お問い合わせ
お問い合わせ
TOPICS
更新情報
ホーム > ブログ > Oracle Cloud > Oracle CloudでSecurity Zoneを作成してみました

Oracle CloudでSecurity Zoneを作成してみました

Oracle Cloud
2020.12.24

こんにちは。t-tasakaです。
少し前の話ですが、以下記事より、Oracle Cloudの新機能としてOracle Maximum Security Zones と Security Advisorsが提供されているようです。
https://blogs.oracle.com/sec/now-available-oracle-maximum-security-zones-and-security-advisors-for-you-jp

クラウド構築のベストプラクティスを実現する手助けをしてくれる機能ということですが、
Oracle Maximum Security Zones というのがよくイメージできなかったので、実際に作成してみることにします。

Oracle Cloudのコンソール画面から、ガバナンスと管理→セキュリティ→セキュリティゾーンと選択します。

セキュリティー・ゾーンの作成をクリックします

任意の名前と作成するコンパートメントを指定して、作成をクリックします。

作成されたようです。
作成時に選択したコンパートメントの下に、新しいコンパートメントとしてセキュリティーゾーンが設置されています。

レシピを開いてみると、ポリシーがすでにセットされています。ポリシーはOracle Cloudで管理されています。

日本語ドキュメントもあり、参照してみると現在以下のようなポリシーが設定されています。
https://docs.cloud.oracle.com/ja-jp/iaas/security-zone/using/security-zone-policies.htm

ポリシー 説明
DENY 
ATTACHED_BLOCK_VOLUME
_NOT_IN_SECURITYZONE
MOVE_TO_COMPARTMENT
_IN_SECURITY_ZONE
ブロック・ボリュームは、セキュリティ・ゾーンにないコンピュート・インスタンスにアタッチされている場合、セキュリティ・ゾーンに移動できません。
DENY 
ATTACHED_BOOT_VOLUME
_NOT_IN_SECURITY_ZONE
_MOVE_TO_COMPARTMENT
_IN_SECURITY_ZONE
ブート・ボリュームは、セキュリティ・ゾーンにないコンピュート・インスタンスにアタッチされている場合、セキュリティ・ゾーンに移動できません。
DENY
BLOCK_VOLUMEIN
SECURITYZONE
ATTACH_TO_INSTANCE
_NOT_IN_SECURITY_ZONE
セキュリティ・ゾーンのコンピュート・インスタンスにアタッチされているすべてのブロック・ストレージ・ボリュームは、それ自体がセキュリティ・ゾーンにある必要があります。
DENY 
BLOCK_VOLUME_IN
_SECURITY_ZONE
_MOVE_TO_COMPARTMENT
_NOT_IN_SECURITY_ZONE
ブロック・ボリュームをセキュリティ・ゾーンから標準コンパートメントに移動できません。
DENY 
BLOCKVOLUME
NOT_IN_SECURITY_ZONE
_ATTACH_TO
_INSTANCE_IN_SECURITY_ZONE
セキュリティ・ゾーンのコンピュート・インスタンスにアタッチされているすべてのブロック・ストレージ・ボリュームは、それ自体がセキュリティ・ゾーンにある必要があります。
DENY 
BLOCK_VOLUME_WITHOUT
_VAULT_KEY
セキュリティ・ゾーンのブート・ボリュームでは、Vaultサービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。
DENY 
BOOT_VOLUME_IN
_SECURITY_ZONE
_ATTACH_TO_INSTANCE
_NOT_IN_SECURITY_ZONE
セキュリティ・ゾーンにないコンピュート・インスタンスは、セキュリティ・ゾーンにあるブート・ボリュームにアタッチできません。
DENY 
BOOT_VOLUMEIN
SECURITY_ZONE_MOVE_TO
_COMPARTMENT_NOT_IN
_SECURITY_ZONE
ブート・ボリュームをセキュリティ・ゾーンから標準コンパートメントに移動できません。
DENY 
BOOT_VOLUME_NOT_IN
_SECURITY_ZONE_ATTACH_TO
_INSTANCE_IN_SECURITY_ZONE
セキュリティ・ゾーン内のコンピュート・インスタンスのブート・ボリュームもセキュリティ・ゾーン内に存在する必要があります。
DENY 
BOOTVOLUME
WITHOUT_VAULT_KEY
セキュリティ・ゾーンのブート・ボリュームでは、Vaultサービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。

作成したセキュリティゾーンは、標準のコンパートメントと同じように表示されています。

まとめ

今回はセキュリティゾーンを作成してみました。
標準のコンパートメントではなく、セキュリティゾーンにシステムを構築することで、Oracle Cloudのベストプラクティスなセキュリティに則って構築することができます。

Oracle Cloudが提唱するベストプラクティスな構築を行いたいケースに有効ではないでしょうか。

皆様のお役に立てれば嬉しいです。


この記事が気に入ったら
「いいね!」

この記事を書いた人

Cloudii

クラウド総合支援サービス「Cloudii(クラウディ)」は、クラウドの導入や保守など、お客様の様々な課題の解決をオールラウンドにサポートします。


関連コンテンツ

CONTACT お問い合わせ

Cloudiiのサービスやプロダクトについて
興味をお持ちの方は、
お気軽にお問い合わせください。