専用Exadataインフラストラクチャ上のAutonomous AI Database内のアクセス制御

専用Exadataインフラストラクチャ上のAutonomous AI Databaseを構成する際は、クラウド・ユーザーが職務を遂行のため、適切な種類のクラウド・リソースのみを使用および作成するためのアクセス権があることを確認する必要があります。また、認可された担当者およびアプリケーションのみが専用インフラストラクチャで作成されたAutonomous AI Databaseにアクセスできることを確認する必要があります。そうしない場合、専用インフラストラクチャ・リソースの"ランナウェイ"消費が発生したり、ミッションクリティカルなデータに適切にアクセスできなくなる可能性があります。

専用インフラストラクチャ機能を提供するクラウド・リソースの作成および使用を開始する前に、アクセス制御計画を策定し、適切なIAM (Identity and Access Management)リソースおよびネットワーキング・リソースを作成して、それを構成する必要があります。したがって、自律型AIデータベース内のアクセス制御は、さまざまなレベルで実装されています。
  • Oracleクラウドのユーザー・アクセス制御
  • クライアント・アクセス制御
  • データベース・ユーザー・アクセス制御

Oracle Cloudのユーザー・アクセス制御

テナンシ内のOracle Cloudユーザーが、専用Exadataインフラストラクチャ上のAutonomous AI Databaseのデプロイメントを構成するクラウド・リソースにどのようなアクセス権を持つのかを制御します。

Identity and Access Management (IAM)サービスを使用して、クラウド・ユーザーのアクセス権を、各自で職務を遂行するための適切な種類のAutonomous AI Databaseリソースのみを作成および使用できるようにします。クラウド・ユーザーのアクセス制御を設定するには、特定のコンパートメント内の特定の種類のリソースへの特定のアクセス権を特定のユーザー・グループに付与するポリシーを定義します。

IAMサービスには、セキュアなクラウド・ユーザー・アクセス戦略の定義および実装に役立つ複数の種類のコンポーネントが用意されています:

  • コンパートメント: 関連するリソースの集合。コンパートメントは、クラウド・リソースを編成および分離するためのOracle Cloud Infrastructureの基本コンポーネントです。

  • グループ: 特定のリソースまたはコンパートメントのセットに対して同じアクセス・タイプを必要とするユーザーのコレクション。

  • 動的グループ: 定義したルールに一致するリソースを含む、特別なタイプのグループ。したがって、一致するリソースが作成または削除されると、メンバーシップが動的に変わる可能性があります。

  • ポリシー: 誰がどのリソースにどのようにアクセスできるかを指定する文のグループ。アクセス権はグループ・レベルおよびコンパートメント・レベルで付与します。つまり、特定のコンパートメント内の特定のリソース・タイプへのアクセス権を特定のグループに付与するポリシー・ステートメントを記述します。

ポリシーおよびポリシー・ステートメント

クラウド・ユーザーのアクセス制御の定義に使用される主要なツールは、ポリシーです。これは、「誰が」、「どのように」、「何を」および「どこで」という観点でアクセスを指定するポリシー・ステートメントが含まれたIAM (Identity and Access Management)リソースです。

ポリシー・ステートメントのフォーマットは次のとおりです:
Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>
  • group <group-name>は、既存のIAMグループの名前(個々のクラウド・ユーザーを割り当てることができるIAMリソース)を提供することで、「誰が」を指定します。

  • to <control-verb>は、次の事前定義済の制御動詞のいずれかを使用して、「どのように」を指定します。

    • inspect: 特定のタイプのリソースを、機密情報や、そのリソースの一部である可能性があるユーザー指定のメタデータにはアクセスせずに一覧表示できます。
    • read: inspectに加えて、ユーザー指定のメタデータと実際のリソースそのものを取得できます。
    • use: readに加えて、既存のリソースを作業できます(作成や削除はできません)。また、「作業する」とは、各リソース・タイプで異なる操作を意味します。
    • manage: リソース・タイプの作成および削除を含む、すべての権限。

    専用インフラストラクチャ機能のコンテキストでは、フリート管理者は自律型コンテナ・データベースをmanageできますが、データベース管理者はAutonomous AI Databaseを作成するためにuseのみを実行できます。

