専用Exadataインフラストラクチャ上のAutonomous AI Database内のアクセス制御

専用ExadataインフラストラクチャでAutonomous AI Databaseを構成する際は、クラウド・ユーザーのアクセス権を、各自 の職務を遂行をするために適切な種類のクラウド・リソースのみを使用および作成できるようにする必要があります。また、認可された担当者およびアプリケーションのみが、専用インフラストラクチャ上に作成されたAutonomous AIデータベースにアクセスできるようにする必要があります。そうしない場合、専用インフラストラクチャ・リソースのランナウェイ消費、またはミッションクリティカルなデータに適切にアクセスできなくなる可能性があります。

専用インフラストラクチャ機能を提供するクラウド・リソースの作成および使用を開始する前に、アクセス制御計画を策定し、適切なIAM (Identity and Access Management)およびネットワーク・リソースを作成して、それを構成する必要があります。したがって、Autonomous AI Database内のアクセス制御は、次の様々なレベルで実装されます。

• Oracle Cloudのユーザー・アクセス制御
• クライアント・アクセス制御
• データベース・ユーザーのアクセス制御

Oracle Cloudのユーザー・アクセス制御

テナンシ内のOracle Cloudユーザーが、専用Exadataインフラストラクチャ上のAutonomous AI Databaseのデプロイメントを構成するクラウド・リソースにどのようなアクセス権を持ちますかを制御します。

Identity and Access Management (IAM)サービスを使用して、クラウド・ユーザーのアクセス権を、各自 の職務を遂行をするために適切な種類のAutonomous AI Databaseリソースのみを作成および使用できるように設定します。クラウド・ユーザーのアクセス制御を設定するには、特定のコンパートメント内の特定の種類のリソースへの特定のアクセス権を特定のユーザー・グループに付与するポリシーを定義します。

IAMサービスには、セキュアなクラウド・ユーザー・アクセス戦略の定義および実装に役立つ複数の種類のコンポーネントが用意されています:

• コンパートメント: 関連するリソースの集合。コンパートメントは、クラウド・リソースを編成および分離するためのOracle Cloud Infrastructureの基本コンポーネントです。

• グループ: 特定のリソースまたはコンパートメントのセットに対して同じアクセス・タイプを必要とするユーザーの集合。

• 動的グループ: 定義したルールに一致するリソースを含む、特別なタイプのグループ。したがって、一致するリソースが作成または削除されると、メンバーシップが動的に変わる可能性があります。

• ポリシー: 誰がどのリソースにどのようにアクセスできるのかを指定する文のグループ。アクセス権はグループ・レベルおよびコンパートメント・レベルで付与します。つまり、特定のコンパートメント内の特定のリソース・タイプへのアクセス権を特定のグループに付与するポリシー・ステートメントを記述します。

ポリシー・ステートメントおよびポリシー・ステートメント

クラウド・ユーザーのアクセス制御の定義に使用する主要なツールは、ポリシーです。これは、「誰が」、「どのように」、「何を」、「どこに」という観点でアクセスを指定するポリシー・ステートメントを含むIAM (Identity and Access Management)リソースです。」

ポリシー・ステートメントのフォーマットは次のとおりです:

Allow
  group <group-name>
  to <control-verb>
  <resource-type>
  in compartment <compartment-name>

• グループ<group-name>は、既存のIAMグループ(個々のクラウド・ユーザーを割り当てることができるIAMリソース)の名前を指定することで、「誰が」を指定します。

• <control-verb>は、次の事前定義済の制御動詞のいずれかを使用して、「どのように」を指定します:

  • inspect: 特定のタイプのリソースを、それに含まれる可能性がある機密情報やユーザー指定のメタデータにアクセスせずに一覧表示する機能。

  • read: inspectに加えて、ユーザー指定のメタデータと実際のリソースそのものを取得できます。

  • 使用: readに加えて、既存のリソースを操作できます(作成や削除はできません)。また、「作業する」とは、様々なリソース・タイプで異なる操作を意味します。

  • manage: リソース・タイプに対するすべての権限(作成および削除を含む)。

  専用インフラストラクチャ機能のコンテキストでは、フリート管理者は自律型コンテナ・データベースをmanageできますが、データベース管理者は自律型AIデータベースを作成するためにuseしかできません。

