※ 本記事は、Dipesh Rathod, Bhanu Prakash Lohumiによる”Auto rotation of OCI Identity and Access Management credentials“を翻訳したものです。

2024年4月2日

Oracle Cloud Guardは、Oracle Cloud Infrastructure (OCI)テナンシのセキュリティ状態を監視し、問題を修正するためのイベントをトリガーするクラウド・ネイティブ・サービスです。実行する特定のアクションとしてデフォルト・ルールを持つ応答者のセットを提供します。APIキー、顧客秘密キー、認証トークンなどのIdentity and Access Management (IAM)資格証明をローテートするための応答者は、ネイティブでは提供されません。

この投稿では、Cloud GuardイベントからOCI IAM資格証明の自動ローテーションを有効にする方法について説明します。

ユース・ケース

IAM資格証明を90日ごとにローテーションすることをお薦めします。IAM資格証明をローテーションすると、侵害されたアカウントまたは終了したアカウントに関連付けられたアクセス・キーの機会が減少します。

このソリューションには、次のCloud Guardの問題が適用されます:

  • APIキーが古すぎます。
  • IAM認証トークンが古すぎます。
  • IAM顧客秘密キーが古すぎます。
  • パスワードが古すぎます。

ソリューションの概要

このソリューションは、サーバーレス・コンピュート・サービスであるOCI Functionsを使用して、OCIイベントからJSONデータを読み取り、IAM資格証明をローテーションし、新しい資格証明をOCI Vaultシークレットに格納します。

A graphic depicting the process flow of solution

図1.IAM資格証明の自動ローテーションのフロー図

図1は、クラウド・ネイティブで高レベルのプロセス・フローを示しています。セキュリティ操作(SecOps)チームは、自動化をトリガーするコメントを使用して問題をレビューおよび解決します。

問題を解決済としてマークすると、実際に問題であったが、それを処理したアクションを実行したことがCloud Guardに通知されます。この同じ問題の別の例が発生した場合は、再度検出されます。

A graphic depicting the deployment architecture of solution

図2.ソリューション・アーキテクチャ

図2は、OCIリージョンでのソリューションのデプロイメントを示しています。

  1. SecOpsチームは、Cloud Guardで問題をレビューし、変更制御プロセスに従って修正を開始します。
  2. イベントは、SecOpsチームがコメントの問題を解決するとすぐにトリガーされます。
  3. ファンクションが呼び出され、問題情報が検証されます。
  4. OCI Functionsは、資格証明をローテーションするための情報を処理します。
  5. 新しい資格証明は、OCI Vaultシークレットに格納されます。
  6. SecOpsチームに通知されます。

OCI Cloud GuardイベントからのIAM資格証明の自動ローテーションに関する詳細なステップは、学習ページのチュートリアルを参照してください。

このソリューションのOCIサービスについて

OCI Functionsは、フルマネージド型のマルチテナントで、スケーラビリティに優れたオンデマンドのFunctions-as-a-Serviceプラットフォームです。Oracle Functionsについてさらに学習するには、OCI Functionsのドキュメントを参照してください。OCI Eventsサービスは、リソースの変更を示す構造化メッセージを生成します。これは、Cloud Native Computing Foundation (CNCF)によってホストされるクラウド・イベント業界標準形式に従います。OCIイベントについてさらに学習するには、OCI Eventsのドキュメントを参照してください。

Cloud Guardは、構成に関連するセキュリティの弱点についてOCIリソースを調べ、オペレータおよびユーザーがリスクのあるアクティビティについて調べます。Cloud Guardのドキュメントを参照してください。OCI Notificationsは、パブリッシュ/サブスクライブ・パターンを介して分散コンポーネントにメッセージをブロードキャストし、OCIおよび外部でホストされているアプリケーションに、セキュアで信頼性が高く、低レイテンシで耐久性のあるメッセージを提供します。

まとめ

この投稿では、Cloud Guardの問題からOCI IAM資格証明を自動ローテーションして、資格証明が危険にさらされるリスクを最小限に抑える強力な方法を実証しました。

Cloud Guardの詳細は、ブログ記事「Oracleがクラウドでの強力なセキュリティ・ポスチャの維持にどのように役立つか」および「Oracle Cloud Guardによる弱いクラウド・セキュリティ・ポスチャの検出と修正」をご覧ください。

また、シークレットのローテーションの管理に役立つ、OCI Secret Managementの自動シークレット・ローテーション機能も参照してください。自動シークレット・ローテーションでは、接続されているAutonomous DatabaseおよびOracle Cloud Infrastructure Functionsのシークレットの自動ローテーションを有効にします。