  • <resource-type>は、事前定義済のリソース・タイプを使用して、「何を」を指定します。専用インフラストラクチャ・リソースのリソース・タイプ値は次のとおりです:

    • exadata-infrastructures
    • autonomous-container-databases
    • autonomous-databases
    • autonomous-backups

    専用インフラストラクチャ・リソースはネットワーキング・リソースを使用するため、作成するポリシー・ステートメントの一部はvirtual-network-familyリソース・タイプ値です。また、テナンシ内でタグ付けが使用されている場合は、tag-namespacesリソース・タイプ値を参照するポリシー・ステートメントを作成できます。

  • in compartment <compartment-name>は、既存のIAMコンパートメントの名前(リソースが作成されるIAMリソース)を指定することで、「どこで」を指定します。コンパートメントは、クラウド・リソースを編成および分離するためのOracle Cloud Infrastructureの基本コンポーネントです。

Autonomous AI Databaseのポリシーの詳細は、専用Exadataインフラストラクチャ上のAutonomous AI DatabaseのIAMポリシーを参照してください。

IAMサービスとそのコンポーネントの仕組みおよび使用方法の詳細は、Oracle Cloud Infrastructure Identity and Access Managementの概要を参照してください。IAMに関する一般的な質問への簡単な回答は、Identity and Access ManagementのFAQを参照してください。

アクセス制御を計画および構成する際のベスト・プラクティス

専用インフラストラクチャ機能のアクセス制御を計画および構成する際には、次のベスト・プラクティスを考慮する必要があります。

  • プライベート・サブネットのみを含む個別のVCNを作成します。ほぼすべてのケースで、専用インフラストラクチャ上に作成されたAutonomous AI Databaseには、会社に敏感で、通常は会社のプライベート・ネットワーク内からのみアクセスできます。パートナ、サプライヤ、コンシューマおよび顧客との共有データも、規制されたセキュアなチャネルを通じてそれぞれが利用できます。

    したがって、このようなデータベースへのネットワーク・アクセスは、社内でプライベートにする必要があります。これを確実にするには、プライベート・サブネットとIPSec VPNまたはFastConnectを使用して企業のプライベート・ネットワークに接続するVCNを作成します。このような構成の設定の詳細は、Oracle Cloud InfrastructureドキュメントシナリオB: VPNを使用したプライベート・サブネットを参照してください。

    データベースへのネットワーク接続の保護の詳細は、Oracle Cloud Infrastructureドキュメントネットワークを保護する方法を参照してください。

  • 少なくとも2つのサブネットを作成します。少なくとも2つのサブネットを作成する必要があります: 1つはAutonomous Exadata VMクラスタおよびAutonomous Container Databaseリソース用、もう1つはAutonomous AI Databaseのクライアントおよびアプリケーションに関連付けられたリソース用。

  • 少なくとも2つのコンパートメントを作成します。少なくとも2つのコンパートメントを作成する必要があります。1つはExadataインフラストラクチャ、Autonomous Exadata VMクラスタおよび自律型コンテナ・データベース・リソース用、もう1つはAutonomous AI Databaseリソース用です。

  • 少なくとも2つのグループを作成します。少なくとも2つのグループを作成する必要があります: 1つはフリート管理者用で、もう1つはデータベース管理者用です。

クライアント・アクセス制御

クライアント・アクセス制御は、ネットワーク・アクセス制御およびクライアント接続を制御することで、Autonomous AI Databaseに実装されます。

ネットワーク・アクセス制御

専用Exadataインフラストラクチャ上のOracle Autonomous AI Databaseの専用デプロイメントを設定および構成するときに、Autonomous AI Databaseへのネットワーク・アクセス制御を定義します。その方法は、専用デプロイメントがOracle Public Cloud上にあるのかExadata Cloud@Customer上にあるのかによって異なります:
  • Oracle Public Cloudでは、ネットワーキング・サービスのコンポーネントを使用してネットワーク・アクセス制御を定義します。Autonomous AI Databaseがネットワークにアクセス可能なプライベート・サブネットを含むVirtual Cloud Network (VCN)を作成します。さらに、サブネット内のIPアドレスに出入りする特定タイプのトラフィックを許可するセキュリティ・ルールを作成します。

    For detailed information about creating these resources, run Lab 1: Prepare Private Network for OCI Implementation in Oracle Autonomous AI Database Dedicated for Fleet Administrators.

