VMwareソリューションの保護
このトピックでは、VMwareソリューションのセキュリティ情報および推奨事項について説明します
Oracle Cloud VMwareソリューションを使用すると、Oracle Cloud InfrastructureでVMware対応のソフトウェア定義データ・センター(SDDC)を作成および管理できます。詳細は、VMwareソリューションの製品ドキュメントを参照してください。
セキュリティ職責
VMwareソリューションを安全に使用するには、セキュリティおよびコンプライアンスの責任について学習します。
Oracleは、次のセキュリティ要件を担当します。
- 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供するすべてのサービスを実行するグローバル・インフラストラクチャの保護に責任を持ちます。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
このページには、次の領域を含むセキュリティ職責が記載されています。
- アクセス制御: 権限をできるだけ制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
- 機密性: VMware SDDCおよびESXiホストの機密情報へのアクセスを管理および制御します。
- パッチ適用: vSphere、NSX- T、VSANおよびHCXソフトウェアを最新のセキュリティ・パッチで最新の状態に保ち、脆弱性を防ぎます。
初期セキュリティ・タスク
このチェックリストを使用して、新しいOracle Cloud Infrastructureテナンシで VMwareソリューションを保護するために実行するタスクを識別します。
タスク | 詳細情報 |
---|---|
IAMポリシーを使用して、ユーザーおよびリソースへのアクセス権を付与します | IAMポリシー |
リソースへのセキュアなネットワーク・アクセス | ネットワーク・セキュリティ |
定期的なセキュリティ・タスク
IAMポリシー
ポリシーを使用して、VMwareソリューションへのアクセスを制限します。
ポリシーは、Oracle Cloud Infrastructureリソースにアクセスできるユーザーとその方法を指定します。詳細は、ポリシーの仕組みを参照してください。
職責を実行するために必要な最小限の権限をグループに割り当てます。各ポリシーには、グループが実行できるアクションを記述する動詞があります。最も少ないアクセス量から使用可能な動詞は、inspect
、read
、use
およびmanage
です。
最小限のIAMユーザーおよびグループにDELETE
権限を付与することをお薦めします。この演習では、認可されたユーザーまたは悪意のあるアクターによる不注意な削除からのデータの損失を最小限に抑えます。
管理者グループにSDDCを作成させる。
Allow group SDDC_Admins to manage sddcs in tenancy
VMwareソリューション・ポリシーの詳細、およびその他の例については、Oracle Cloud VMware Solutionの詳細を参照してください。
ネットワーク・セキュリティ
VMwareソリューションでリソースへのネットワーク・アクセスを保護
セキュリティ・リスト、ネットワーク・セキュリティ・グループまたは両方の組合せを使用して、VCN (仮想クラウド・ネットワーク)内のリソースに対するパケット・レベルのトラフィックを制御します。アクセスおよびセキュリティを参照してください。
VCNにサブネットを作成すると、デフォルトでサブネットはパブリックとみなされ、インターネット通信が許可されます。インターネット・アクセスを必要としないリソースをホストするには、プライベート・サブネットを使用します。プライベート・サブネットのリソースが他のクラウド・サービスにアクセスできるように、VCNでサービス・ゲートウェイを構成することもできます。接続の選択肢を参照してください。
Oracleでは、SDDCの作成ワークフローを使用して、SDDCリソースによって使用されるVCN内にVLANを作成することをお薦めします。ワークフローにより、ルート表およびセキュリティ・グループが自動的に作成され、各VLANへのアクセスを制御します。SDDCの作成後、ルート表およびセキュリティ・グループを確認して、目的のトラフィックのみがSDDCリソースにアクセスできることを確認します。
要塞サービスは、パブリック・エンドポイントがないターゲット・リソースへのアクセスを制限および時間制限します。要塞を使用すると、認可されたユーザーがSecure Shell (SSH)セッションを介してプライベート・エンドポイントのターゲット・リソースに接続できます。接続したユーザーは、SSHでサポートされている任意のソフトウェアまたはプロトコルを使用してターゲット・リソースとやり取りできます。要塞の管理を参照してください。
要塞を使用して、EXSiホストへのアクセスを制限します。
Web Application Firewall (WAF)を使用して、クロスサイト・スクリプト(XSS)、SQLインジェクション、およびその他のOWASP定義の脆弱性を含むインターネットの脅威に対する保護ルールを作成および管理します。必要なボットが入力を許可されている間は、不要なボットを減らすことができます。WAFは、Webアプリケーションへのトラフィックを経時的に監視し、構成する新しいルールを推奨します。エッジ・ポリシーの開始を参照してください。
パッチ適用
VMwareソリューション・リソースで最新のセキュリティ更新が実行されていることを確認します。
vSphere、NSX- T、VSANおよびHCXソフトウェアのパッチについては、VMware Webサイトを頻繁に確認してください。詳細は、Customer ConnectでESXi、vCenterサーバー・パッチをダウンロードする方法を参照してください。
監査
VMwareソリューションのアクセス・ログおよびその他のセキュリティ・データの特定
監査サービスは、Oracle Cloud Infrastructureリソースに対するすべてのAPIコールを自動的に記録します。監査サービスを使用してテナンシ内のすべてのユーザー・アクティビティをモニターすることで、セキュリティおよびコンプライアンスの目標を達成できます。コンソール、SDKおよびコマンドライン(CLI)のコールはすべてAPIを経由するため、これらのソースからのすべてのアクティビティが含まれます。監査レコードは、認証されたフィルタ可能な問合せAPIを介して使用可能であるか、オブジェクト・ストレージからバッチ・ファイルとして取得できます。監査ログの内容には、発生したアクティビティ、アクティビティを開始したユーザー、リクエストの日時、リクエストのソースIP、ユーザー・エージェントおよびHTTPヘッダーが含まれます。監査ログ・イベントの表示を参照してください。