2020年9月25日 / 最終更新日時 : 2021年2月2日 テクバンOracle Cloud Infrastructure(OCI) 担当 Oracle Cloud Infrastructure(OCI)

Cloud Guardを使ってみた

こんにちは。Oracle Cloud Infrastructure(OCI)特集 編集部です。

昨今、業務が立て込んでおりまして久々の更新となります…。
Oracle Cloud も色々なサービスがリリースされ続けていますので
それらを検証・紹介していこうと思います。

さて、9/15 にOCIで「Cloud Guard」というサービスがリリースされました。

プレスリリース
https://www.oracle.com/jp/corporate/pressrelease/jp20200915.html

この Cloud Guard は
OCI上の構成・操作を監視し、セキュリティ上の問題を検出・通知・修正を行うことが可能
無償で利用可能
とのこと。

無償ですし、早速この「Cloud Guard」を検証してみたいと思います。

日本語の紹介ブログ
https://blogs.oracle.com/sec/automating-cloud-security-with-security-posture-management-jp

マニュアル
https://docs.cloud.oracle.com/en-us/iaas/cloud-guard/using/index.htm
※日本語版はまだ無さそうです。

■手順

まずは Cloud Guard の有効化を行います。

OCI Webコンソールの画面から下記のように
「セキュリティ」→「クラウド・ガード」を選択します。

 

「クラウド・ガードの有効化」をクリックします。

 


まずはCloud Guardが各リソースをアクセスするためのポリシー設定が必要とのこと。
「ポリシーの作成」をクリックします。

 

ポリシーが正常に追加されたようです。
「次」をクリックします。

 

Cloud Guardが監視するコンパートメントなどを選択します。

レポート・リージョン 「テナントに対して生成された問題を含むすべてのデータをクラウド・ガードがホストするOracle Cloud Infrastructureリージョン」とのことで、Tokyoリージョンを選択します。
モニターするコンパートメント 監視するコンパートメントとのことで、今回は検証用に作成した「blog」というコンパートメントを選択しています。
構成ディテクタ・レシピ 「リソース構成の誤りを検出し、警告するルールのセット」とのことで、1つデフォルトで存在しているものを選択します。
アクティビティ・ディテクタ・レシピ 「ユーザー・アクティビティ・ベースの問題を検出し、警告するルールのセット」とのことで、こちらも1つデフォルトで存在しているものを選択します。

 

最後に「有効化」を選択します。

 

設定が行えたようです。
「クラウド・ガードに移動」をクリックします。

 

最初は「ガイドツアー」が表示されます。

※ガイドツアーは後で「設定」からも確認できるようです。


■確認

今回、監視対象とした構成は次の通りです。
パブリックサブネットが1つと仮想サーバが1つあり、
インターネットゲートウェイを経由してインターネットに繋がる
いたってシンプルな構成です。
余談ですが、Cloud Guardのアイコンは既に存在するんですね…。
上記の設定をしてから 20分ぐらい待つと下記のように表示されました。
セキュリティ・リスクのスコアが低いですね…55点。

 

画面左側のメニューの「問題」をクリックすると
右側に検出された問題点が表示されるようです。
リスクレベルが「高」になっている項目をクリックしてみます。

 

インスタンスがパブリックIPを持っているということで検出されたようです。
※表記が英語ですが、chromeの翻訳でも日本語になりません・・・。
 別途google翻訳で 確認したりしています。

ただ、「インスタンスは公開サーバなのでパブリックIPを外せない…」ということにして、
「解決済としてマーク」をクリックします。
※この方法は一時的な解決であり、数時間後に問題が再検知されます。
 恒久的に解決する手順は次のブログをご参照ください。
 Cloud Guardを使ってみた②

 

「公開サーバのため」とコメントを入力して
「解決済としてマーク」をクリックします。

 

「問題」をみると先程のリスクレベル「高」が消えています。

 

数分経過してして、左側の「概要」を見ると
セキュリティスコアが上がっていました、84点です。


■検証

ちょっと試しに オブジェクトストレージのバケットを作成し、
パブリックで公開する設定にしてみます。
(セキュリティ的に好ましくない設定を あえて設定してみます。)

 

しばらくして「問題」のところを見ると
リスク・レベルが「クリティカル」で検出されました…。

 

スコアもかなり低くなり、評価は「不可」になりました…25点です。

 

さすがにこれは良くないな…ということで
オブジェクトストレージを パブリック→プライベートに変更します。

 

しばらくして問題から項目が消えて
概要のセキュリティ・スコアの点数も上がりました。

 

ちなみに 解決した項目は 問題の箇所にて
ステータスを「解決済」にすると確認できるようです。


■最後に

Cloud Guard はとても簡単に設定できて、
OCIの設定等のセキュリティ的な問題を検出してもらえました。

今回は検出のみでしたが、問題があったときの通知や対応も
自動化できるみたいですので 次回以降にて掲載しようと思います。

 

カテゴリー
Oracle Cloud Infrastructure(OCI)
Oracle Cloud Infrastructure(OCI)

前の記事

OCIとAzureの相互接続を試してみた
2020年5月16日
Oracle Cloud Infrastructure(OCI)

次の記事

OCIjp#10 参加レポート
2020年10月6日