Oracle Cloud Infrastructureドキュメント

Compute Cloud@Customerの保護

Compute Cloud@Customerは、ミッションクリティカルなワークロードを実行し、自信を持ってデータを保存できる、効果的で管理しやすいセキュリティを提供します。

Compute Cloud@Customerは、フルマネージドのラックスケールのOCIリージョン・リソースであり、Oracleの第2世代のクラウド・サービスをオンプレミスで提供します。システムは Oracleによってインストールされ、ローカルプラクティスとは無関係にセキュリティーレベルを提供します。ただし、これには、システム管理者がセキュリティ・ベースラインとして提供される内容を正確に理解する必要もあります。その後、管理者はセキュリティ・プラクティスと構成を調整して、特定の状況に必要なレベルのセキュリティを実現できます。

ノート

Oracle Cloud Infrastructureセキュリティの包括的な情報は、Oracle Cloud Infrastructure: セキュリティを参照してください。

主なセキュリティ領域

Compute Cloud@Customerのセキュリティは、次の3つの分野で管理されます。

  • Compute Cloud@Customer Infrastructure:これは、Oracleが所有し、お客様の施設にインストールされている物理ラック・ハードウェアです。一部のセキュリティ関連タスクは、システムのインストール時にこの基本レベルで実行されます。

    このインフラストラクチャ・レイヤーには、インフラストラクチャを制御するためのソフトウェアも含まれています。このレイヤーへのアクセスは、認可されたOracle担当者のみに制限され、厳密に監視されます。認可されたOracle担当者がインフラストラクチャにアクセスできるタイミングを制御できます。

  • Compute Cloud@Customerインフラストラクチャベースのリソース:ワークロードが作成、構成およびホストされる場所、およびコンピュート・インスタンス、ネットワーク、ストレージなどのクラウド・リソースが管理される場所です。

    この領域のセキュリティは、リソース(ネットワーク、インスタンスおよびストレージ)をセキュアな方法で構成することで管理します。たとえば、VCNを保護するために、ネットワーク・セキュリティ・グループ(NSG)およびセキュリティ・リストを使用してネットワーク・アクセスを保護し、他のネットワーク・セキュリティ機能を使用できます。認証にユーザーSSHキーを使用するインスタンスをデプロイできます。ストレージ機能を使用すると、ブロック、ファイルおよびオブジェクト・ストレージを保護できます。

  • Oracle Cloud Infrastructure Identity and Access Management (IAM)サービス:ここでは、コンパートメントおよびポリシーを構成して、インフラストラクチャベースのリソースへのアクセス権を持つユーザーを制御します。

    IAMサービスは認証を処理します。ユーザー名およびパスワード、共有キーなどの機密情報によってユーザーを識別します。IAMは認可も処理します。ユーザーは、付与されたアクセス・レベルのリソースにのみアクセスできます。

    ノート

    Compute Cloud@Customerの場合、IAMリソースはテナンシ内のOCIで管理され、約10分ごとにCompute Cloud@Customerに同期されます。IAMリソースをCompute Cloud@Customerインフラストラクチャで管理することはできません。

    IAMの管理の詳細は、アイデンティティ・ドメインを使用するIAMを参照してください。

前述のセキュリティ領域を構成すると、次のセキュアな環境が有効になります。

  • ミッションクリティカルなワークロードの存続性: Compute Cloud@Customerは、内部ユーザーまたは外部パーティによって行われた偶発的および悪意のあるアクションによる損害を防止または最小限に抑えます。これは、コンポーネントのセキュリティ・テスト、プロトコルの脆弱性のチェック、およびセキュリティ違反中でもソフトウェアの継続性の検証によって実現されます。

  • オペレーティング環境保護のための徹底した防御: Compute Cloud@Customerでは、組織がワークロードおよびデータに見合致したセキュアなオペレーティング環境を作成できるように、複数の、独立した、相互に補強したセキュリティ制御が採用されています。システムのすべてのレベルは、一連のセキュリティ機能によって保護されます。

  • サービスおよびユーザーに対する最小権限アクセス: Compute Cloud@Customerでは、アプリケーション、サービスおよびユーザーが自分のタスクを実行するために必要な機能にアクセスできるようにするセキュリティ・ポリシーの使用が促進されます。ただし、不要な機能、サービスおよびインタフェースへのアクセスが制限されていることを確認することも同様に重要です。ユーザーと管理者は、特定の関心分野に限定されます。

  • イベントおよびアクションの説明責任: Compute Cloud@Customerは、リソースの説明に役立つ各レイヤーおよびコントロールの詳細な監査証跡を提供します。これにより、管理者は、インシデントの発生時(サービス拒否攻撃など)または発生後に(監査ログからリソースの変更に至るまでのトレーサビリティを介して)インシデントを検出してレポートできます。

  • 会計:管理者は、ハードウェアおよびクラウド・リソースの在庫を追跡できます。Oracle Cloudコンソールから、管理者はCompute Cloud@Customerラックのシリアル番号を取得できます。