• <resource-type>は、事前定義済のリソース・タイプを使用して、「何を」指定します。専用インフラストラクチャ・リソースのリソース・タイプ値は次のとおりです:

  • exadata-infrastructures
  • autonomous-container-databases
  • autonomous-databases
  • 自律バックアップ

  専用インフラストラクチャ・リソースではネットワーキング・リソースを使用するため、作成するポリシー・ステートメントの一部はvirtual-network-familyリソース・タイプ値を参照します。また、テナンシ内でタグ付けが使用されている場合は、tag-namespacesリソース・タイプ値を参照しているポリシー・ステートメントを作成できます。

• コンパートメント<compartment-name>では、既存のIAMコンパートメントの名前(リソースが作成されるIAMリソース)を指定することで、「Where」を指定します。コンパートメントは、クラウド・リソースを編成および分離するためのOracle Cloud Infrastructureの基本コンポーネントです。

Autonomous AI Databaseのポリシーの詳細は、専用Exadataインフラストラクチャ上のAutonomous AI DatabaseのIAMポリシーを参照してください。

IAMサービスとそのコンポーネントの仕組みおよび使用方法の詳細は、Oracle Cloud Infrastructure Identity and Access Managementの概要を参照してください。IAMに関する一般的な質問への簡単な回答は、Identity and Access ManagementのFAQを参照してください。

アクセス制御を計画および構成する際のベスト・プラクティス

専用インフラストラクチャ機能のアクセス制御を計画および構成する際には、次のベスト・プラクティスを考慮する必要があります。

• プライベート・サブネットのみを含む個別のVCNを作成します。 ほぼすべてのケースで、専用インフラストラクチャ上に作成されたAutonomous AIデータベースは、企業に敏感で、通常は会社のプライベート・ネットワーク内からのみアクセスできます。パートナ、サプライヤ、コンシューマおよび顧客との共有データも、規制されたセキュアなチャネルを通じてそれぞれが利用できます。

  したがって、このようなデータベースへのネットワーク・アクセスは、社内でプライベートにする必要があります。これを確実にするには、プライベート・サブネットとIPSec VPNまたはFastConnectを使用して企業のプライベート・ネットワークに接続するVCNを作成します。このような構成の設定の詳細は、Oracle Cloud InfrastructureドキュメントのシナリオB: VPNを使用したプライベート・サブネットを参照してください。

  データベースへのネットワーク接続の保護の詳細は、Oracle Cloud Infrastructureドキュメントのネットワークの保護方法に関する項を参照してください。

• 少なくとも2つのサブネットを作成します。 少なくとも2つのサブネットを作成する必要があります: 1つはAutonomous Exadata VMクラスタおよびAutonomous Container Databaseリソース用、もう1つはAutonomous AI Databaseのクライアントおよびアプリケーションに関連付けられたリソース用です

• 少なくとも2つのコンパートメントを作成します。 少なくとも2つのコンパートメントを作成する必要があります。1つはExadataインフラストラクチャ、Autonomous Exadata VMクラスタおよびAutonomous Container Databaseリソース用、もう1つはAutonomous AI Databaseリソース用です。

• 少なくとも2つのグループを作成します。 少なくとも2つのグループを作成する必要があります: 1つはフリート管理者用で、もう1つはデータベース管理者用です。

クライアント・アクセス制御

クライアント・アクセス制御は、ネットワーク・アクセス制御とクライアント接続を制御することで、Autonomous AI Databaseに実装されます。

ネットワーク・アクセス制御

Autonomous AI Databaseへのネットワーク・アクセス制御は、Oracle Autonomous AI Database on Dedicated Exadata Infrastructureの専用デプロイメントを設定および構成するときに定義します。これを行う方法は、専用デプロイメントがOracle Public CloudとExadata Cloud@Customerのどちらにありますかによって異なります:

