専用Exadataインフラストラクチャ上のAutonomous AI Databaseでの構成管理

Oracle Cloud Infrastructure(OCI)上に構築されたAutonomous AI Database on Dedicated Exadata Infrastructureは、標準的で強化されたセキュリティ構成を提供するため、あなたとあなたのチームは、Autonomous AI Databaseフリート全体の構成管理に膨大な時間と費用をかける必要がありません。

セキュリティのパッチと更新は自動的に実行されるため、セキュリティを最新の状態に保つことを気にする必要はありません。これらの機能を使用すると、非常に機密性の高いデータベースおよびデータを、コストがかかり、致命的な可能性のあるセキュリティ脆弱性や侵害から保護できます。詳細は、「Autonomous AI Databaseのサービス・メンテナンス」を参照してください。

自律型仮想マシン強化

Autonomous AI Database Virtual Machine (Autonomous VM)イメージは、クライアント・仮想マシンとも呼ばれ、セキュリティが強化されています。Oracle Software Security Assuranceで概説されているように、構成はOracleソフトウェア開発および保証プラクティスを介して保護されます。自律型仮想マシンには、不正なソフトウェアとマルウェアを検出するように構成された適切なウイルス対策ソフトウェアとマルウェア対策ソフトウェアがあります。OracleのAsset Endpoint Protection and Configuration Managementソフトウェアは、クライアント仮想マシンにインストールされ、安全で承認されたプロセスを通じてのみ構成の変更が行われます。Linux OS監査ログは、OCIのセキュリティ・インシデント検出およびレスポンス・チーム(DART)によるセキュリティ・インシデント検出および監査のために、中央のOCI Security Information and Event Management (SIEM)システムに収集および転送されます。ログは、生成日から13か月間保持されます。

DARTは、SIEMダッシュボードの管理、インシデント・アラートの評価、および社内サービス・チームのチケット開設による真のポジティブな修正アクションの開始を担当します。セキュリティ・イベントで顧客の更新が必要な場合、DARTはグローバル情報セキュリティおよびサービス・チームと協力して顧客の更新を発行します。

すべてのOracle Autonomous VMsはDISA STIG (Defense Information Systems Agency Security Technical Implementation Guide)に準拠しており、ユーザー・アクセス制御、オープン・ポート、不要なパッケージおよびデーモン構成に関する問題などに対処するOracle Linux Security Technical Implementation Guideに従って強化されます。Oracle Linux DISA STIGコントロールの完全なリストは、ここにあります。

自律型仮想マシンへの手動アクセスは、同社が徹底的に審査するコア・クラウド運用チームに制限されています。オペレーション・チームのメンバーは、Exadataインフラストラクチャにアクセスするには、会社提供のデバイスからOracle Cloud Network Attach(プライベートで安全なクラウド・ネットワーク)に行く必要があります。アクセス資格証明は、有効なサポート・チケットに応じて動的に生成されます。クライアント・仮想マシンに対する構成の変更には、厳格な内部セキュリティ・レビューと変更管理プロセスが行われます。すべてのツール、スクリプト、またはソフトウェアは、承認されたソフトウェアのライフサイクルと変更管理プロセスを経た後にのみインストールまたは変更されます。

インフラストラクチャおよび自律型仮想マシン両方のオペレータ・アクセス制御サービスとの統合により、このアクセスがさらに制限され、アクセス権限および通知がユーザーに付与されます。オペレータ・アクションはほぼリアルタイムでログインし、お客様が構成したSIEMおよびOracleロギング・サービスに送信され、必要に応じてお客様がダウンロードします。ログは、お客様のSIEM/ストレージにダウンロードすることも、OCIオブジェクト・ストレージに無期限にアーカイブすることもできます。詳細は、Operator Access Control serviceを参照してください。

OCIセキュリティ・アーキテクチャは、OCI独自のマルチレイヤーGen2ハードウェアと仮想化セキュリティをさらに定義します。詳細は、Oracle Cloud Infrastructureセキュリティ・アーキテクチャを参照してください。

構成ドリフト管理

Autonomous AI Databaseサービス開発およびAutonomous VMイメージ・ビルドは、Oracleの企業セキュリティ・プラクティスの範囲の一部です。この実装は、こちらで公開されているOracle Software Security Assuranceプロセスで慎重に制御されています。

Autonomous VMイメージ構成は、コードを介して制御され、構成変更が本番リリースになる前に、複数のコード・レビューおよび品質保証(QA)サイクルが行われます。Oracleの姿勢およびソフトウェア構成を保護するための標準プラクティスについては、Oracle Software Security Assuranceドキュメントのセキュアな構成の項を参照してください。

Oracleビルド・エージェント、Asset Endpoint Protection and Configuration Management (AEP/CM)ソフトウェアがコントロール・プレーン・サーバーにインストールされ、インフラストラクチャおよびAutonomous VMインスタンスからLinux監査ログおよびLinux Advanced Intrusion Detection Environment (AIDE)ログを収集および転送します。これらのログは、監査目的でOCI中央SIEMに転送されます。ログ・ファイルによる改ざん、外部コンテンツのダウンロード、セキュリティ・ツールの無効化などに固有のSIEMルールでは、DARTがAutonomous Virtual Machine Hardeningの説明に従って評価および応答するアラートが生成されます。

