Oracle Cloud GuardでInstance Securityが使用可能に

※ 本記事は、Ugi Urnuntogtokhによる”Instance Security now available in Oracle Cloud Guard“を翻訳したものです。

Oracle Cloud Infrastructure(OCI)は最近、Oracle Cloud Guard Instance Securityを追加して、OCI Compute仮想マシン(VM)およびベア・メタル・ホスト内のワークロードにランタイム・セキュリティを提供します。Instance Securityは、クラウド・ワークロード保護をサポートすることでCloud Guardを強化し、セキュリティ体制を一元的に把握することでセキュリティ要件に対応するのに役立ちます。

Cloud Guard Instance Securityとは?

Instance Securityは、セキュリティ・アラート(Cloud Guardの問題)、脆弱性、オープン・ポートなど、コンピュート・インスタンスに関する重要なセキュリティ情報を収集および集計して、検出と防止のための実用的なガイダンスを提供します。お客様は、疑わしいプロセスを検出し、ポートを開き、ワークロードのスクリプトを実行する機能を必要としています。そのためには、オペレーティング・システム・レベルの可視性が必要です。Instance Securityは、Oracle管理の新しい即時利用可能な検出機能と、脅威ハンティングに使用できる顧客管理問合せを提供します。さらに、お客様は、独自のセキュリティ情報およびイベント管理(SIEM)またはクラウド・セキュリティ状況管理(CSPM)ツールをOCI Loggingに接続して、エージェントが収集したデータを取り込むことができます。

Oracle Cloudコンソールの新しい「Resource」詳細ビューを使用して、コンピュート・インスタンスに関連するすべての問題を1箇所で確認できます。このポータルでは、Cloud Guardの問題、オペレーティング・システム・レベルの脆弱性、および個々のインスタンスのオープン・ポートの問題を概観できます。

EBPFベースのセキュリティ・ソリューション

Instance Securityでは、Extended Berkeley Packet Filter (eBPF)テクノロジを使用して、カーネルでセキュリティ・イベントを検出します。eBPFを使用すると、カーネル・ソース・コードを変更せずにプログラムを実行できます。お客様は、即時利用可能な検出のためにデータを収集して、カーネル・コードを変更することなく、セキュリティの異常を検出し、オペレーティング・システムの深いインサイトを得ることができます。

MITRE準拠の新しいディテクタ・ルール

Oracle Cloud Guardには、不審なアクティビティがないかコンピュート・ホストを継続的に監視するインスタンス・セキュリティ・ディテクタ・レシピが含まれるようになりました。Oracleが管理し、MITREに準拠したすぐ利用できるディテクタ機能により、セキュリティ・アナリストの手作業で行わなければならない作業が削減され、既知の敵対者の活動を特定しやすくなります。このディテクタ・カタログは、お客様のニーズに合わせて継続的に拡張されています。Oracle Cloudコンソールのレシピ詳細ビュー:

検出と脅威ハンティングのためにホストでライブ・クエリを実行

お客様のセキュリティ・オペレーション・センター(SOC)チームは、コンピュート・インスタンスに対して独自のクエリを定期的または即時的に実行できます。これにより、フリートの状態を可視化できます。

バックグラウンドで、Instance SecurityはOsquery 5.5.1を使用します。このOsqueryでは、リレーショナル・データ・モデルを使用してインスタンスを記述します。Osqueryは、フリートの可視性とインサイトを得るのに役立つ、高性能なオープンソースのマルチプラットフォーム・ソフトウェアです。オペレーティング・システムに依存しないデータの収集と正規化を行い、インフラストラクチャ全体の可視性を向上させます。

Osqueryには、実行中のプロセスからロードされたカーネル拡張まで、インスタンスに関する情報を提供する、何百ものすぐに使用できる表があります。Instance Securityでは、ほとんどのオープン・ソースのosquery表およびカスタムビルドOCI表がサポートされます。Cloud Guard Instance Securityで問合せを実行します:

コンプライアンスと監査のニーズに合わせてホストに問合せをスケジュール

問合せを実行し、結果に満足したら、問合せを特定の頻度で実行するようにスケジュールできます。インスタンスを検査し、特定のセキュリティ制御を満たすという証拠を提供するためのコンプライアンス要件と監査要件がある場合は、スケジュールされた問合せを使用できます。Instance SecurityはOCI Loggingサービスと統合され、OCI LoggingからSIEMまたはサードパーティのデータ・アグリゲータに送信されるRAWデータを送信するように構成できます。

Cloud Guard Instance Securityはホストをどのように監視および保護しますか?

クラウドは引き続き、お客様にとって成長と変革の原動力となっています。組織をターゲットとする攻撃の数が増えるにつれて、ファイアウォールやウイルス対策ソフトウェアなどのセキュリティ防御では不十分である可能性があります。攻撃者がこれらの対策を回避した場合、疑わしい行動をほぼリアルタイムで検出することが重要になります。Instance Securityは、コンピュート・インスタンスをモニターし、疑わしいアクティビティを警告します。

Cloud Guard Instance Securityの有効化

テナンシ内のCloud Guard Instance Securityベースの検出の値を取得するには、クラウド・ガードを有効にし、OCI Instance Security Detector Recipe—エンタープライズ(Oracle管理)をターゲットに適用する必要があります。ターゲットには、監視するインスタンスのリストが含まれます。エンタープライズ・レシピでは、フルサービスの機能を体験し、Oracleですぐに使用可能な検出に基づいてアラートを取得し、カスタムおよびスケジュールされた問合せを使用してフリートを問い合せることができます。

開始するには、無料のレシピであるOCI Instance Security Detector Recipe (Oracle管理)を評価します。これにより、脆弱性とオープン・ポート・スキャンについて警告されるため、問合せの数に制限があります。サービスの詳細を取得し、テナンシでCloud Guard Instance Securityを有効にするには、ドキュメントの次のステップを参照してください。価格の詳細は、価格ドキュメントを参照してください。

今すぐ始めましょう! また、クラウド・リソースを保護するためのセキュリティ製品の発表やベスト・プラクティスについては、Oracle Cloud Infrastructureブログで確認してください。Cloud Guard Instance Securityのページの詳細を参照してください。