• Oracle Public Cloudでは、ネットワーキング・サービスのコンポーネントを使用してネットワーク・アクセス制御を定義します。Autonomous AIデータベースがネットワーク・アクセス可能なプライベート・サブネットを含むVirtual Cloud Network (VCN)を作成します。さらに、サブネット内のIPアドレスに出入りする特定タイプのトラフィックを許可するセキュリティ・ルールを作成します。

  これらのリソースの作成の詳細は、Oracle Autonomous AI Database Dedicated for Fleet Administratorsのラボ1: OCI実装のためのプライベート・ネットワークの準備に関する項を参照してください。

• Exadata Cloud@Customerの場合は、データ・センター内のクライアント・ネットワークを指定して、それをExadataインフラストラクチャ・リソースのVMクラスタ・ネットワーク・リソースに記録することで、ネットワーク・アクセス制御を定義します。

Zero Trust Packet Routing(ZPR)

適用先: Oracle Public Cloudのみ

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR)は、セキュリティ属性を割り当てるAutonomous Exadata VM Cluster (AVMC)などのリソース用に記述したインテントベースのセキュリティ・ポリシーによって、機密データを不正アクセスから保護します。

セキュリティ属性は、ZPRがリソースの識別および編成に使用するラベルです。ZPRは、潜在的なネットワーク・アーキテクチャの変更や構成の誤りに関係なく、アクセスがリクエストされるたびにネットワーク・レベルでポリシーを適用します。ZPRは、既存のネットワーク・セキュリティ・グループ(NSG)およびセキュリティ制御リスト(SCL)のルールに基づいて構築されています。パケットがターゲットに到達するには、すべてのNSGおよびSCLルールとZPRポリシーを渡す必要があります。NSG、SCLまたはZPRのルールまたはポリシーでトラフィックが許可されていない場合、リクエストは削除されます。

ZPRを使用してネットワークを保護するには、次の3つのステップがあります。

1. ZPRアーティファクト(セキュリティ属性ネームスペースおよびセキュリティ属性)を作成します。

2. セキュリティ属性を使用してリソースを接続するためのZPRポリシーを記述します。ZPRはZPR Policy Language (ZPL)を使用し、定義されたリソースへのアクセスを制限します。Autonomous AI Database on Dedicated Exadata Infrastructureのお客様は、テナンシにZPLベースのポリシーを記述して、AVMCからのデータが認可されたユーザーおよびリソースによってのみアクセスされるようにできます。

3. ZPRポリシーを有効にするには、セキュリティ属性をリソースに割り当てます。

   ノート: Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグ、セキュリティ属性またはわかりやすい名前を割り当てる場合、機密情報を入力しないでください。

詳細は、Getting Started with Zero Trust Packet Routingを参照してください。

ZPRセキュリティー属性をAVMCに適用するには、次のオプションがあります。

• AVMCをプロビジョニングするときにセキュリティー属性を適用します。詳細は、Autonomous Exadata VMクラスタの作成を参照してください。

• 既存のAVMCリソースにセキュリティー属性を適用します。詳細は、Configure Zero Trust Packet Routing (ZPR) for an AVMCを参照してください。

前提条件として、ZPRセキュリティ属性をAVMCに正常に追加するには、次のIAMポリシーを定義する必要があります:

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy

allow group <group_name>
to manage autonomous-database-family
in tenancy

allow group <group_name>
to read security-attribute-namespaces
in tenancy

アクセス制御リスト(ACL)

セキュリティを強化するため、Oracle Public CloudとExadata Cloud@Customerの両方の専用デプロイメントでアクセス制御リスト(ACL)を有効にできます。ACLは、特定のIPアドレスを持つクライアントのみをデータベースに接続できるようにすることで、データベースに対する追加の保護を提供します。IPアドレスは、個別に追加するか、CIDRブロックで追加することができます。IPv4ベースIPとIPv6ベースのIPとCIDRの両方がサポートされています。これにより、Autonomous AI Databaseのネットワーク・アクセスを特定のアプリケーションまたはクライアントに制限することで、きめ細かいアクセス制御ポリシーを形成することができます。

データベース・プロビジョニング時にオプションでACLを作成することも、後で作成することもできます。また、ACLはいつでも編集できます。IPアドレスのリストを空にしてACLを有効にすると、データベースにアクセスできなくなります。詳細は、専用Autonomous AIデータベースのアクセス制御リストの設定を参照してください。

