Oracle CASB Cloud Serviceでセキュリティリスクを見てみよう_OCI登録編

id:s-oomoriです。
前回は、Oracle CASBにAWSを登録しましたが、今回はOCIを登録してみます。

下記のブログも参照ください。
cloudii.atomitech.jp


本記事の目次


前提

  • 前回のブログを参照し、Oracle CASBが開始まで進めておいてください。 ※Application登録前まで完了している

  • OCIユーザーとグループはフェデレーション(OracleIdentityCloudService)を使用していますが、フェデレーション利用されていない方は、OCIのユーザー/グループに読み替えてご利用ください。

※OracleCloudユーザ管理(フェデレーション等)についての参考サイト

qiita.com


【1】CASBモニター設定

CASBにOCIを登録するまえに、CASBモニター用のユーザー/グループ/ポリシー等を設定します。
※Cloudiiテナンシではフェデレーション(OracleIdentityCloudService)を使用しています。

1.OCIメニューの「アイデンティティ」−「フェデレーション」を選択します。
※フェデレーションを利用されていない方は「ユーザー」を選択して作成してください。
f:id:s-oomori:20190715132711p:plain

2.フェデレーション画面の「OracleIdentityCloudService」を選択します。
f:id:s-oomori:20190715132900p:plain

3.今回は、既に利用している私のアカウントを使うので作成しませんが、CASBモニター専用ユーザを別途用意する場合は「IDCSユーザーの作成」を選択しユーザーを作成してください。
f:id:s-oomori:20190715133238p:plain

4.OCIメニューの「アイデンティティ」−「ユーザー」を選択します。
f:id:s-oomori:20190715133534p:plain

5.先程作成したユーザー(OCI同期済みユーザー)を選択します。
※今回は自分のアカウントを使ってみます。「oracleidentitycloudservice/s.oomori@atomitech.jp」
※フェデレーションを利用されていない方はそのまま作成したOCIユーザー選択
f:id:s-oomori:20190715133837p:plain

6.APIキーの「公開キーの追加」を選択します。
f:id:s-oomori:20190715134748p:plain

7.公開キー入力画面が開いたら、一旦このままにしておきます。
f:id:s-oomori:20190715134811p:plain

8.CASB画面のメニューを開き、「Configuration」−「CASB Key-Pair Management」を選択します。
f:id:s-oomori:20190715140112p:plain

9.CASB Key-Pair Management画面で、User public keyをコピーします。
※keyが発行されていない場合は、「Create new keys」から発行してください。
f:id:s-oomori:20190715141118p:plain

10.先程の、公開キー入力画面に戻り、コピーしたkeyをペースとし、「追加」を選択します。
※APIキー一覧に追加されれば公開キーの追加作業は完了です。
f:id:s-oomori:20190715141145p:plain

11.次にポリシーを付与するためのCASBモニター用グループを作成します。OCIメニューの「アイデンティティ」−「グループ」を選択します。
f:id:s-oomori:20190715141621p:plain

12.「グループの作成」から「CASB-Users」グループを作成してください。
※Administratorsグループ等任意のグループでも結構です。
※フェデレーションを利用されていない方は、作成したグループにAPIキーを作成したユーザーを追加してください。
f:id:s-oomori:20190715141723p:plain

13.【フェデレーション利用の方のみ】
「アイデンティティ」−「フェデレーション」−「OracleIdentityCloudService」−「グループ」の「IDCSグループの作成」を選択し、「OCI_CASB-Users」というグループを作成します。
※APIキーを作成したユーザーを追加してください。
f:id:s-oomori:20190715143059p:plain

14.【フェデレーション利用の方のみ】
グループを作成したら、「グループ・マッピング」を選択し、「マッピングの編集」を選択します。
f:id:s-oomori:20190715143524p:plain

15.【フェデレーション利用の方のみ】
「+マッピングの追加」を選択し、「OCI_CASB-Users」と「CASB-Users」を選択しマッピングします。「送信」を選択します。
f:id:s-oomori:20190715143648p:plain
※グループがマッピングされます。
f:id:s-oomori:20190715143748p:plain

16.次にポリシーを設定します。CASBの「CASB Key-Pair Management」画面の「here」を選択します。
f:id:s-oomori:20190715144609p:plain

17.OCIで作成したCASB用グループを入力し、自動生成されたポリシーをコピーします。
f:id:s-oomori:20190715145322p:plain

18.OCIメニューの「アイデンティティ」−「ポリシー」を選択します。
f:id:s-oomori:20190715144204p:plain

17.「ポリシーの作成」を選択します。
f:id:s-oomori:20190715145447p:plain

18.ポリシーの作成画面で、名前/説明/先ほどコピーしたステートメントを入力し、「作成」を選択します。
f:id:s-oomori:20190715145851p:plain
※CASB用のポリシー(今回はテナンシの全てのリソース読み込み権限)が設定されます。
f:id:s-oomori:20190715150036p:plain


【2】Applications登録

OCIを登録していきます。
1.CASBメニューの「Applications」を選択し、「OCI」を選択し、「Next」を選択します。
f:id:s-oomori:20190715115833p:plain

2.「Type a unique name for your instance」に任意のインスタンス名を入力し、「Next」を選択します。
f:id:s-oomori:20190715120039p:plain

3.次にTenancy OCIDとUser OCIDを確認します。

4.OCIメニューの「管理」−「テナンシ詳細」を選択します。
f:id:s-oomori:20190715121223p:plain

5.テナンシ情報にあるOCIDの「コピー」を選択し控えます。
f:id:s-oomori:20190715121415p:plain

6.OCIメニューの「アイデンティティ」−「ユーザー」を選択します。
f:id:s-oomori:20190715121550p:plain

7.該当ユーザーにあるOCIDの「コピー」を選択し控えます。
※前の手順でAPIキーを作成したユーザーのOCID
f:id:s-oomori:20190715121714p:plain

8.CASB画面に戻り、「Tenancy」を選択し、先程控えた「Tenancy OCID」と「User OCID」を入力し、「Test Credentials」を選択し、「Successflly initiated direct connection」となることを確認し、「Submit」を選択します。
f:id:s-oomori:20190715131121p:plain

9.Successとなれば完了です。「Done」を選択します。
f:id:s-oomori:20190715131221p:plain

10.Applications画面にOCIが追加され、選択するとサマリーが確認できます。全て確認できるようになるまで2時間前後かかります。(私は1時間くらいで完了しました)
f:id:s-oomori:20190715131257p:plain
下図のように表示されれば取得完了です。
f:id:s-oomori:20190715131312p:plain


【3】アプリケーション確認

先程登録したOCIの中身を見ていきます。
1.先程登録したOCIを選択し、「View Details」を選択します。
f:id:s-oomori:20190715131427p:plain

2.RISK LEVEL等が一覧で表示されます。
f:id:s-oomori:20190715131445p:plain

  • OCIらしい内容とすれば、Compartmentのサマリーです。英語が苦手な方はサイト翻訳で日本語にしてみてください。 f:id:s-oomori:20190715131702p:plain


おしまいに

今回はOCIを登録してみました。前回のAWS登録と同じ料金(IaaS版)が課金されますので、こちらもご利用は計画的に!!


告知

日本オラクル社主催のクラウドイベントが8月6日(火)、7日(水)と二日間に渡って開催予定です。Cloudiiもスポンサー/登壇/展示ブースで参加しますので、是非ご参加ください。

cloudii.atomitech.jp