Oracle Cloud Infrastructure(OCI)Zero Trust Packet Routing(まもなく一般提供開始)では、ネットワーク・セキュリティ・ポリシーを基盤となるネットワークアーキテクチャとは別に管理することにより、データへの不正アクセスを防止します。セキュリティ管理者は、理解しやすい意図ベースのポリシー言語を使用し、データに対して特定のアクセス経路を定義できます。ポリシーで明示的に許可されていないトラフィックはネットワークを移動できないため、セキュリティが強化されるとともに、セキュリティ、ネットワーク、監査チームの作業が簡素化されます。
OCI Zero Trust Packet Routingを使用すると、組織はリソースにセキュリティ属性を設定し、アクセスされたリソースとデータ・サービスに基づいてネットワーク・トラフィックを制限する自然言語ポリシーを作成できます。この取り組みは、Applied Inventionやその他の組織とのZero Trust Packet Routing(ZPR)の新しいオープン・スタンダードを開発する2023年のイニシアチブに基づいています。ZPRを使用することにより、組織は最も一般的なセキュリティ侵害の原因の1つであるネットワークの誤設定を防止できます。OCIは、Zero Trust Packet Routingをプラットフォームに実装した最初のクラウド・プロバイダーです。
OCI ZPRは、許可されたユーザーであっても、データ抽出の潜在的なパスを制限することによって従来のデータ・セキュリティを改善し、攻撃対象領域を最小限に抑えます。
推測可能な認証情報を持つデータベースは、数分で侵害される可能性があります。1行のZPRポリシーのみで、データベースの漏えいを防止できます。
OCI ZPRは、データ・ソースに適用された明確なポリシーとセキュリティ・ラベルによる可視性を提供することにより、監査とコンプライアンスへの対応が容易になります。
OCI Zero Trust Pack Routing(OCI ZPR)は、データへのアクセスを保護するための簡単な管理方法を提供します。OCI ZPRは、ゼロトラストと最小権限の原則を活用して、ポリシーとセキュリティ属性に基づいてアクセスを制限します。これらのポリシーはネットワーク・レイヤーに適用されます。ZPRポリシーで許可されたソースから発信されていないリクエストは、データベースに到達できません。
OCI ZPRには、アイデンティティとセキュリティの下のOCIコンソール・メニュー・バーからアクセスできます。
OCI ZPRの概要ページには、OCI ZPRのセキュリティ属性の更新、OCI ZPRポリシーの記述、保護されたOCIリソースへのセキュリティ属性の適用に関するガイダンスとリンクがあります。
OCI ZPRセキュリティ属性の名前空間は、OCI ZPR 実装用のセキュリティ・モデルを作成します。これは、OCI ZPRポリシーがアクセスを許可または拒否するために使用するセキュリティ属性のセットを定義します。
新しいネームスペースを作成するには、「セキュリティ属性の名前空間作成」をクリックします。
OCI ZPRセキュリティ属性の名前空間内で、OCI ZPR ポリシーを記述するために使用するセキュリティ属性のセットを作成します。これらは、たとえば特定のアプリケーションに関連するコンピューティング・インスタンスやデータベースを識別するために使用する場合があります。
組込みのポリシー・エディタを使用して、OCI ZPRポリシーを作成および管理します。OCI ZPRポリシー・ウィザードを使用するか、一般的なシナリオに基づいてテンプレートを選択するかで、独自のポリシーを記述できます。
保護するOCIリソースに、作成したポリシーを適用します。OCI ZPRは、ポリシーに準拠しないトラフィックを拒否します。これにより、リクエストを承認済みパスに制限して、望ましくないデータ抽出を防止できます。
OCIのチーフ・テクニカル・アーキテクトのPradeep Vincentが、OCI Zero Trust Packet Routingアーキテクチャがデータ侵害からの保護にどのように役立つかを説明します。
「従来のセキュリティ・ツールは、アクセスをブロックすることによって機密データを保護しようとしますが、これまでの経緯から、ハッカーがネットワークに侵入しようとする可能性のあるすべての方法を予測することはほとんど不可能です。Zero Trust Packet Routingを使用すると、明示的なアクセス権がない場合は、ネットワークを介してデータを移動できません。Oracle Cloud Infrastructureを利用している組織では、これを活用してデータの保護を強化できます。オラクルでは、この新しいレベルのセキュリティを最初に提供した企業であり、他のクラウド・プラットフォームも追随することを期待しています」
Applied Invention、共同設立者、Danny Hillis氏
「パブリック・クラウドが登場したことにより、企業はネットワーク・セキュリティへの対処方法を再定義する機会を得ました。ただし、セキュリティとネットワーク構成を密接に連携させるという、同じ概念ほとんどが引き継がれました。非常に複雑なクラウド・ネットワークでは、たった1つのミスが漏えいにつながる場合があります。OCI Zero Trust Packet Routingを使用すると、組織はネットワーク構成をセキュリティから分離できるため、ネットワーク構成における人的エラーの影響を排除するのに役立ちます。オラクルが主導するこの新しい標準は、コンプライアンスの取り組みを簡素化し、セキュリティ・チームへの負担を軽減して、最終的にセキュリティを強化する組織に革新的なソリューションを提供するために、頻繁にチェック・ボックスの内容を覆します」
Philip Bues氏
IDC、クラウド・セキュリティ担当シニア・リサーチ・マネージャ