Oracle Cloud Infrastructureドキュメント

セキュリティのベスト・プラクティス

Oracleでは、クラウド・セキュリティが最高優先度であるとみなされ、セキュリティ職責はOracleとユーザー間で共有されます。

Oracleとお客様の責任

Oracleは、クリティカル・パッチ・アップデートとセキュリティ・アラート修正、および関連するサード・パーティ修正を定期的に評価し、適用可能な変更管理プロセスに従って関連するパッチを適用します。セキュリティの脆弱性には、定期的にパッチが適用されます。

次の操作を実行する必要があります。

  • 脆弱性を追跡し、HeatWave DBシステムでセキュリティ・スキャンおよびセキュリティ評価を定期的に実行します。
  • クリティカル・パッチ・アップデート、セキュリティ・アラートおよび速報に関連する情報を読み、評価します。セキュリティ・アラートを参照してください。
  • クリティカルなソフトウェア・アップグレードと是正措置を適用します。
  • 対処されていない追加情報が必要な場合は、指定されたサポート・システム内でサービス・リクエストを送信してください。「サポート・リクエストの作成」を参照してください。

セキュリティ機能

Oracleには、転送中暗号化、データ・マスキング、削除プランなどの様々な機能があり、データを安全でセキュアに保ちます。

表3-1セキュリティ機能

機能 ベスト・プラクティス
データベースのアクセス制御とアカウント管理 MySQLのセキュリティ機能を使用して、アクセスを制御し、アカウントを管理します。アクセス制御とアカウント管理を参照してください。
OCI監査サービス OCI Auditサービスを使用して、テナンシ全体でサポートされているすべてのパブリック・アプリケーション・プログラミング・インタフェース(API)エンドポイントへのコールをログ・イベントとして自動的に記録します。ログ・イベントには、ソース、ターゲット、APIアクティビティが発生した時間などの詳細が含まれます。監査サービス・ログの表示および監査の概要を参照してください。
MySQL Enterprise Auditプラグイン MySQL Enterprise Auditプラグインを使用して、サーバーアクティビティの監査レコードを含むログファイルを生成します。ログの内容には、クライアントが接続および切断したとき、および接続中に実行されたアクション(アクセスされたデータベースやテーブルなど)が含まれます。各問合せの時間とサイズの統計を追加して、外れ値を検出できます。デフォルトでは、監査プラグインのログは無効になっており、すべてのユーザーに対してすべての監査可能なイベントのロギングを有効にするフィルタを定義する必要があります。デフォルトのMySQL権限およびMySQL Enterprise Audit Pluginを参照してください。
authentication_ociプラグイン MySQL authentication_ociプラグインを使用して、MySQLユーザーをIAMサービスで定義された既存のユーザーおよびグループにマップします。「authentication_ociプラグインを使用した認証」を参照してください。
connection-controlプラグイン デフォルトでは、HeatWaveサービスはconnection-controlプラグインをサポートし、MySQLユーザー・アカウントに対するブルート・フォース攻撃を遅らせる抑止力となります。プラグインおよびコンポーネントを参照してください。
転送中暗号化 保存データは常に暗号化されます。特定のユーザーに対して転送中暗号化を使用して、データを保護できます。データ・セキュリティを参照してください。
データ・マスク データ・マスキングを使用して、機密データを保護します。Data Maskingを参照してください。
削除プラン 削除プランを使用して、DBシステムを削除操作から保護します。拡張オプション: 削除プランを参照してください。
アイデンティティおよびアクセス管理 セキュリティ管理者として、ユーザーに最小権限を割り当てます。IAMポリシーを使用して、MySQLリソースへのアクセスおよび使用を制御します。IAMポリシーを参照してください。
セキュリティ証明書 セキュリティ証明書は、そのサブジェクトが証明書内の公開キーの所有者であることを確認するデジタル・ドキュメントです。HeatWaveサービスにセキュリティ証明書を定義させるか、独自の証明書をOracle Cloud Infrastructureに持ち込むことができます。拡張オプション: 接続を参照してください。
validate_passwordコンポーネント HeatWaveサービスでは、validate_passwordコンポーネントによって強力なパスワードが適用されます。アプリケーションがパスワード要件に準拠していることを確認してください。プラグインおよびコンポーネントを参照してください。
仮想クラウド・ネットワーク(VCN)
  • VCNのネットワーク・セキュリティ・グループまたはセキュリティ・リストを構成して、認可されるパブリックIPアドレスを単一のIPアドレスまたは狭い範囲のIPアドレスに制限します。仮想クラウド・ネットワークの作成を参照してください。
  • VCNのプライベート・サブネットを使用するようにMySQL DBシステムを構成します。外部ネットワークからMySQL DBシステムに接続するには、要塞セッションまたはVPN接続を使用します。インターネットでのみDBシステムに接続できる場合は、認可されるパブリックIPアドレスを単一のIPアドレスまたは狭い範囲のIPアドレスに制限し、転送中暗号化を使用します。Network Load Balancerを参照してください。