Autonomous AI DatabaseでのACLの使用に関して、次のことに注意してください:

• Autonomous AI Database Serviceコンソールは、ACLルールの対象ではありません。
• Oracle Application Express (APEX)、RESTfulサービス、SQL Developer Webおよびパフォーマンス・ハブは、ACLの対象ではありません。
• Autonomous AI Databaseの作成中にACLの設定に失敗すると、データベースのプロビジョニングも失敗します。
• ACLの更新は、データベースが「使用可能」状態の場合にのみ許可されます。
• データベースをリストアしても、既存のACLは上書きされません。
• データベースのクローニング(フルおよびメタデータ)は、ソース・データベースと同じアクセス制御設定になります。必要に応じて変更を加えることができます。
• バックアップはACLルールの対象ではありません。
• ACLの更新中は、すべてのAutonomous Container Database (CDB)操作は許可されますが、Autonomous AI Database操作は許可されません。

Webアプリケーション・ファイアウォール(WAF)

アクセス制御リスト以外の高度なネットワーク制御の場合、Oracle Autonomous AI Database on Dedicated Exadata Infrastructureでは、Web Application Firewall (WAF)の使用がサポートされています。WAFは、悪意のある不要なインターネット・トラフィックからアプリケーションを保護します。WAFは、インターネットに接続されているエンドポイントを保護することにより、顧客のアプリケーションに一貫性のあるルール適用を提供できます。WAFを使用すると、クロスサイト・スクリプティング(XSS)、SQLインジェクション、およびその他のOWASP定義の脆弱性を含むインターネット上の脅威に対してルールを作成および管理できます。アクセス・ルールは、地理情報またはリクエストの署名に基づいて制限できます。WAFの構成方法のステップは、Web Application Firewallポリシーのスタート・ガイドを参照してください。

クライアント接続制御

Oracle Autonomous AI Database on Dedicated Exadata Infrastructureは、クライアント接続を認証するために、標準のTLS 1.2およびTLS 1.3証明書ベースの認証でクライアント接続制御を実装します。ただし、TLS 1.3はOracle Database 23ai以降でのみサポートされています。

デフォルトでは、Autonomous AI Databaseは自己署名証明書を使用します。ただし、Oracle Cloud Infrastructure (OCI)コンソールからCA署名サーバー側証明書をインストールできます。独自の証明書を持ち込むには、証明書の作成に示すように、まずOracle Cloud Infrastructure (OCI)証明書サービスを使用して証明書を作成する必要があります。これらの証明書は、PEM形式で署名されている必要があります。つまり、ファイル拡張子は.pem、.cerまたは.crtのみである必要があります。詳細については、Certificate Management in Dedicated Autonomous AI Databaseを参照してください。

データベース・ユーザー・アクセス管理

Oracle Autonomous AI Database on Dedicated Exadata Infrastructureは、Oracle AI Databaseの標準ユーザー管理機能を使用するように作成するデータベースを構成します。1つの管理ユーザー・アカウントADMINが作成されます。追加のユーザー・アカウントを作成したり、アカウントのアクセス制御を提供するには、これを使用します。

標準のユーザー管理では、システムやオブジェクトの権限、ロール、ユーザー・プロファイル、パスワード・ポリシーなど、機能および制御の堅牢なセットが提供されるため、ほとんどのケースでセキュアなデータベース・ユーザー・アクセス戦略を定義および実装できます。詳細な手順は、データベース・ユーザーの作成および管理を参照してください。

標準のユーザー管理に関する基本情報については、『Oracle AI Database概要』のユーザー・アカウントを参照してください。詳細およびガイダンスは、『Oracle Database 19cセキュリティ・ガイド』のOracle Databaseユーザーのセキュリティの管理に関する項または『Oracle Database 26aiセキュリティ・ガイド』を参照してください。

データベース・ユーザー・アクセス戦略で、標準のユーザー管理よりも多くの制御が必要な場合は、より厳格な要件を満たすために、次のいずれかのツールを使用するようにAutonomous AI Databaseを構成できます。

