会社概要 プライバシーポリシー
Facebook Twitter
お問い合わせ
Cloudii(クラウディ) Cloudii(クラウディ)
お問い合わせ
TOPICS
更新情報
ホーム > ブログ > Oracle Cloud > Oracle CloudでSecurity Zoneを作成してみました

Oracle CloudでSecurity Zoneを作成してみました

Oracle Cloud
2020.12.24 
※このブログは2020年12月時点の情報に基づいて作成されているため、現在の状況と異なる可能性がございます。

 

こんにちは。t-tasakaです。 少し前の話ですが、以下記事より、Oracle Cloudの新機能としてOracle Maximum Security Zones と Security Advisorsが提供されているようです。 https://blogs.oracle.com/sec/now-available-oracle-maximum-security-zones-and-security-advisors-for-you-jp

クラウド構築のベストプラクティスを実現する手助けをしてくれる機能ということですが、 Oracle Maximum Security Zones というのがよくイメージできなかったので、実際に作成してみることにします。

Oracle Cloudのコンソール画面から、ガバナンスと管理→セキュリティ→セキュリティゾーンと選択します。

セキュリティー・ゾーンの作成をクリックします

任意の名前と作成するコンパートメントを指定して、作成をクリックします。

作成されたようです。 作成時に選択したコンパートメントの下に、新しいコンパートメントとしてセキュリティーゾーンが設置されています。

レシピを開いてみると、ポリシーがすでにセットされています。ポリシーはOracle Cloudで管理されています。

日本語ドキュメントもあり、参照してみると現在以下のようなポリシーが設定されています。 https://docs.cloud.oracle.com/ja-jp/iaas/security-zone/using/security-zone-policies.htm

ポリシー 説明
DENY ATTACHED_BLOCK_VOLUME_NOT_IN_SECURITYZONEMOVE_TO_COMPARTMENT_IN_SECURITY_ZONE ブロック・ボリュームは、セキュリティ・ゾーンにないコンピュート・インスタンスにアタッチされている場合、セキュリティ・ゾーンに移動できません。
DENY ATTACHED_BOOT_VOLUME_NOT_IN_SECURITY_ZONE_MOVE_TO_COMPARTMENT_IN_SECURITY_ZONE ブート・ボリュームは、セキュリティ・ゾーンにないコンピュート・インスタンスにアタッチされている場合、セキュリティ・ゾーンに移動できません。
DENYBLOCK_VOLUMEINSECURITYZONEATTACH_TO_INSTANCE_NOT_IN_SECURITY_ZONE セキュリティ・ゾーンのコンピュート・インスタンスにアタッチされているすべてのブロック・ストレージ・ボリュームは、それ自体がセキュリティ・ゾーンにある必要があります。
DENY BLOCK_VOLUME_IN_SECURITY_ZONE_MOVE_TO_COMPARTMENT_NOT_IN_SECURITY_ZONE ブロック・ボリュームをセキュリティ・ゾーンから標準コンパートメントに移動できません。
DENY BLOCKVOLUMENOT_IN_SECURITY_ZONE_ATTACH_TO_INSTANCE_IN_SECURITY_ZONE セキュリティ・ゾーンのコンピュート・インスタンスにアタッチされているすべてのブロック・ストレージ・ボリュームは、それ自体がセキュリティ・ゾーンにある必要があります。
DENY BLOCK_VOLUME_WITHOUT_VAULT_KEY セキュリティ・ゾーンのブート・ボリュームでは、Vaultサービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。
DENY BOOT_VOLUME_IN_SECURITY_ZONE_ATTACH_TO_INSTANCE_NOT_IN_SECURITY_ZONE セキュリティ・ゾーンにないコンピュート・インスタンスは、セキュリティ・ゾーンにあるブート・ボリュームにアタッチできません。
DENY BOOT_VOLUMEINSECURITY_ZONE_MOVE_TO_COMPARTMENT_NOT_IN_SECURITY_ZONE ブート・ボリュームをセキュリティ・ゾーンから標準コンパートメントに移動できません。
DENY BOOT_VOLUME_NOT_IN_SECURITY_ZONE_ATTACH_TO_INSTANCE_IN_SECURITY_ZONE セキュリティ・ゾーン内のコンピュート・インスタンスのブート・ボリュームもセキュリティ・ゾーン内に存在する必要があります。
DENY BOOTVOLUMEWITHOUT_VAULT_KEY セキュリティ・ゾーンのブート・ボリュームでは、Vaultサービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。

作成したセキュリティゾーンは、標準のコンパートメントと同じように表示されています。

まとめ

今回はセキュリティゾーンを作成してみました。 標準のコンパートメントではなく、セキュリティゾーンにシステムを構築することで、Oracle Cloudのベストプラクティスなセキュリティに則って構築することができます。

Oracle Cloudが提唱するベストプラクティスな構築を行いたいケースに有効ではないでしょうか。

皆様のお役に立てれば嬉しいです。

この記事が気に入ったら
「いいね!」

この記事を書いた人

t-tasaka

この執筆者の記事一覧

関連コンテンツ

OCI セキュリティ・ゾーン + クラウド・ガードで可用性を高める
ブログ
2024.08.07

セキュリティ・ゾーンとは? セキュリティ・ゾーンとは、特定のコンパートメントに対する操作を制限し、コンパートメントを要塞化することでセキュリティレベルを向上させ …[続きを見る]
「Oracle OpenWorld 2019」で発表されたサービスについて_その1
イベント
2019.09.17

※このブログは2019年9月時点の情報に基づいて作成されているため、現在の状況と異なる可能性がございます。   id:s-oomoriです。いつものこ …[続きを見る]
Oracle Cloud ポリシーステートメント
Oracle Cloud
2019.12.20

※このブログは2019年12月時点の情報に基づいて作成されているため、現在の状況と異なる可能性がございます。   この記事はOracle Cloud …[続きを見る]

CONTACT お問い合わせ

Cloudiiのサービスやプロダクトについて
興味をお持ちの方は、
お気軽にお問い合わせください。
CONTACT FORM