  • Exadata Cloud@Customerの場合、ネットワーク・アクセス制御を定義するには、データ・センター内のクライアント・ネットワークを指定し、それをExadataインフラストラクチャ・リソース内のVMクラスタ・ネットワーク・リソースに記録します。

ゼロトラストパケットルーティング(ZPR)

適用対象: 適用可能 Oracle Public Cloudのみ

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR)は、セキュリティ属性を割り当てるAutonomous Exadata VM Cluster (AVMC)など、リソース用に記述したインテントベースのセキュリティ・ポリシーを通じて、機密データを不正アクセスから保護します。

セキュリティー属性は、ZPRがリソースの識別や編成に使用するラベルです。ZPRは、ネットワークアーキテクチャーの変更や構成の誤りに関係なく、アクセスが要求されるたびにネットワークレベルでポリシーを適用します。ZPRは、既存のネットワーク・セキュリティ・グループ(NSG)およびセキュリティ制御リスト(SCL)のルールに基づいて構築されます。パケットがターゲットに到達するには、すべてのNSGおよびSCLルールおよびZPRポリシーを渡す必要があります。NSG、SCLまたはZPRのルールまたはポリシーでトラフィックが許可されていない場合、リクエストは削除されます。

ZPRを使用してネットワークを保護するには、次の3つのステップがあります。

  1. ZPRアーティファクト(セキュリティ属性ネームスペースおよびセキュリティ属性)を作成します。

  2. ZPRポリシーを記述して、セキュリティ属性を使用してリソースを接続します。ZPRはZPRポリシー言語(ZPL)を使用し、定義済リソースへのアクセスに制限を適用します。Autonomous AI Database on Dedicated Exadata Infrastructureの顧客として、テナンシにZPLベースのポリシーを記述して、AVMCからのデータへのアクセスが認可されたユーザーおよびリソースによってのみ行われるようにできます。

  3. リソースへのセキュリティ属性の割当て: ZPRポリシーを有効にします。

ノート:

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグ、セキュリティ属性またはフレンドリ名を割り当てる場合、機密情報を入力しないでください。

詳細は、ゼロ・トラスト・パケット・ルーティングの開始を参照してください。

AVMCにZPRセキュリティ属性を適用するには、次のオプションがあります。

前提条件として、ZPRセキュリティ属性をAVMCに正常に追加するには、次のIAMポリシーを定義する必要があります:

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy
allow group <group_name>
to manage autonomous-database-family
in tenancy
allow group <group_name>
to read security-attribute-namespaces
in tenancy
アクセス制御リスト(ACL)

セキュリティを強化するため、Oracle Public CloudExadata Cloud@Customerの両方の専用デプロイメントでアクセス制御リスト(ACL)を有効にできます。ACLでは、特定のIPアドレスを持つクライアントのみがデータベースに接続できるようにすることで、データベースの保護を強化します。IPアドレスは、個別に追加するか、CIDRブロックで追加することができます。IPv4およびIPv6ベースのIP/CIDRの両方がサポートされています。これにより、Autonomous AI Databaseのネットワーク・アクセスを特定のアプリケーションまたはクライアントに制限することで、きめ細かいアクセス制御ポリシーを形成できるようになります。

データベース・プロビジョニング時にオプションでACLを作成することも、後で作成することもできます。また、ACLはいつでも編集できます。IPアドレスのリストを空にしてACLを有効にすると、データベースにアクセスできなくなります。詳細は、専用Autonomous AI Databaseのアクセス制御リストの設定を参照してください。

Autonomous AI DatabaseでのACLの使用について、次のことに注意してください:
  • Autonomous AI Databaseサービス・コンソールは、ACLルールの対象ではありません。
  • Oracle Application Express (APEX)、RESTfulサービス、SQL Developer Webおよびパフォーマンス・ハブは、ACLの対象ではありません。
  • Autonomous AI Databaseの作成中にACLの設定に失敗すると、データベースのプロビジョニングも失敗します。
  • ACLの更新が許可されるのは、データベースが「使用可能」状態の場合のみです。
  • データベースをリストアしても、既存のACLは上書きされません。
  • データベースのクローニング(フルおよびメタデータ)は、ソース・データベースと同じアクセス制御設定になります。必要に応じて変更を加えることができます。
  • バックアップはACLルールの対象ではありません。
  • ACLの更新中は、すべてのAutonomous Container Database (CDB)操作が許可されますが、Autonomous AI Database操作は許可されません。
Webアプリケーション・ファイアウォール(WAF)

