Oracle Cloud Infrastructureドキュメント

OCI GoldenGateの保護

Oracle Cloud Infrastructure GoldenGateは、業界をリードするセキュリティのベスト・プラクティスに従って、セキュアで使いやすいデータ・レプリケーション・ソリューションを提供します。

責任

OCI GoldenGateをセキュアに使用するために、セキュリティおよびコンプライアンスの責任について学習します。

通常、Oracleはクラウド・インフラストラクチャおよび操作のセキュリティ(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティ・パッチ適用など)を提供します。クラウド・リソースをセキュアに構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは、次のセキュリティ要件に対して責任を負います:

  • 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
  • 暗号化および機密保護: 暗号化キーおよびシークレットは、データを保護し、保護されたリソースに接続するためにウォレットおよびボールトに格納されます。
  • ネットワーク・トラフィック: OCI GoldenGateデプロイメント・コンソールへの暗号化アクセスは、ポート443でのみSSLを介して有効になります。デフォルトでは、OCI GoldenGateデプロイメント・コンソールへのアクセスは、顧客のプライベート・ネットワークのOCIプライベート・エンドポイントからのみ使用できます。パブリック・エンドポイントは、ポート443でSSLを介したGoldenGateデプロイメント・コンソールへの暗号化されたパブリック・アクセスを許可するように構成できます。

ユーザーのセキュリティの責任には、次が含まれます:

  • アクセス制御: 権限を可能なかぎり制限します。ユーザーには、作業を実行するために必要なアクセス権のみを付与する必要があります。
  • OCI GoldenGateデプロイメント・コンソールのアカウント管理: OCI GoldenGateデプロイメント・コンソールへのアクセスは、Oracle Cloudコンソール内で直接管理されます。アカウントおよび権限は、OCI GoldenGateデプロイメント・コンソールで直接管理されます。デプロイメント・ユーザーについてさらに学習します
  • ネットワーク・トラフィック: 接続では、ソースおよびターゲットへのネットワーク接続を指定します。接続を作成するときに、接続がセキュアで暗号化されるようにSSLパラメータを構成できます。接続についてさらに学習します
  • ネットワーク暗号化: デフォルトでは、OCI GoldenGateへのすべてのネットワーク接続は、Oracle提供の証明書を使用してSSLを介して暗号化されます。指定した証明書または暗号化キーが最新であり、有効であることを確認してください。
  • セキュリティ・イベントの監査: OCI GoldenGateデプロイメント・コンソールは、セキュリティ・イベントをログに記録します。このログは、OCI GoldenGateデプロイメント・バックアップからアクセスして確認できます。このログを定期的にモニターしてください。デプロイメント・バックアップについてさらに学習します
  • パッチ適用: OCI GoldenGateデプロイメントが最新であることを確認します。更新は毎月リリースされますが、脆弱性を防ぐため、できるだけ早く最新のデプロイメント・パッチ・レベルにアップグレードする必要があります。デプロイメントのパッチ適用についてさらに学習します
  • ロード・バランサまたは要塞を介したリモート・アクセスの監査: OCI GoldenGateに直接向かっていないリモート・アクセスの監査が適切に有効化および構成されていることを確認します。さらに学ぶ

推奨事項

  • セキュリティ以外のロールを持つ追加のOCI GoldenGateデプロイメント・コンソール・ユーザーを作成します。
  • IAMユーザーおよびグループの最小限必要な権限アクセスを、goldengate-familyのリソース・タイプに割り当てます。
  • 権限のないユーザーまたは悪意のある削除による不適切な削除に基づくデータ損失を最小限に抑えるために、Oracleでは、IAMユーザーおよびグループの最小限可能なセットにGOLDENGATE_DEPLOYMENT_DELETEおよびGOLDENGATE_CONNECTION_DELETE権限を付与することをお薦めします。これらの権限は、テナンシ管理者およびコンパートメント管理者にのみ付与してください。
  • OCI GoldenGateでは、接続からデータを取得するためにUSEレベルのアクセスのみが必要です。

デプロイメントの削除の防止

このポリシーを作成すると、グループggs-usersは、デプロイメントに対して削除を除くすべてのアクションを実行できます: 

Allow group ggs-users to manage goldengate-family in tenancy where request.permission!='GOLDENGATE_DEPLOYMENT_DELETE'

ポリシーの作成の詳細は、Oracle Cloud Infrastructure GoldenGateポリシーを参照してください。