Oracle Cloud Infrastructureドキュメント

VMwareソリューションの保護

このトピックでは、VMwareソリューションのセキュリティ情報および推奨事項について説明します

Oracle Cloud VMwareソリューションを使用すると、Oracle Cloud InfrastructureでVMware対応のソフトウェア定義データ・センター(SDDC)を作成および管理できます。詳細は、VMwareソリューションの製品ドキュメントを参照してください。

セキュリティ職責

VMwareソリューションを安全に使用するには、セキュリティおよびコンプライアンスの責任について学習します。

通常、Oracleは、クラウド・オペレータ・アクセス制御やインフラストラクチャ・セキュリティ・パッチ適用などのクラウド・インフラストラクチャおよび操作のセキュリティを提供します。クラウド・リソースを安全に構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは、次のセキュリティ要件を担当します。

  • 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供するすべてのサービスを実行するグローバル・インフラストラクチャの保護に責任を持ちます。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。

このページには、次の領域を含むセキュリティ職責が記載されています。

  • アクセス制御: 権限をできるだけ制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
  • 機密性: VMware SDDCおよびESXiホストの機密情報へのアクセスを管理および制御します。
  • パッチ適用: vSphere、NSX- T、VSANおよびHCXソフトウェアを最新のセキュリティ・パッチで最新の状態に保ち、脆弱性を防ぎます。

初期セキュリティ・タスク

このチェックリストを使用して、新しいOracle Cloud Infrastructureテナンシで VMwareソリューションを保護するために実行するタスクを識別します。

タスク 詳細情報
IAMポリシーを使用して、ユーザーおよびリソースへのアクセス権を付与します IAMポリシー
リソースへのセキュアなネットワーク・アクセス ネットワーク・セキュリティ

定期的なセキュリティ・タスク

VMwareソリューションを開始した後は、このチェックリストを使用して、定期的に実行することを推奨するセキュリティ・タスクを識別します。

タスク 詳細情報
最新のセキュリティ・パッチの適用 パッチ適用
セキュリティ監査を実行します 監査

IAMポリシー

ポリシーを使用して、VMwareソリューションへのアクセスを制限します。

ポリシーは、Oracle Cloud Infrastructureリソースにアクセスできるユーザーとその方法を指定します。詳細は、ポリシーの仕組みを参照してください。

職責を実行するために必要な最小限の権限をグループに割り当てます。各ポリシーには、グループが実行できるアクションを記述する動詞があります。最も少ないアクセス量から使用可能な動詞は、inspectreaduseおよびmanageです。

最小限のIAMユーザーおよびグループにDELETE権限を付与することをお薦めします。この演習では、認可されたユーザーまたは悪意のあるアクターによる不注意な削除からのデータの損失を最小限に抑えます。

SDDCの作成

管理者グループにSDDCを作成させる。

Allow group SDDC_Admins to manage sddcs in tenancy

VMwareソリューション・ポリシーの詳細、およびその他の例については、Oracle Cloud VMware Solutionの詳細を参照してください。

ネットワーク・セキュリティ

VMwareソリューションでリソースへのネットワーク・アクセスを保護

セキュリティ・リストネットワーク・セキュリティ・グループまたは両方の組合せを使用して、VCN (仮想クラウド・ネットワーク)内のリソースに対するパケット・レベルのトラフィックを制御します。アクセスおよびセキュリティを参照してください。

VCNにサブネットを作成すると、デフォルトでサブネットはパブリックとみなされ、インターネット通信が許可されます。インターネット・アクセスを必要としないリソースをホストするには、プライベート・サブネットを使用します。プライベート・サブネットのリソースが他のクラウド・サービスにアクセスできるように、VCNでサービス・ゲートウェイを構成することもできます。接続の選択肢を参照してください。

Oracleでは、SDDCの作成ワークフローを使用して、SDDCリソースによって使用されるVCN内にVLANを作成することをお薦めします。ワークフローにより、ルート表およびセキュリティ・グループが自動的に作成され、各VLANへのアクセスを制御します。SDDCの作成後、ルート表およびセキュリティ・グループを確認して、目的のトラフィックのみがSDDCリソースにアクセスできることを確認します。

要塞サービスは、パブリック・エンドポイントがないターゲット・リソースへのアクセスを制限および時間制限します。要塞を使用すると、認可されたユーザーがSecure Shell (SSH)セッションを介してプライベート・エンドポイントのターゲット・リソースに接続できます。接続したユーザーは、SSHでサポートされている任意のソフトウェアまたはプロトコルを使用してターゲット・リソースとやり取りできます。要塞の管理を参照してください。

要塞を使用して、EXSiホストへのアクセスを制限します。

Web Application Firewall (WAF)を使用して、クロスサイト・スクリプト(XSS)、SQLインジェクション、およびその他のOWASP定義の脆弱性を含むインターネットの脅威に対する保護ルールを作成および管理します。必要なボットが入力を許可されている間は、不要なボットを減らすことができます。WAFは、Webアプリケーションへのトラフィックを経時的に監視し、構成する新しいルールを推奨します。エッジ・ポリシーの開始を参照してください。

監査

VMwareソリューションのアクセス・ログおよびその他のセキュリティ・データの特定

監査サービスは、Oracle Cloud Infrastructureリソースに対するすべてのAPIコールを自動的に記録します。監査サービスを使用してテナンシ内のすべてのユーザー・アクティビティをモニターすることで、セキュリティおよびコンプライアンスの目標を達成できます。コンソール、SDKおよびコマンドライン(CLI)のコールはすべてAPIを経由するため、これらのソースからのすべてのアクティビティが含まれます。監査レコードは、認証されたフィルタ可能な問合せAPIを介して使用可能であるか、オブジェクト・ストレージからバッチ・ファイルとして取得できます。監査ログの内容には、発生したアクティビティ、アクティビティを開始したユーザー、リクエストの日時、リクエストのソースIP、ユーザー・エージェントおよびHTTPヘッダーが含まれます。監査ログ・イベントの表示を参照してください。