アクセス制御リスト以外の高度なネットワーク制御の場合、Oracle Autonomous AI Database on Dedicated Exadata InfrastructureではWeb Application Firewall (WAF)の使用がサポートされています。WAFは、悪意のある不要なインターネット・トラフィックからアプリケーションを保護します。WAFは、インターネットに接続するエンドポイントを保護することにより、顧客のアプリケーションに対して一貫性のあるルールの適用を実現できます。WAFでは、クロスサイト・スクリプティング(XSS)、SQLインジェクション、およびその他のOWASP定義の脆弱性を含むインターネット脅威に対してルールを作成および管理できます。アクセス・ルールは、地理情報またはリクエストの署名に基づいて制限できます。WAFの構成方法のステップは、Web Application Firewallポリシーの開始を参照してください。

クライアント接続制御

Oracle Autonomous AI Database on Dedicated Exadata Infrastructureは、クライアント接続を認証するために、標準のTLS 1.2およびTLS 1.3証明書ベースの認証を使用してクライアント接続制御を実装します。ただし、TLS 1.3はOracle Database 23ai以降でのみサポートされています。

デフォルトでは、Autonomous AI Databaseは自己署名証明書を使用します。ただし、CA署名のサーバー側証明書は、Oracle Cloud Infrastructure (OCI)コンソールからインストールできます。独自の証明書を取得するには、証明書の作成で示すように、まずOracle Cloud Infrastructure (OCI)証明書サービスを使用して証明書を作成する必要があります。これらの証明書は署名されている必要があります。ファイル拡張子は.pem、.cerまたは.crtである必要があります。PEM形式で署名されている必要があります。詳細は、専用Autonomous AI Databaseでの証明書管理を参照してください。

データベース・ユーザー・アクセス制御

専用Exadataインフラストラクチャ上のOracle Autonomous AI Databaseは、Oracle AI Databaseの標準ユーザー管理機能を使用するように作成するデータベースを構成します。1つの管理ユーザー・アカウントADMINが作成されます。追加のユーザー・アカウントを作成したり、アカウントのアクセス制御を提供するには、これを使用します。

標準のユーザー管理では、システムやオブジェクトの権限、ロール、ユーザー・プロファイル、パスワード・ポリシーなど、機能および制御の堅牢なセットが提供されるため、ほとんどのケースでセキュアなデータベース・ユーザー・アクセス戦略を定義および実装できます。詳細な手順は、データベース・ユーザーの作成および管理を参照してください。

標準のユーザー管理に関する基本情報については、『Oracle AI Database概要』ユーザー・アカウントを参照してください。詳細情報およびガイダンスは、『Oracle Database 19cセキュリティ・ガイド』Oracle Databaseユーザーのセキュリティの管理または『Oracle Database 26aiセキュリティ・ガイド』を参照してください。

データベース・ユーザー・アクセス戦略で、標準ユーザー管理で提供されるよりも多くの制御が必要な場合は、次のツールのいずれかを使用して、より厳格な要件を満たすようにAutonomous AI Databaseを構成できます。
ツール 説明
Database Vault

Oracle Database Vaultは、Autonomous AI Databaseで事前に構成され、すぐに使用できます。その強力なセキュリティ制御を使用して、特権データベース・ユーザーによるアプリケーション・データへのアクセスを制限することで、内部および外部の脅威のリスクを減らし、一般的なコンプライアンス要件に対応できます。

詳細は、Autonomous AI Databaseのセキュリティ機能データ保護を参照してください。

Oracle Cloud Infrastructure Identity and Access Management (IAM)

Autonomous AI Databaseを構成して、Oracle Cloud Infrastructure Identity and Access Management (IAM)の認証および認可を使用し、IAMユーザーがIAM資格証明でAutonomous AI Databaseにアクセスできるようにします。このオプションをデータベースで使用するには、Autonomous AI DatabaseでのIdentity and Access Management (IAM)認証の使用を参照してください。

