Security Zonesは、OCIクラウド・コンパートメントにセキュリティ・ポスチャを適用し、お客様のセキュリティ・ポスチャを弱める可能性のあるアクションを防ぎます。Security Zones・ポリシーをさまざまなクラウド・インフラストラクチャ・タイプ(ネットワーク、コンピュート、ストレージ、データベースなど)に適用すると、クラウド・リソースのセキュリティを維持し、セキュリティの構成ミスを防止できます。
Security Zonesは、監視と可視性を超えて、リソースベースのセキュリティ・ポリシーの積極的な適用まで、セキュリティ・ポスチャ管理の範囲を拡大します。ユーザーは、カスタム・Security Zones・ポリシー・セットを定義して、ニーズに適したポリシーを決定します。
セキュリティ・ゾーン・レシピは、1つ以上のコンパートメントに適用できるテンプレートとして定義されたセキュリティ・ゾーン・ポリシーのコレクションです。セキュリティ・ゾーン・レシピは、クラウド・リソースに対する許容可能なアクションを制限するセキュリティ・ポリシー・セットを定義します。ポリシー・セットは、クラウド・リソースのセキュリティ状態に対処する1つ以上のセキュリティ・ポリシー・ステートメントで構成されます。
最大セキュリティ・ゾーンは、Oracleによって管理される事前定義済のレシピです。このレシピには、強力なセキュリティ対策のための構成を最大化するポリシーが含まれています。最大セキュリティ・ゾーン・レシピには幅広いセキュリティ・ポリシー・セットが含まれていますが、実際には、組織は特定のニーズを反映するように適用されるポリシーの範囲を調整します。
その答えは「はい」です。作成できるセキュリティ・ゾーンの数は、テナンシのコンパートメント制限によってのみ制限されます。
必ずしもそうではありませんが、セキュリティ・ポスチャが弱い構成の変更を防ぐためにSecurity Zonesを使用できます。
Custom Security Zonesでは、ゾーンに適用するSecurity Zonesポリシーを選択できます。また、既存のセキュリティ・ゾーンはいつでも削除または置換できます。
顧客は独自のポリシーを作成できません。お客様は、Oracleが提供する幅広いポリシーのリストにアクセスできます。新しいポリシーは、時間の経過とともに追加されます。
セキュリティ・ゾーン内のリソースは、セキュリティ・ゾーン外のリソースに相当するものと同じです。唯一の違いは、セキュリティ・ポリシーが設定および構成に適用されることです。これらのリソースには、通常のリソースと同じ方法、ツールおよび権限を使用してアクセスできます。
セキュリティ・ゾーンは、アクセスを許可するアイデンティティ・アクセス管理ポリシーをオーバーライドします。たとえば、ユーザーにバケットを管理する権限がある場合でも、ポリシー・ステートメント「パブリック・バケットの拒否」が適用されると、セキュリティ・ゾーンでバケットをパブリックに設定することはできません。
セキュリティ・ゾーンは、そのリソースへのアクセス制限を直接管理しません。セキュリティ・ゾーン内のリソースは、そのようなアクセスがセキュリティ・ゾーン・ポリシーの設定と競合しないかぎり、以前の方法を使用して引き続きアクセスできます。
セキュリティ・ゾーンの境界を越えてデータを転送するには、セキュアな接続方法が必要です。セキュアな接続を作成する方法には、OCI Bastionを使用してコンソールから簡単に構成およびデプロイできる要塞サーバーの使用が含まれます。
セキュリティ・ゾーンは、コンパートメントにセキュリティ・ポリシーを適用します。クラウド・ガードは、インフラストラクチャおよびアプリケーションのセキュリティ状態を監視します。Custom Security Zonesでは、Security Zonesが適用されたときにコンパートメントの自動セキュリティ・ポスチャ監視を提供するために、Cloud GuardおよびSecurity Zonesが統合されています。Security Zones内で検出された問題は、Security ZonesとCloud Guardの両方のコンソールUIに反映されます。
はい。セキュリティ・ゾーンでは任意のタイプのリソースを作成できます。セキュリティ・ゾーンは、ゾーン内のリソース・タイプがコンパートメントに適用されるセキュリティ・ゾーン・ポリシーに関連付けられている場合にのみポリシーを適用します。
セキュリティ・ゾーンは無料のサービスですが、セキュリティ・ゾーン内のリソースには通常料金がかかります。
セキュリティ・ゾーンは、OCIコンソールまたはAPIを使用していつでも削除できます。
セキュリティ・ゾーンは、すべての商用リージョンで使用できます。
セキュリティ・ゾーン・ポリシーは、Autonomous Database、ベア・メタル・データベース、VM DatabasesおよびExadataで適用されます。セキュリティ・ゾーン・ポリシーは、Exadata Cloud@Customerデータベースでは使用できません。