お客様は、Oracle Cloud Guardによって、クラウド・セキュリティ・リスクを示す弱いセキュリティ構成およびアクティビティを検出して、良好なセキュリティ・ポスチャを維持できます。
Cloud Guardは、各リージョンのリソースに関する監査および構成データを取り込み、ディテクタ・ルールに基づいて処理し、レポート・リージョンで問題を関連付けて、顧客テナント内のセキュリティの問題を検出します。特定された問題は、ダッシュボードやメトリックスの作成に使用され、問題解決を支援するために1つまたは複数の提供されたレスポンダーをトリガーすることもあります。
レスポンダーは、問題に基づいてセキュリティ問題を緩和、修正、および防止します。
Cloud Guardは、Oracle Cloud Infrastructure(OCI)のテナント内でデフォルトで利用可能で、OCI Securityコンソールからアクセスできます。以下は、Cloud Guardを初めて有効にするための手順です。
前提条件:Cloud Guardは、無料のOracle Cloud Infrastructureテナンシではご利用いただけません。Cloud Guardを有効にする前に、有料テナンシを所有されていることをご確認ください。
その他すべての前提条件については、https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htmをご覧ください。
OCI構成とOCIアクティビティ向けCloud Guardは、サポートされるOCIサービスに対して無料で提供されます。
Cloud Guardはリージョンごとに導入され、お客様が選択したレポート・リージョンに問題を集約し、グローバルビューを提供します。
テナンシのすべての商用リージョンが監視対象リージョンです。現在サポートされているリージョンの一覧は、こちらをご覧ください: https://docs.cloud.oracle.com/en-us/iaas/Content/General/Concepts/regions.htm
いいえ、レポート・リージョンを変更することはできません。レポート・リージョンはCloud Guardの有効化時に選択でき、一度割り当てられた設定はCloud Guardを無効化し有効化しても変更できません。
レポートはCloud Guardの有効化時にのみ有効にすることができます。そのため、既存のレポート・リージョンを変更する必要がある場合は、Cloud Guardを無効化し、再有効化プロセスの際に同じまたは異なるレポート・リージョンを選択できます。
別のレポート・リージョンで再有効化する場合は、約20分の待ち時間があることにご注意ください。これは、リージョン間でリソースの同期が必要なためです。
はい。Cloud Guardは、コンソールの概要ページの一部として、リスク・スコアとセキュリティ・スコアの2つの主要な指標を提供します。セキュリティ・スコアは、問題の数、種類、および深刻度を使用して、セキュリティ・ポスチャの強度の全体的な評価を決定するための、0〜100の範囲で正規化された値です。リスク・スコアは、テナントのリスク・エクスポージャ全体を決定するために、監視対象のリソース合計数、各リソース・タイプの機密性、およびリソースに関連する問題の重大度を評価して、セキュリティ・スコアを補完します。これらは、「小規模だが安全でない」環境と「大規模だが全体的に安全な」環境を正しく評価するために使用されます。
Cloud Guardは、OCIのCIS Foundationsベンチマーク基準に準拠しています。また、GA後にコンプライアンス機能の追加を予定しています。
SIEMとCloud Guardは補完的なサービスです。Cloud Guardは、監査/ログ・データを取り込み、リソースの構成状態を監視して、OCIテナントのセキュリティ・ポスチャ評価およびセキュリティ監視を提供します。Cloud Guardでは、OOTB検出機能がデフォルトで提供され有効になっており、リソースの問題検出を支援します。SIEMベースのサービスは、リソースやアプリケーションからログデータを取り込み、フォレンジック調査やリスクの新しい指標やカスタムイベントの発見を可能にする検索/分析エンジンのサポートを提供します。Cloud Guardの自動修復機能(別名レスポンダー)は、Cloud Guardで設定・起動できますが、アクションはSIEMツールのルール構築の一部として定義する必要があります。
ほとんどのお客様は、既存のプロセス、手順、および担当者とクラウド・セキュリティ監視を統合することをご希望です。多くの情報セキュリティチームは、Cloud Guardの問題を内部のプロセスと結びつけるために、Cloud Guardの問題を内部のSIEMツールに統合します。これらの統合には、Cloud Guard APIや、OCIイベント、OCI通知、OCI関数などの既存のOCIインフラストラクチャ・サービスを使用できます。Cloud Guardは、例えばイベントをトリガーとして、メール、Slack、PagerDuty、およびカスタムOCI関数に問題を送信可能です。また、お客様は、Event to OCI Functionsを使用して、お客様のユースケースに基づいたカスタム統合やレスポンスを構築できます。