Autonomous VMインスタンスは、承認されたOracleオペレータおよび自動化からを除き、直接sshアクセスから保護されます。すべてのオペレータ・アクティビティは、オペレータ・アクセス・コントロールを介して監視できます。

ファイル整合性および侵入モニタリング

Autonomous VMsは、特定のビルド内のファイルの数と整合性を維持するファイル侵入および監視ユーティリティで構成されます。ファイル・チェックサムでのファイル数の変更や変更には、フラグが付けられます。AIDEおよびHIDSログも収集され、OCI SIEMに送信され、Autonomous Virtual Machine Hardeningで説明されているDARTプロセスを介して脅威がスキャンされます。

AVMCにデプロイされるすべてのソフトウェア・アーティファクト(ツールを含む)は、チェックサムを使用したセキュアな変更管理方式でデプロイされ、SSL証明書を使用してデジタル署名されます。これは、証明書署名付きコード・デプロイメントと呼ばれます。

Autonomous VMの脆弱性スキャンと対応

すべてのAutonomous VMイメージは、Oracle Software Security Assuranceに記載されているOracleのセキュアな開発プラクティスを使用して構築されます。Corporate Security Solution Assurance Process (CSSAP)は、Oracleの企業セキュリティ・アーキテクチャ、Global Information Security (GIS)およびOracleのIT組織によって開発されたセキュリティ・レビュー・プロセスで、包括的な情報セキュリティ管理レビューを提供します。GISとCSSAPは、OCIサービス・チームとは無関係に運用され、お客様とOracleの情報資産とソフトウェア資産を保護します。セキュリティに影響を及ぼす可能性のあるすべてのサービス機能には、CSSAPのレビューおよび承認プロセスが行われます。また、品質保証(QA)テスト・サイクルでは、適切なスキャン・ツールを使用して、イメージがSTIGに準拠し、サービス・セキュリティ・ガイドラインを満たし、CSSAPレビューの準備が整っていることを確認します。

AVMCでのフォレンジック・ツールは、脆弱性管理において重要な役割を果たします。各Autonomous VMホストからのLinux監査ログが中央のOCI SIEMにアップロードされ、アラート・ルールによって潜在的な脅威が取得および表示されます。DARTは、Autonomous Virtual Machine Hardeningで説明されているように、これらのアラートに応答します。HIDSおよびウイルス対策ログも同様に処理されます。Common Vulnerabilities and Exposures(CVE)スキャナは、脆弱性結果が分類される中央の自動化ツールにその結果を送信し、サービスチームがシステムにパッチを適用するためのチケットを、結果の重大度に比例してタイムスケールでオープンします。スコアが7より大きいすべてのCVEには、30日以内にパッチを適用する必要があります。

Hypervisor、Grid Infrastructure、Storage and Client Operating SystemsおよびFirmwareで構成されるインフラストラクチャ・パッチ・バンドルを四半期ごとにスケジュールできます。データベース・リリース更新およびリリース更新リビジョンは、四半期ごとに個別にスケジュールすることもできます。特定のパッチ更新が必要とするため、すべてのパッチは、クラウド自動化ツールおよびAutonomous Cloud Operationsを使用してステージングおよび適用されます。

ソフトウェア・パッチ開発は、必要に応じて、Oracleのセキュアなソフトウェア開発プラクティス、QAテストおよびCSSAPレビューに従います。パッチ開発者、QAテスター、リリース管理およびパッチ適用操作間で職務を分離することで、パッチによってお客様のハードウェアにパッチが適用される前に、複数の担当者が関与することが保証されます。

可能な場合は、Linux kspliceなどのツールを使用して、ダウンタイムなしで実行中のシステムに更新を適用します。更新でコンポーネントの再起動が必要な場合、Oracleはローリング方式でコンポーネントの再起動を実行し、更新プロセス中のサービスの可用性を保証します。ビジネスSLAに合せてパッチ適用の開始時間をスケジュールできます。パッチ適用は、インフラストラクチャ・コンポーネント(GI、OS)および各DBMSホームに対して個別にスケジュールできます。

脆弱性スキャンとパッチ適用

Autonomous AI Database on Dedicated Exadata Infrastructureは、商用脆弱性スキャン・ツールを使用して、外部および内部の脆弱性スキャン(サポート終了システムの検出を含む)を頻繁に実行します。特定された脆弱性は、Cloud Compliance Standard for Vulnerability Managementによって調査および解決に向けて追跡されます。サードパーティ・ライブラリおよびオープンソース・ライブラリの更新を評価および識別するために、様々な技術的手段を使用します。環境にデプロイされたシステムの認証された脆弱性スキャン、およびデプロイメント前のシステム・イメージのスキャンが、そのようなライブラリを識別し、セキュリティ修正が必要かどうかを判断するために実装されています。企業ポリシーおよびビジネス・ユニット・プロシージャによって、これらのプログラムが管理され、毎年評価されます。

