Cloud Guardを使ってみた②

こんにちは。Oracle Cloud Infrastructure(OCI)特集 編集部です。

以前にCloud Guardを使用したブログを掲載しておりました。
しかしながら、実際にCloud Guardを運用してみると各種設定が必要である事が分かり、
今回は次の2つの設定について記載します。

①検知されたリソースを問題の対象外とする設定
②ルールをカスタマイズ可能なレシピの設定

※Cloud Guard を有効化する手順は以前のブログをご参照ください。
 Cloud Guardを使ってみた

①検知されたリソースを問題の対象外とする設定

以前のブログにて、検知された問題を「解決済み」として問題の表示が消えていましたが、
実際にリソース側の変更が無いと 問題が再度検知されます。
よって、恒久的に検知されないようにするには 対象のリソースを対象外とする設定が必要になります。

例として、今回は次の名前
 VCN has InternetGateway attached
 ※VCNにインターネットゲートウェイがアタッチされている
の問題にて対象となるリソース(VCN)の除外設定を行います。


まずは OCI webコンソールにて Cloud Guard の問題の画面を開きます。
「セキュリティ」→「クラウド・ガード」を選択します。


「VCN has InternetGateway attached」のリンクをクリックします。


除外するリソースのID (OCID)を確認するため、
「リソース名」のリンクをクリックします。


該当のリソースのOCIDをクリップボードにコピーします。
※後の手順で使用します。


Cloud Guardの画面から
「ターゲット」 → 該当の「ターゲット名」をクリックします。
※ここでは例としてコンパートメント「test3」に割り当てた「cgtest3」とします。


「ディテクタ・レシピ 」→ 「OCI Configuration Detector Recipe (Oracle管理)」
をクリックします。


該当のルールを探すのですが、今回の問題は
「VCN has InternetGateway attached」
のため、”vcn”でフィルタしてみます。※大文字・小文字の判別は無い模様
その後、該当のルールの右側の「︙」 → 「編集」を選択します。


条件グループ に除外するOCIDを入力します。
パラメータ:Vcn OCID ※ルールによって決まっています
演算子:Not In
リスト:カスタム・リスト
値:※先程の手順でクリップボードにコピーしたOCIDを入力します。

※複数のOCIDを除外する場合は「条件の追加」をクリックし、
 追加の除外設定を入力します。

最後に「保存」をクリックします。


条件が追加されていることを確認します。


「問題」の画面を見ると即座に問題は削除されず、しばらく残ります。
※このときは2時間程度でした
しばらくして自動的に定義が削除されます。


「解決済」でフィルタすると削除されたものを確認できます。


「問題の履歴」を見るとCloud Guard側で問題が自動解決されたことを確認できます。

 

②ルールをカスタマイズ可能なレシピの設定

Cloud Guardにおけるレシピは
「セキュリティに関する問題を検出し、警告するルールのセット」
のことです。

Cloud Guardの設定にあたり、レシピの設定のデフォルトは
「オラクル社側で準備されたレシピ」である
・OCI Configuration Detector Recipe (Oracle管理):リソース構成の問題を検出する
・OCI Activity Detector Recipe (Oracle管理):ユーザの操作の問題を検出する
を設定することになりますが、これらは後で設定を変更できない箇所があります。

そのため、柔軟な運用を行うには「オラクル社側で準備されたレシピ」のクローンを行い、
そのクローンで作成したレシピを設定するのがよさそうです。

今回は レシピのクローンを行い、
デフォルトで設定されていた「オラクル社側で準備されたレシピ」を
クローンしたレシピに設定し直してみます。

1.レシピのクローン

まずはOCI Webコンソールより
「セキュリティ」→「クラウド・ガード」を選択します。


「ディテクタ・レシピ」をクリックし、
画面右側の「クローン」をクリックします。


クローンの作成画面にて下記の通り設定します。

クローニング:OCI Configuration Detector Recipe (Oracle管理) ※オラクル社が定義した設定検出用のレシピ
名前:cgtest3_Configuration_Detector_Recipe ※任意の名前です。今回は左記のように設定します。
説明:cgtest3用の Configuration Detector Recipe ※任意の名前です。今回は左記のように設定します。
コンパートメントの割り当て:test3 ※今回はtest3コンパートメントのみとし、左記のように設定します。

上記を設定後、「クローン」をクリックします。


クローンで作成したレシピが表示されることを確認します。


再度「クローン」をクリックし、今度はアクティビティ(動作)の検出用レシピのクローンを作成します。

クローニング:OCI Activity Detector Recipe (Oracle管理) ※オラクル社が定義した動作検出用のレシピ
名前:cgtest3_Activity_Detector_Recipe ※任意の名前です。今回は左記のように設定します。
説明:cgtest3用の Activity Detector Recipe ※任意の名前です。今回は左記のように設定します。
コンパートメントの割り当て:test3 ※今回はtest3コンパートメントのみとし、左記のように設定します。

上記を設定後、「クローン」をクリックします。


クローンで作成したレシピが表示されることを確認します。


作成したレシピをクリックすると下記のような画面が表示されます。
※各ルールの右側の「︙」から「編集」をクリックし、
 ルールを無効にしたり、リスクのレベルを変更することが可能です。
 (オラクル社が定義したレシピでは これらが行えません)


 

2.デフォルトで割り当てられたレシピの解除

クラウド・ガードの画面にて「ターゲット」をクリックし、
クローンで作成したレシピを割り当てるターゲット名をクリックします。
※ここでは「test3」というコンパートメントに設定した「cgtest3」というターゲットを例としています。


「ディテクタ・レシピ」を選択し、
画面右側にて 「オラクル社側で準備されたレシピ」である
「OCI Configuration Detector Recipe (Oracle管理)」の右側の「︙」から「削除」をクリックします。


確認画面が表示されますので「削除」をクリックします。


「OCI Configuration Detector Recipe (Oracle管理)」レシピが消えました。


同様の手順で「OCI Activity Detector Recipe (Oracle管理)」も削除します。

3.クローンで作成したレシピの割り当て

続いて、クローンで作成したレシピを割り当てるにあたり、
「レシピの追加」をクリックします。


クローンで作成した2つのレシピ
・cgtest3_Configuration_Detector_Recipe
・cgtest3_Activity_Detector_Recipe
をそれぞれ選択し、「レシピの追加」をクリックします。


レシピが追加されていることを確認します。

 

4.条件を再設定

 デフォルトで「オラクル社側で準備されたレシピ」を設定後に
①の手順にて個別に条件設定をしていたのですが、
クローンで作成したレシピを割り当てると条件もクリアされるようで
問題が再度検知されました…。


そのため、再度条件設定を行います。
※手順は①と同様で、下記は設定後の画面です。


またしばらく待ち、該当の問題を見ると再度 自動解決が行われたことが分かります。



最後に

今回は Cloud Guard を運用するにあたっての設定を2つ書きましたが、
他にも色々とありますので 随時書いていきたいと思います。