ツール	説明
Database Vault	Oracle Database Vaultは、Autonomous AI Databaseで事前に構成され、すぐに使用できます。その強力なセキュリティ制御を使用して、特権データベース・ユーザーによるアプリケーション・データへのアクセスを制限することで、内部および外部の脅威のリスクを減らし、一般的なコンプライアンス要件に対応できます。 詳細は、Autonomous AI Databaseのセキュリティ機能のデータ保護を参照してください。
Oracle Cloud Infrastructure Identity and Access Management (IAM)	Oracle Cloud Infrastructure Identity and Access Management (IAM)の認証および認可を使用するようにAutonomous AI Databaseを構成し、IAMユーザーがIAM資格証明でAutonomous AI Databaseにアクセスできるようにします。このオプションをデータベースで使用するには、Autonomous AI DatabaseでのIdentity and Access Management (IAM)認証の使用を参照してください。
Azure OAuth2アクセス・トークン	Azure oAuth2アクセス・トークンを使用して、Microsoft Azure Active Directory (Azure AD)サービスでOracle Autonomous AI Database on Dedicated Exadata Infrastructureユーザーを一元的に管理できます。このタイプの統合により、Azure ADユーザーはOracle Autonomous AI Database on Dedicated Exadata Infrastructureインスタンスにアクセスできます。Azure ADユーザーおよびアプリケーションは、Azure ADシングル・サインオン(SSO)資格証明を使用してログインして、Azure AD OAuth2アクセス・トークンを取得し、データベースに送信できます。 Microsoft Azure Active Directoryとデータベースの統合の詳細は、Autonomous AIデータベースのMicrosoft Azure Active Directoryユーザーの認証と認可を参照してください。
Microsoft Active Directory(CMU-AD)	Microsoft Active Directoryをユーザー・リポジトリとして使用する場合、Microsoft Active Directoryユーザーを認証および認可するようにAutonomous AIデータベースを構成できます。この統合により、標準的なユーザー管理であるDatabase Vault、Real Application SecurityまたはVirtual Private Databaseのいずれを使用するかに関係なく、厳密なデータベース・ユーザーのアクセス戦略を実装しながら、ユーザー・リポジトリを統合できます。 Microsoft Active Directoryとデータベースの統合の詳細は、Microsoft Active DirectoryとAutonomous AIデータベースを参照してください。
Kerberos	Kerberosは、共有秘密を使用するサード・パーティの認証システムです。Kerberosは、サード・パーティがセキュアであることを保障し、シングル・サインオン機能、集中化されたパスワード・ストレージ、データベース・リンク認証、拡張されたPCセキュリティを提供します。Kerberosは、Kerberos認証サーバーを使用して認証を行います。 Autonomous AI DatabaseのKerberosサポートは、Oracleユーザーにシングル・サインオンおよび集中化された認証の利点を提供します。詳細は、Authenticate Autonomous AI Database Users with Kerberosを参照してください。
CMU-ADを使用した Kerberos	CMU-AD上でKerberos認証を構成して、Microsoft Active DirectoryユーザーにCMU-AD Kerberos認証を提供できます。 Microsoft Active DirectoryユーザーにCMU-AD Kerberos認証を提供するには、Autonomous AI DatabaseでのKerberos認証の有効化で説明されている例に示すように、typeをCMUに設定しながら外部認証を有効にすることで、CMU-AD上でKerberos認証を有効にできます。
Real Application Securityおよび仮想プライベート・データベース	Oracle Real Application Security (RAS)は、保護対象のビジネス・オブジェクトだけでなく、それらのビジネス・オブジェクトに対する操作権限を持つプリンシパル(ユーザーおよびロール)も網羅するセキュリティ・ポリシーを有効にする宣言モデルを提供します。RASは、先行のOracle Virtual Private Databaseよりも安全かつスケーラブルで、コスト効率に優れています。 Oracle RASを使用すると、アプリケーション・ユーザーはデータベース内だけでなくアプリケーション層でも認証されます。データ・アクセス・パスに関係なく、データベース内のエンドユーザーのネイティブ・セッションに基づいて、データベース・カーネル内でデータ・セキュリティ・ポリシーが適用されます。ユーザーに割り当てられた権限によって、データベース・オブジェクトの行と列に対して実行できる操作のタイプ(選択、挿入、更新および削除)が制御されます。 Oracle RASの詳細は、『Oracle Database 19c Real Application Security管理者および開発者ガイド』のOracle Database Real Applicationセキュリティの概要に関する項または『Oracle Database 26ai Real Application Security管理者および開発者ガイド』に関する項を参照してください。 Oracle Autonomous AI Database on Dedicated Exadata Infrastructureでは、Oracle RASの前身であるOracle Virtual Private Database (VPD)もサポートされています。すでにOracle VPDに精通しており、使用している場合は、Autonomous AIデータベースを使用して構成および使用することができます。 仮想プライベート・データベースの詳細は、『Oracle Database 19cセキュリティ・ガイド』のOracle Virtual Private Databaseを使用したデータ・アクセスの管理に関する項またはOracle Database 26aiセキュリティ・ガイドに関する項を参照してください。

