事項、影響を受けるリソース、問題の履歴を確認することができます。
問題へのアクション
問題にへのアクションは「修正」「解決済みとしてマーク」「終了」があります。問題の内容によってアクションを選択して対応します。
修正:クラウド・ガード・レスポンダから問題の対応をする。今後も同じ方法で自動的に解決し、検出もされる。
解決済としてマーク:クラウド・ガード以外で対応・解決したときに選択する。アクションを実行したときのみの対応になり、今後も検出される。
終了:特に対応せずにクローズする時に選択する。今後同じ問題が起きても無視する(検出しない)。
| 修正 | 解決済としてマーク | 終了 | |
| アクションの対象 | 現在の問題 | 現在の問題又は選択した全ての問題 | 現在の問題又は選択した全ての問題 |
| 後で発生する同じ問題への対応 | 同じ方法で自動的に解決する。問題一覧にも表示される。 | 再度検出およびレポートされる。問題一覧にも表示される。 | 新しい問題として検出されない。最終検出時刻のみが更新される。 |
| 解決策の実装 | クラウド・ガード・レスポンダを実行する | ユーザーが指定した任意のアクションを実行する | 問題を無視 |
例として、バケットの可視性が「パブリック」になってしまっている問題を解決済としてマークする手順を記載します。
その他のアクションの実行手順は 「問題」ページでの問題の処理および解決 を参照ください。
[問題の詳細]画面から[解決済としてマーク]を選択する。
ポップアップが表示されるので任意でコメントを入力して[解決済としてマーク]を選択してください。
問題のステータスが解決済となり、問題の履歴に解決済としてマークした履歴が追加されます。
おわりに
クラウド・ガードを有効化することでOCIサービスの監視をすることができます。
構築時にうっかり、、というものを確認するいいツールだと思います!無料で利用できるので有効化をして役立て行きたいですね!
本記事がお役に立てば幸いです。