こんにちは。t-tasakaです。
少し前の話ですが、以下記事より、Oracle Cloudの新機能としてOracle Maximum Security Zones と Security Advisorsが提供されているようです。
https://blogs.oracle.com/sec/now-available-oracle-maximum-security-zones-and-security-advisors-for-you-jp
クラウド構築のベストプラクティスを実現する手助けをしてくれる機能ということですが、
Oracle Maximum Security Zones というのがよくイメージできなかったので、実際に作成してみることにします。
Oracle Cloudのコンソール画面から、ガバナンスと管理→セキュリティ→セキュリティゾーンと選択します。
セキュリティー・ゾーンの作成をクリックします
任意の名前と作成するコンパートメントを指定して、作成をクリックします。
作成されたようです。
作成時に選択したコンパートメントの下に、新しいコンパートメントとしてセキュリティーゾーンが設置されています。
レシピを開いてみると、ポリシーがすでにセットされています。ポリシーはOracle Cloudで管理されています。
日本語ドキュメントもあり、参照してみると現在以下のようなポリシーが設定されています。
https://docs.cloud.oracle.com/ja-jp/iaas/security-zone/using/security-zone-policies.htm
| ポリシー | 説明 |
|---|---|
| DENY ATTACHED_BLOCK_VOLUME_NOT_IN_SECURITYZONEMOVE_TO_COMPARTMENT_IN_SECURITY_ZONE | ブロック・ボリュームは、セキュリティ・ゾーンにないコンピュート・インスタンスにアタッチされている場合、セキュリティ・ゾーンに移動できません。 |
| DENY ATTACHED_BOOT_VOLUME_NOT_IN_SECURITY_ZONE_MOVE_TO_COMPARTMENT_IN_SECURITY_ZONE | ブート・ボリュームは、セキュリティ・ゾーンにないコンピュート・インスタンスにアタッチされている場合、セキュリティ・ゾーンに移動できません。 |
| DENYBLOCK_VOLUMEINSECURITYZONEATTACH_TO_INSTANCE_NOT_IN_SECURITY_ZONE | セキュリティ・ゾーンのコンピュート・インスタンスにアタッチされているすべてのブロック・ストレージ・ボリュームは、それ自体がセキュリティ・ゾーンにある必要があります。 |
| DENY BLOCK_VOLUME_IN_SECURITY_ZONE_MOVE_TO_COMPARTMENT_NOT_IN_SECURITY_ZONE | ブロック・ボリュームをセキュリティ・ゾーンから標準コンパートメントに移動できません。 |
| DENY BLOCKVOLUMENOT_IN_SECURITY_ZONE_ATTACH_TO_INSTANCE_IN_SECURITY_ZONE | セキュリティ・ゾーンのコンピュート・インスタンスにアタッチされているすべてのブロック・ストレージ・ボリュームは、それ自体がセキュリティ・ゾーンにある必要があります。 |
| DENY BLOCK_VOLUME_WITHOUT_VAULT_KEY | セキュリティ・ゾーンのブート・ボリュームでは、Vaultサービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。 |
| DENY BOOT_VOLUME_IN_SECURITY_ZONE_ATTACH_TO_INSTANCE_NOT_IN_SECURITY_ZONE | セキュリティ・ゾーンにないコンピュート・インスタンスは、セキュリティ・ゾーンにあるブート・ボリュームにアタッチできません。 |
| DENY BOOT_VOLUMEINSECURITY_ZONE_MOVE_TO_COMPARTMENT_NOT_IN_SECURITY_ZONE | ブート・ボリュームをセキュリティ・ゾーンから標準コンパートメントに移動できません。 |
| DENY BOOT_VOLUME_NOT_IN_SECURITY_ZONE_ATTACH_TO_INSTANCE_IN_SECURITY_ZONE | セキュリティ・ゾーン内のコンピュート・インスタンスのブート・ボリュームもセキュリティ・ゾーン内に存在する必要があります。 |
| DENY BOOTVOLUMEWITHOUT_VAULT_KEY | セキュリティ・ゾーンのブート・ボリュームでは、Vaultサービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。 |
作成したセキュリティゾーンは、標準のコンパートメントと同じように表示されています。
まとめ
今回はセキュリティゾーンを作成してみました。
標準のコンパートメントではなく、セキュリティゾーンにシステムを構築することで、Oracle Cloudのベストプラクティスなセキュリティに則って構築することができます。
Oracle Cloudが提唱するベストプラクティスな構築を行いたいケースに有効ではないでしょうか。
皆様のお役に立てれば嬉しいです。