Security ZonesのFAQ

FAQのトピック

一般的な質問

Oracle Cloud Infrastructure Oracle Security Zonesとは何ですか。

Security Zonesは、OCIクラウド・コンパートメントにセキュリティ・ポスチャを適用し、お客様のセキュリティ・ポスチャを弱める可能性のあるアクションを防ぎます。Security Zones・ポリシーをさまざまなクラウド・インフラストラクチャ・タイプ(ネットワーク、コンピュート、ストレージ、データベースなど)に適用すると、クラウド・リソースのセキュリティを維持し、セキュリティの構成ミスを防止できます。

Security Zonesは、監視と可視性を超えて、リソースベースのセキュリティ・ポリシーの積極的な適用まで、セキュリティ・ポスチャ管理の範囲を拡大します。ユーザーは、カスタム・Security Zones・ポリシー・セットを定義して、ニーズに適したポリシーを決定します。

セキュリティ・ゾーンのレシピとは何ですか。ポリシーとどのように異なりますか。

セキュリティ・ゾーン・レシピは、1つ以上のコンパートメントに適用できるテンプレートとして定義されたセキュリティ・ゾーン・ポリシーのコレクションです。セキュリティ・ゾーン・レシピは、クラウド・リソースに対する許容可能なアクションを制限するセキュリティ・ポリシー・セットを定義します。ポリシー・セットは、クラウド・リソースのセキュリティ状態に対処する1つ以上のセキュリティ・ポリシー・ステートメントで構成されます。

最大セキュリティ・ゾーンとは何ですか。

最大セキュリティ・ゾーンは、Oracleによって管理される事前定義済のレシピです。このレシピには、強力なセキュリティ対策のための構成を最大化するポリシーが含まれています。最大セキュリティ・ゾーン・レシピには幅広いセキュリティ・ポリシー・セットが含まれていますが、実際には、組織は特定のニーズを反映するように適用されるポリシーの範囲を調整します。

複数のセキュリティ・ゾーンを持つことはできますか。

その答えは「はい」です。作成できるセキュリティ・ゾーンの数は、テナンシのコンパートメント制限によってのみ制限されます。

セキュリティ保護のためにセキュリティ・ゾーンを使用する必要がありますか。

必ずしもそうではありませんが、セキュリティ・ポスチャが弱い構成の変更を防ぐためにSecurity Zonesを使用できます。

セキュリティ・ゾーン内のセキュリティ・ゾーン・ポリシーのサブセットのみが必要な場合はどうすればよいですか。

Custom Security Zonesでは、ゾーンに適用するSecurity Zonesポリシーを選択できます。また、既存のセキュリティ・ゾーンはいつでも削除または置換できます。

独自のポリシーを作成できますか。

顧客は独自のポリシーを作成できません。お客様は、Oracleが提供する幅広いポリシーのリストにアクセスできます。新しいポリシーは、時間の経過とともに追加されます。

セキュリティ・ゾーン内のリソースにはどのようにアクセスするのですか。

セキュリティ・ゾーン内のリソースは、セキュリティ・ゾーン外のリソースに相当するものと同じです。唯一の違いは、セキュリティ・ポリシーが設定および構成に適用されることです。これらのリソースには、通常のリソースと同じ方法、ツールおよび権限を使用してアクセスできます。

アイデンティティ・アクセス管理ポリシーまたはセキュリティ・ゾーン・ポリシーが優先されるのはどれですか。

セキュリティ・ゾーンは、アクセスを許可するアイデンティティ・アクセス管理ポリシーをオーバーライドします。たとえば、ユーザーにバケットを管理する権限がある場合でも、ポリシー・ステートメント「パブリック・バケットの拒否」が適用されると、セキュリティ・ゾーンでバケットをパブリックに設定することはできません。

リソースは異なるセキュリティ・ゾーンで相互にアクセスできますか。

セキュリティ・ゾーンは、そのリソースへのアクセス制限を直接管理しません。セキュリティ・ゾーン内のリソースは、そのようなアクセスがセキュリティ・ゾーン・ポリシーの設定と競合しないかぎり、以前の方法を使用して引き続きアクセスできます。

すべてが非常に保護されている場合、セキュリティ・ゾーンとの間でデータを取得するにはどうすればよいですか。

セキュリティ・ゾーンの境界を越えてデータを転送するには、セキュアな接続方法が必要です。セキュアな接続を作成する方法には、OCI Bastionを使用してコンソールから簡単に構成およびデプロイできる要塞サーバーの使用が含まれます。

Security ZonesとCloud Guardの違いとは

セキュリティ・ゾーンは、コンパートメントにセキュリティ・ポリシーを適用します。クラウド・ガードは、インフラストラクチャおよびアプリケーションのセキュリティ状態を監視します。Custom Security Zonesでは、Security Zonesが適用されたときにコンパートメントの自動セキュリティ・ポスチャ監視を提供するために、Cloud GuardおよびSecurity Zonesが統合されています。Security Zones内で検出された問題は、Security ZonesとCloud Guardの両方のコンソールUIに反映されます。

セキュリティ・ゾーンにAutonomous Databaseまたは他のOracleサービスを使用できますか。

はい。セキュリティ・ゾーンでは任意のタイプのリソースを作成できます。セキュリティ・ゾーンは、ゾーン内のリソース・タイプがコンパートメントに適用されるセキュリティ・ゾーン・ポリシーに関連付けられている場合にのみポリシーを適用します。

セキュリティ・ゾーンのコストを教えてください。

セキュリティ・ゾーンは無料のサービスですが、セキュリティ・ゾーン内のリソースには通常料金がかかります。

セキュリティ・ゾーンを削除するにはどうすればよいですか。

セキュリティ・ゾーンは、OCIコンソールまたはAPIを使用していつでも削除できます。

Security Zonesサービスはどのリージョンで使用できますか。

セキュリティ・ゾーンは、すべての商用リージョンで使用できます。

セキュリティ・ゾーン・ポリシーはどのタイプのデータベースに適用されますか。

セキュリティ・ゾーン・ポリシーは、Autonomous Database、ベア・メタル・データベース、VM DatabasesおよびExadataで適用されます。セキュリティ・ゾーン・ポリシーは、Exadata Cloud@Customerデータベースでは使用できません。