Facebook Twitter
お問い合わせ
TOPICS
更新情報
ホーム > ブログ > Oracle Cloud > Oracle CloudでSecurity Zoneを作成してみました

Oracle CloudでSecurity Zoneを作成してみました

Oracle Cloud
2020.12.24
※このブログは2020年12月時点の情報に基づいて作成されているため、現在の状況と異なる可能性がございます。

 

こんにちは。t-tasakaです。 少し前の話ですが、以下記事より、Oracle Cloudの新機能としてOracle Maximum Security Zones と Security Advisorsが提供されているようです。 https://blogs.oracle.com/sec/now-available-oracle-maximum-security-zones-and-security-advisors-for-you-jp

クラウド構築のベストプラクティスを実現する手助けをしてくれる機能ということですが、 Oracle Maximum Security Zones というのがよくイメージできなかったので、実際に作成してみることにします。

Oracle Cloudのコンソール画面から、ガバナンスと管理→セキュリティ→セキュリティゾーンと選択します。

セキュリティー・ゾーンの作成をクリックします

任意の名前と作成するコンパートメントを指定して、作成をクリックします。

作成されたようです。 作成時に選択したコンパートメントの下に、新しいコンパートメントとしてセキュリティーゾーンが設置されています。

レシピを開いてみると、ポリシーがすでにセットされています。ポリシーはOracle Cloudで管理されています。

日本語ドキュメントもあり、参照してみると現在以下のようなポリシーが設定されています。 https://docs.cloud.oracle.com/ja-jp/iaas/security-zone/using/security-zone-policies.htm

ポリシー 説明
DENY ATTACHED_BLOCK_VOLUME_NOT_IN_SECURITYZONEMOVE_TO_COMPARTMENT_IN_SECURITY_ZONE ブロック・ボリュームは、セキュリティ・ゾーンにないコンピュート・インスタンスにアタッチされている場合、セキュリティ・ゾーンに移動できません。
DENY ATTACHED_BOOT_VOLUME_NOT_IN_SECURITY_ZONE_MOVE_TO_COMPARTMENT_IN_SECURITY_ZONE ブート・ボリュームは、セキュリティ・ゾーンにないコンピュート・インスタンスにアタッチされている場合、セキュリティ・ゾーンに移動できません。
DENYBLOCK_VOLUMEINSECURITYZONEATTACH_TO_INSTANCE_NOT_IN_SECURITY_ZONE セキュリティ・ゾーンのコンピュート・インスタンスにアタッチされているすべてのブロック・ストレージ・ボリュームは、それ自体がセキュリティ・ゾーンにある必要があります。
DENY BLOCK_VOLUME_IN_SECURITY_ZONE_MOVE_TO_COMPARTMENT_NOT_IN_SECURITY_ZONE ブロック・ボリュームをセキュリティ・ゾーンから標準コンパートメントに移動できません。
DENY BLOCKVOLUMENOT_IN_SECURITY_ZONE_ATTACH_TO_INSTANCE_IN_SECURITY_ZONE セキュリティ・ゾーンのコンピュート・インスタンスにアタッチされているすべてのブロック・ストレージ・ボリュームは、それ自体がセキュリティ・ゾーンにある必要があります。
DENY BLOCK_VOLUME_WITHOUT_VAULT_KEY セキュリティ・ゾーンのブート・ボリュームでは、Vaultサービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。
DENY BOOT_VOLUME_IN_SECURITY_ZONE_ATTACH_TO_INSTANCE_NOT_IN_SECURITY_ZONE セキュリティ・ゾーンにないコンピュート・インスタンスは、セキュリティ・ゾーンにあるブート・ボリュームにアタッチできません。
DENY BOOT_VOLUMEINSECURITY_ZONE_MOVE_TO_COMPARTMENT_NOT_IN_SECURITY_ZONE ブート・ボリュームをセキュリティ・ゾーンから標準コンパートメントに移動できません。
DENY BOOT_VOLUME_NOT_IN_SECURITY_ZONE_ATTACH_TO_INSTANCE_IN_SECURITY_ZONE セキュリティ・ゾーン内のコンピュート・インスタンスのブート・ボリュームもセキュリティ・ゾーン内に存在する必要があります。
DENY BOOTVOLUMEWITHOUT_VAULT_KEY セキュリティ・ゾーンのブート・ボリュームでは、Vaultサービスの顧客管理マスター暗号化キーを使用する必要があります。Oracleによって管理されるデフォルトの暗号化キーは使用できません。

作成したセキュリティゾーンは、標準のコンパートメントと同じように表示されています。

まとめ

今回はセキュリティゾーンを作成してみました。 標準のコンパートメントではなく、セキュリティゾーンにシステムを構築することで、Oracle Cloudのベストプラクティスなセキュリティに則って構築することができます。

Oracle Cloudが提唱するベストプラクティスな構築を行いたいケースに有効ではないでしょうか。

皆様のお役に立てれば嬉しいです。


この記事が気に入ったら
「いいね!」

この記事を書いた人


関連コンテンツ

CONTACT お問い合わせ

Cloudiiのサービスやプロダクトについて
興味をお持ちの方は、
お気軽にお問い合わせください。