Oracle Cloud Guard Fusion Applications Detectorは、Oracle Cloud GuardをOCIのクラウド・セキュリティ・ポスチャ管理にとどまらず、Oracle Fusion Cloud Applicationsの監視も行い、セキュリティ・ポリシーの統合ビューをお客様に提供します。このサービスは、まずOracle Fusion Cloud Human Capital Management(HCM)およびOracle Fusion Cloud Enterprise Resource Planning(ERP)でご利用いただけます。このサービスは、アプリケーションにおける潜在的なセキュリティ違反を監視するために、事前設定およびカスタマイズされた設定、いわゆる「レシピ」を提供します。ディテクターは、重要なデータアクセスに影響を与えるユーザー権限に関連した機密性の高い設定変更(ロールとユーザーのデータ権限および機能権限の追加、削除、変更、および機密オブジェクトの変更など)に対応してアラートを発します。
Cloud Guard Fusion Applications Activity Detectorのレシピ(オラクルが管理)は、すぐに利用可能な(OOTB)テンプレートであり、変更はできません。お客様は独自のルールをコピーして編集できます。例えば、名前の修正、リスクレベルの変更、特定のユーザーをフィルタリングしてそのアクティビティを監視する、ルールを無効にする、などが可能です。
いいえ、Cloud GuardがポッドのAPIエンドポイントに到達できる限り、ポッドを監視することができます。
その答えは「はい」です。Cloud GuardがポッドのAPIエンドポイントに到達できる限り、ポッドを監視することができます。
お客様は、まずオプトインして、OCIテナンシ内でCloud Guard を有効にする必要があります。Cloud Guardを有効にすると、Cloud Guard内のターゲット登録フローが、お客様のポッドURLと、Fusion Application内で前もって作成されたサービスユーザーの認証情報を提供するよう要求します。ターゲットが作成され、Fusion Applicationのレシピが添付されると、自動的に監視がオンになり、Fusion Applicationのユーザー・アクティビティに問題がある場合はアラートが発せられます。
Cloud Guardの1つのFusion Applicationターゲットは、1つのFusion Applicationインスタンスと関連付けることができます。Fusion Applicationインスタンスは、お客様のFusion Applicationのプロビジョニングやデプロイの設定に応じて、Oracle Fusion Cloud HCMやERPなどの複数のFusion Applicationのピラーサービスをホストできます。Fusion Applicationターゲットは、Fusion Applicationのサービスレベルではなく、Fusion Applatioicのインスタンスレベルで設定されます。したがって、1つのFusion Applicationターゲットが複数のFusion Applicationインスタンスを監視することはできませんが、1つのFusion Applicationポッドで有効になっているOracle Fusion Cloud HCMとERP全体のイベントを検出できる、一つのFusion Applicationターゲットを持つことは可能です。
HCM向けのCloud Guard Detector、ロールやユーザーのデータ権限および機能権限の追加、削除、変更など、重要なデータアクセスに影響を与えるユーザー権限に関連した機密性の高い設定変更に対応してアラートを発する、OOTBレシピを提供する予定です。また、Cloud Guardは、氏名、住所、国籍、障害などの個人識別情報(PII)に関連する活動を監視および検出し、データの取り扱い、報告、または流出に関する潜在的な問題を示唆できるようになる予定です。まとめると、HCM向けのCloud Guard Detectorは、基本的にロール管理、ロール・プロビジョニング、PIIオブジェクト管理、およびアクセス管理をカバーしています。
Cloud Guardの既存のルールまたはテンプレートを使用して同様のポリシーを作成できます。
Cloud Guardは、SIEMとの直接的な統合を提供していません。お客様は、通知サービス、機能サービスなどのOCIイベントや機能を利用して、Cloud GuardとサードパーティーのSIEMを統合できます。
Cloud Guardにアクセスするには、有料のOCIテナンシが必要ですが、OCIサービスを利用する必要はありません。