Autonomous AI Databaseは、メカニズムを使用して、複数のソース(脆弱性スキャンを含む)からのセキュリティ結果を集約し、その結果を適切なサービス・チームに割り当てます。このシステムにより、サービスチームは調査結果を管理し、必要に応じて通知や自動エスカレーションなど、修正作業の自動キューイングのためにチケット発行システムと統合できます。また、組織全体の修復作業が要約され、日々の脆弱性管理作業が促進されます。

Oracle Software Security Assurance(OSSA)では、顧客がオンプレミスで使用しているか、Oracle Cloudを通じて提供されているかにかかわらず、製品の設計、構築、テスト、メンテナンスにセキュリティを構築するためのOracleの方法を定義します。Oracle Corporate Securityポリシー(脅威および脆弱性管理に対処するポリシーを含む)は、毎年レビューされ、必要に応じて更新されます。少なくとも毎年、独立した第三者がシステム侵入テストを実施しています。

Oracleのすべてのお客様に最高のセキュリティ体制を提供するために、Oracleは、お客様が引き起こす可能性のあるリスクに基づいて、重大なセキュリティの脆弱性を修正します。最も深刻なリスクの問題が最初に修正されます。一般に、セキュリティ脆弱性のフィックスは、次の順序で生成されます。

パッチおよび更新は、継続的インテグレーション/継続的デプロイメント(CI/CD)ツールによって実装されます。複数の可用性ドメイン(ドメイン・ネーム・サービスの更新など)に依存関係が存在する場合を除き、変更はリージョンおよび可用性ドメインごとに個別に実装されます。Oracle Patching and Security Alerts Implementation Policyでは、Oracle Critical Patch UpdateおよびSecurity Alertの更新、および関連する推奨事項のデプロイメントが必要です。このポリシーには、リスクベースのアプローチを使用して非Oracleテクノロジの脆弱性を修正するための要件も含まれます。詳細は、Critical Patch Update and Security Alert programsを参照してください。

Oracleは、四半期メンテナンスとともに月次インフラストラクチャ・セキュリティ・メンテナンス・アクティビティをスケジュールおよび実行します。ただし、これらのセキュリティ・パッチは、CVSSスコアが7以上の脆弱性に対する修正を含む、クリティカル・セキュリティ更新のある月にのみ適用されます。

Oracle Cloud Security Testingポリシー

Oracleは、Oracle Cloudインフラストラクチャ、プラットフォームおよびアプリケーションに対して侵入テストおよび脆弱性テストとセキュリティ評価を定期的に実行し、Oracle Cloudサービスの全体的なセキュリティを検証および改善します。ただし、Oracleは、ユーザーが管理または導入するコンポーネント(該当する場合にはOracle applications、非Oracleデータベースその他の非Oracleソフトウェア、コードもしくはデータも含みます)の評価もしくはテストのいずれも行いません。これには、Oracle Cloudサービス(以下「顧客コンポーネント」といいます)における開発または作成からの紹介も含まれます。

Oracle Customer Security Testing Policyは、Oracle顧客が自身のOracle On-Premises ProductsおよびOracle Cloud Servicesに対して実行できる侵入テストや脆弱性スキャン(以下「セキュリティ・テスト」といいます)などのセキュリティ・テスト活動について記載されています。これを総称して「テスト・ポリシー」といいます。また、Oracle Cloud Servicesのサービス仕様書に含まれます。このポリシーでは、顧客コンポーネントに含まれるサードパーティのマシンのテストには対応せず、実施する権利も提供しません。サービス・メンテナンス・リクエストを提出するために必要な権限を持つOracle Accountのお客様、およびそのようなテストの対象となる環境にサインインしているお客様のみが、脆弱性テストまたは侵入テストを実施できます。

Oracle Cloudサービス契約で別途許可または制限されている場合を除き、自律型AIデータベース・サービスへのシステム・レベルのアクセス権を持つサービス管理者は、Oracle Cloudのセキュリティ・テストで概説されている制限に従って、自律型AIデータベース・サービスに含まれる顧客コンポーネントに対して侵入テストおよび脆弱性テストを実行できます。

また、セキュリティ・テストのFAQを参照して、セキュリティ・テストに関する質問への回答を検索することもできます。

エンドポイント、マルウェアおよびランサムウェア保護

Autonomous VMクライアント・マシンは、次で説明するように、エンドポイント、マルウェアおよびランサムウェア保護を使用して構築されます:

セキュリティ・インシデント管理

セキュリティ・インシデント検出およびレスポンス・チーム(DART)のセキュリティ・アナリストの専任チームは、セキュリティ・イベント・ダッシュボードを24時間365日管理し、アラートを処理して真のポジティブをフィルタリングします。true陽性が検出されると、イベントの重大度および影響に基づいて適切なレスポンスが開始されます。これには、さらなる分析、根本原因の評価、サービスチームとの修正、および顧客とのコミュニケーションが含まれます。

Oracleのセキュリティ・インシデント・レスポンス・ポリシーの概要は、セキュリティ・インシデント・レスポンスに記載されています。

関連コンテンツ

Autonomous AI Databaseのセキュリティ機能