特権アクセス管理(PAM)

製品およびサービス全体のユーザー・アクセスおよび権限管理に関するOracleのセキュリティ状態は、Oracle Access Controlに記載されています。

Autonomous AI Database on Dedicated Exadata Infrastructureは、顧客サービスおよびデータベース・データを不正アクセスから分離および保護するように設計されています。Autonomous AI Databaseは、お客様とOracleの間で業務を分離します。顧客は、データベース・スキーマへのアクセスを制御します。Oracleは、Oracle管理のインフラストラクチャおよびソフトウェア・コンポーネントへのアクセスを制御します。

Autonomous AI Database on Dedicated Exadata Infrastructureは、お客様による不正使用のためにデータを保護し、不正アクセスからデータを保護できるように設計されています。これには、Oracle Cloud Opsスタッフによる顧客データへのアクセスの防止が含まれます。Exadataインフラストラクチャ、Autonomous VMおよびOracleデータベース・データへの不正アクセスから保護するように設計されたセキュリティ対策には、次のものがあります。

• Oracle Databaseデータは、Oracle Transparent Data Encryption (TDE)キーによって保護されます。
• お客様は、TDE暗号化キーへのアクセスを制御し、そのようなキーを外部のOracle Key Vaultキー管理システムに格納することを選択できます。
• Oracle Database Vaultは、特権ユーザーがAutonomous AIデータベースの顧客データにアクセスできないように事前構成されています。
• お客様は、オペレータ・アクセス・コントロール・サービス登録を介してオペレータ・アクセスを承認することを選択できます。
• すべてのオペレータ・アクセスは、FIPS 140-2レベル3ハードウェア多要素認証に基づいており、Oracle承認デバイスで実装されたハードウェアYubiKeyを使用して実装されます。
• すべてのオペレータ・アクションはコマンド・レベルで記録され、ほぼリアルタイムでOCIロギング・サービスまたはカスタマSIEMに送信できます。

• Oracle Operations Access Controlは、Oracle Cloudの運用およびサポート・スタッフがパフォーマンスの監視および分析に使用するユーザー・アカウントが、Autonomous AI Databaseのデータにアクセスできないようにします。Oracle Cloudの運用およびサポート・スタッフは、Autonomous AI Databaseのデータにアクセスできません。Autonomous Container Databaseを作成すると、Autonomous AI Database on Dedicated Exadata Infrastructureにより、Oracle Database Vaultの操作制御機能が有効および構成され、共通ユーザーがコンテナ・データベースに作成されたAutonomous AIデータベース内のデータにアクセスできないようになります。

  運用制御がアクティブになっていることを確認するには、Autonomous AI Databaseに次のSQL文を入力します:

  SELECT * FROM DBA_DV_STATUS;
  

  ステータスがAPPLICATION CONTROLであれば、運用制御がアクティブになっています。

  ノート:操作制御は、以前はアプリケーション制御と呼ばれていました。

PAMは、Autonomous AI Databaseのセキュリティ機能で説明されているように、データ保護のためにDatabase Vaultにも実装されています。

関連コンテンツ

主なセキュリティ機能