Oracle Cloud Infrastructureドキュメント

データベースの保護

セキュリティの推奨事項

この節では、Oracle Cloud Infrastructure Databaseインスタンスを管理するためのセキュリティ推奨事項を示します。 Oracleデータベースを安全に構成するための推奨事項は、Oracle Databaseセキュリティ・ガイドを参照してください。

データベース・アクセス制御

  • ユーザーはパスワードを使用してデータベースに対して認証を行います。 これらのパスワードは強くすることをお薦めします。 Oracleデータベースのパスワードの選択に関するガイドラインについては、「パスワードを保護するためのガイドライン」を参照してください。 さらに、Oracleデータベースには、データベースのパスワードの複雑さを検証するためのPL/SQLスクリプトが用意されています。 このスクリプトは$ORACLE_HOME/rdbms/admin/UTLPWDMG.SQLにあります。 UTLPWDMG.SQLスクリプトを実行してパスワードの複雑さを検証する方法については、「パスワードの複雑さの検証の実施」を参照してください。
  • データベース・パスワードに加えて、VCNセキュリティ・リストを使用して、データベース・インスタンスへのネットワーク・アクセス制御を実施することができます。 Oracle Cloud Infrastructure Databaseのカスタマ・データベースへの最低限のアクセス権を許可するように、VCNセキュリティ・リストを構成することをお薦めします。
  • パブリック・サブネット内に作成されるDBシステムは、アウトバウンド・トラフィックをインターネットに直接送信できます。 プライベート・サブネット内に作成されたDBシステムは、インターネット接続を持たず、インターネット・トラフィック(エグレスとイングレスの両方)がインスタンスに直接到達することはできません。 インターネット・ゲートウェイを使用してプライベート・サブネット内のDBシステムへのルートを定義しようとすると、ルートは無視されます。

    プライベート・サブネット上でDBシステムに対してOSのパッチ適用およびバックアップを実行するには、パッチ適用またはバックアップ・エンドポイントに接続するために、サービス・ゲートウェイまたはNATゲートウェイを使用できます。

    仮想クラウド・ネットワーク(VCN)では、セキュリティ・ルールをプライベート・サブネットとともに使用して、DBシステムへのアクセスを制限できます。 複数層デプロイメントでは、プライベート・サブネットおよびVCNセキュリティ・ルールを使用して、アプリケーション層からDBシステムへのアクセスを制限できます。

データ耐久性

  • Oracleでは、データベースの削除権限(DATABASE_DELETEDB_SYSTEM_DELETE)を最小限のIAMユーザーおよびグループに与えることをお薦めします。 これにより、権限のあるユーザーによる誤った削除や悪意のある削除によるデータの損失を最小限に抑えます。 DELETEパーミッションをテナンシとコンパートメント管理者にのみ与えます。
  • RMANを使用して、暗号化されたバックアップ・コピーがローカル・ストレージ(ブロック・ボリュームなど)またはOracle Cloud Infrastructure Object Storageに格納されるDatabaseデータベースの定期的なバックアップを実行できます。 RMANは、データベースの各バックアップを固有の暗号化キーで暗号化します。 透過モードでは、暗号化キーはOracle Walletに格納されます。 オブジェクト・ストレージへのRMANバックアップはインターネット・ゲートウェイ(IGW)を必要とし、VCNセキュリティ・リストはオブジェクト・ストレージへの安全なアクセスを許可するように構成する必要があります。 ベア・メタル・データベースをバックアップするためのVCNセキュリティ・リストの構成の詳細は、「Oracle Cloud Infrastructure Object Storageへのデータベースのバックアップ」を参照してください。 バックアップとExadata Databaseについては、「ExadataのバックアップDatabase」を参照してください。

データベース暗号化とキー管理

  • Oracle Cloud Infrastructureで作成されたすべてのデータベースは、透過的データ暗号化(TDE)を使用して暗号化されます。 暗号化されていないデータベースをオンプレミスからOracle Cloud InfrastructureにRMANを使用して移行する場合、移行されたデータベースは暗号化されません。 Oracleでは、このようなデータベースをクラウドに移行した後で暗号化することをお薦めします。

    移行中の停止時間を最小限にしてデータベースを暗号化する方法については、Oracle Maximum Availability Architectureホワイト・ペーパー「高速オフライン変換を使用したOracle Data Guardでの透過的データ暗号化への変換」を参照してください。

    仮想マシンDBシステムでは、ローカル・ストレージではなくOracle Cloud Infrastructureブロック・ストレージが使用されることに注意してください。 ブロック・ストレージはデフォルトで暗号化されます。

