Oracle Cloud Infrastructureドキュメント

Java管理の保護

このトピックでは、Java Management Serviceのセキュリティ情報および推奨事項について説明します。

Java Management Service (JMS)は、顧客データ・センターで実行されているOracle Cloud Infrastructure (OCI)インスタンスおよびインスタンス上のJavaデプロイメントを監視します。これにより、エンタープライズ内でのJavaの使用を監視および管理できます。

セキュリティ権限

JMSを安全に使用するには、セキュリティおよびコンプライアンスの責任について学習します。

通常、Oracleは、クラウド・オペレータ・アクセス制御やインフラストラクチャ・セキュリティ・パッチ適用などのクラウド・インフラストラクチャおよび操作のセキュリティを提供します。クラウド・リソースを安全に構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは、次のセキュリティ要件を担当します。

  • 物理セキュリティ: Oracleは、Oracle Cloud Infrastructure内のすべてのサービスを実行するグローバル・インフラストラクチャの保護に責任を持ちます。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
  • データの暗号化: Oracleでは、JMSに格納されているすべてのデータに対して標準のOracle Cloud Infrastructure暗号化を使用します。追加の構成は必要ありません。

    JMSユーザーは暗号化キーを直接使用しません。内部的には、JMSは、Oracle Cloud Infrastructure Vaultを使用して暗号化キーを安全に格納する自律型データベースにデータを格納します。Oracleは、これらのリソースを管理および保護します。

  • データ耐久性: Oracleは、日次バックアップ用にJMSサービスを構成します。追加のバックアップ構成は必要ありません。

このページでは、セキュリティ権限について説明します。このページには、次の領域があります。

  • アクセス制御:権限をできるだけ制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
  • エージェント・セキュリティ:
    • 最小権限でインスタンスにエージェントをインストールします。rootとしてインストールしないでください。
    • インストール・キーを取得します。キーの有効期限およびインストール・インスタンス数を確認します。
    • エージェントが正常にインストールされたら、キーを削除します。
    • OCIへのエージェント接続のみを許可するようにポートまたはプロキシが正しく設定されていることを確認します。
    • 目的のディレクトリのみをスキャンし、必要な頻度でスキャンするようにエージェントを構成します。

初期セキュリティ・タスク

Use this checklist to identify the tasks you perform to secure JMS in a new Oracle Cloud Infrastructure tenancy.

JMSを初めて使用する場合は、Oracle Cloud Infrastructure for Java Management Serviceの設定を参照してください。

タスク 詳細情報
IAMポリシーを使用したユーザーおよびリソースへのアクセス権の付与 IAMポリシー

定期的なセキュリティ・タスク

JMSの使用を開始した後、このチェックリストを使用して、定期的に実行することをお薦めします。

タスク 詳細情報
エージェントを最新の状態に維持します パッチ適用中
セキュリティ監査の実行 監査

IAMポリシー

ポリシーを使用してJMSへのアクセスを制限します。

ポリシーは、誰がOracle Cloud Infrastructureリソースにアクセスできるか、およびその方法を指定します。詳細は、ポリシーの仕組みを参照してください。

グループに、その責任を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループが許可されるアクションを説明する動詞があります。最もアクセスの少ない量から、使用可能な動詞はinspectreaduseおよびmanageです。

グループによるコンパートメント内の車両の管理を許可

グループFLEET_MANAGERSがコンパートメントFleet_Compartmentのフリートを管理できるようにするポリシーを作成します。

ALLOW GROUP FLEET_MANAGERS TO MANAGE fleet IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agent-install-keys IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ METRICS IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE tag-namespaces IN TENANCY
動的グループのインスタンスがコンパートメント内のエージェントを管理することを許可する

動的グループJMS_DYNAMIC_GROUPがコンパートメントFleet_Compartmentの管理エージェント・サービスでエージェントをデプロイおよび使用できるようにするポリシーを作成します。

ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE tag-namespaces IN TENANCY
Allow service javamanagementservice to manage metrics IN COMPARTMENT Fleet_Compartment where target.metrics.namespace='java_management_service'

管理エージェントのデプロイの詳細は、「管理エージェントのデプロイの前提条件の実行」を参照してください。

JMSポリシーの詳細は、Java管理サービスの詳細を参照してください。

パッチ適用中

JMSリソースで最新のセキュリティ更新が実行されていることを確認します。

管理エージェントの自動アップグレード機能を無効にした場合は、エージェントおよびJMSプラグインの更新を手動でチェックする必要があります。管理エージェントのアップグレードを参照してください。

監査

JMSのアクセス・ログおよびその他のセキュリティ・データを検索します。

監査サービスは、Oracle Cloud Infrastructureリソースに対するすべてのAPIコールを自動的に記録します。監査サービスを使用してテナンシ内のすべてのユーザー・アクティビティをモニターすることで、セキュリティおよびコンプライアンスの目標を達成できます。コンソール、SDKおよびコマンドライン(CLI)のコールはすべてAPIを経由するため、これらのソースからのすべてのアクティビティが含まれます。監査レコードは、認証されたフィルタ可能な問合せAPIを介して使用可能であるか、オブジェクト・ストレージからバッチ・ファイルとして取得できます。監査ログの内容には、発生したアクティビティ、アクティビティを開始したユーザー、リクエストの日時、リクエストのソースIP、ユーザー・エージェントおよびHTTPヘッダーが含まれます。監査ログ・イベントの表示を参照してください。