  • ユーザー作成の表領域は、デフォルトでOracle Cloud Infrastructure Databaseで暗号化されます。 これらのデータベースでは、別のアルゴリズムが指定されていないかぎり、ENCRYPT_NEW_TABLESPACESパラメータがCLOUD_ONLYに設定され、Database Cloud Service (DBCS)データベースで作成された表領域がAES128アルゴリズムで透過的に暗号化されます。
  • Database管理者は、新しく作成したデータベース・インスタンスにローカルのOracle Walletを作成し、TDE (Transparent Data Encryption)マスター・キーを初期化します。 次に、Oracle Walletが自動オープンに構成されます。 ただし、お客様はOracle Walletのパスワードを設定することができます。強力なパスワード(8文字以上、大文字1文字、小文字1文字、特殊記号1文字)を設定することをお薦めします。
  • 定期的にTDEマスター・キーをローテーションすることをお薦めします。 推奨回転期間は90日以内です。 ネイティブ・データベース・コマンド(たとえば、12cの管理キー管理)またはdbaascliを使用して、TDEマスター・キーをローテーションできます。 以前のバージョンのTDEマスター・キーはすべてOracle Walletで管理されています。
  • Oracle Key Vault (OKV)は、Oracle TDEのマスター・キーの管理に使用される主要な管理アプライアンスです。 OKVは、TDEマスター・キーへのアクセスを格納、回転、および監査できます。 Oracle Cloud InfrastructureにOKVをインストールして構成する方法については、「Oracle Key VaultとのOracle Cloud InfrastructureのOracle Database暗号化キーの管理」を参照してください。

データベース・パッチ適用

Oracleデータベースのセキュリティ・パッチ(Oracle Critical Patch Updates)を適用することは、既知のセキュリティ上の問題を軽減するために不可欠であり、Oracleはパッチを最新の状態に保つことを推奨しています。 パッチセットおよびパッチ・設定デート(PSU)は四半期ごとにリリースされます。 これらのパッチ・リリースには、セキュリティ修正および追加の高影響/低リスクのクリティカルなバグ修正が含まれます。

最新のセキュリティの問題と使用可能な修正方法については、「クリティカル・パッチ・アップデート、セキュリティ・アラート、掲示板」を参照してください。 アプリケーションが最新のパッチをサポートしておらず、古いパッチでDBシステムを使用する必要がある場合、使用している古いバージョンのOracle DatabaseエディションでDBシステムをプロビジョニングできます。 Oracle Databaseの重要なパッチ更新およびセキュリティ・アラートを確認する以外に、OracleはDBシステムにプロビジョニングされているオペレーティング・システムを分析してパッチを適用することをお薦めします。

Oracle Cloud Infrastructure Databaseインスタンスへのパッチの適用の詳細は、「DBシステムへのパッチ適用」および「Exadata DBシステムへのパッチ適用」を参照してください。

データベース・セキュリティ構成チェック

  • 「Oracle Databaseセキュリティ評価ツール」 (DBSAT)は、Oracle Cloud InfrastructureでOracleデータベースの自動セキュリティ構成チェックを提供します。 DBSATは、ユーザー特権分析、データベース認証コントロール、監査ポリシー、データベース・リスナー構成、OSファイルのアクセス許可、および格納されている機密データのセキュリティ・チェックを実行します。 Oracle Cloud Infrastructure DatabaseのOracleデータベース・イメージは、プロビジョニングの前にDBSATでスキャンされます。 プロビジョニング後、定期的にデータベースをDBSATでスキャンし、見つかった問題を修正することをお薦めします。 DBSATは、Oracleのお客様に無料で提供されます。

データベース・セキュリティ監査

Oracle Audit VaultおよびDatabaseファイアウォール(AVDF)は、データベース監査ログをモニターし、アラートを作成します。 Oracle Cloud InfrastructureにAVDFをインストールして構成する方法については、「Oracle Cloud InfrastructureにおけるOracle Audit Vaultおよびデータベース・ファイアウォールのデプロイ」を参照してください。

データベースのバックアップ

Oracleは、可能なかぎり、マネージド・バックアップ(Oracle Cloud Infrastructure ConsoleまたはAPIを使用して作成されたバックアップ)を使用することをお薦めします。 マネージド・バックアップを使用する場合、Oracleはオブジェクト・ストアのユーザーおよび資格証明を管理し、これらの資格証明を3日ごとにローテーションします。 Oracle Cloud Infrastructureは、オブジェクト・ストア内のすべてのマネージド・バックアップを暗号化します。 Oracleでは、データベースTransparent Encryption機能がデフォルトで使用され、バックアップの暗号化に使用されます。

マネージド・バックアップを使用していない場合、Oracleは定期的にオブジェクト・ストアのパスワードを変更することをお薦めします。

セキュリティ・ポリシーの例

データベース・インスタンスの削除を防止

次のポリシー例では、グループDBUsersは、データベースの削除およびアーティファクトを除くすべての管理アクションを実行できます。

Allow group DBUsers to manage db-systems in tenancy
 where request.permission!='DB_SYSTEM_DELETE' 
Allow group DBUsers to manage databases in tenancy
 where request.permission!='DATABASE_DELETE' 
Allow group DBUsers to manage db-homes in tenancy
 where request.permission!='DB_HOME_DELETE'