Azure OAuth2アクセス・トークン

Azure oAuth2アクセス・トークンを使用して、Microsoft Azure Active Directory (Azure AD)サービスでOracle Autonomous AI Database on Dedicated Exadata Infrastructureユーザーを一元的に管理できます。このタイプの統合により、Azure ADユーザーはOracle Autonomous AI Database on Dedicated Exadata Infrastructureインスタンスにアクセスできます。Azure ADユーザーおよびアプリケーションは、Azure ADシングル・サインオン(SSO)資格証明を使用してログインして、Azure AD OAuth2アクセス・トークンを取得し、データベースに送信できます。

Microsoft Azure Active Directoryとデータベースの統合の詳細は、Autonomous AI DatabaseのMicrosoft Azure Active Directoryユーザーの認証および認可を参照してください。

Microsoft Active Directory (CMU-AD)

Microsoft Active Directoryをユーザー・リポジトリとして使用する場合、Autonomous AI Databaseを構成して、Microsoft Active Directoryユーザーを認証および認可できます。この統合により、標準的なユーザー管理、DatabaseのVault、Real Application SecurityまたはVirtual Private Databaseのいずれを使用するかに関係なく、厳密なデータベース・ユーザーアクセス戦略を実装しながらユーザー・リポジトリの統合を同時に実行できます。

Microsoft Active Directoryとデータベースの統合の詳細は、Microsoft Active DirectoryとAutonomous AI Databaseを参照してください。

Kerberos

Kerberosは、共有秘密を使用するサード・パーティの認証システムです。Kerberosは、サード・パーティがセキュアであることを保障し、シングル・サインオン機能、集中化されたパスワード・ストレージ、データベース・リンク認証、拡張されたPCセキュリティを提供します。Kerberosは、Kerberos認証サーバーを使用して認証を行います。

KerberosのAutonomous AI Databaseサポートは、Oracleユーザーにシングル・サインオンおよび集中化された認証の利点を提供します。詳細は、Kerberosを使用したAutonomous AI Databaseユーザーの認証を参照してください。

CMU-ADを使用したKerberos

Microsoft Active DirectoryユーザーにCMU-AD Kerberos認証を提供するために、CMU-AD上にKerberos認証を構成できます。

Microsoft Active DirectoryユーザーにCMU-AD Kerberos認証を提供するには、Autonomous AI DatabaseでのKerberos認証の有効化で説明されている例に示すように、typeCMUに設定し、外部認証を有効にすることで、CMU-AD上でKerberos認証を有効にできます。

Real Application Securityおよび仮想プライベート・データベース

Oracle Real Application Security (RAS)は、保護対象のビジネス・オブジェクトだけでなく、それらのビジネス・オブジェクトに対する操作権限を持つプリンシパル(ユーザーおよびロール)も網羅するセキュリティ・ポリシーを有効にする宣言モデルを提供します。RASは、先行のOracle Virtual Private Databaseよりも安全かつスケーラブルで、コスト効率に優れています。

Oracle RASを使用すると、アプリケーション・ユーザーはデータベース内だけでなくアプリケーション層でも認証されます。データ・アクセス・パスに関係なく、データベース内のエンドユーザーのネイティブ・セッションに基づいて、データベース・カーネル内でデータ・セキュリティ・ポリシーが適用されます。ユーザーに割り当てられた権限によって、データベース・オブジェクトの行と列に対して実行できる操作のタイプ(選択、挿入、更新および削除)が制御されます。

Oracle RASの詳細は、『Oracle Database 19c Real Application Security管理者および開発者ガイド』Oracle Database Real Applicationセキュリティの概要に関する項または『Oracle Database 26ai Real Application Security管理者および開発者ガイド』を参照してください

専用Exadataインフラストラクチャ上のOracle Autonomous AI Databaseでは、Oracle RASの前身であるOracle Virtual Private Database (VPD)もサポートされています。Oracle VPDをすでに使い慣れている場合は、Autonomous AI Databaseで構成して使用できます。

仮想プライベート・データベースの詳細は、『Oracle Database 19cセキュリティ・ガイド』Oracle Virtual Private Databaseを使用したデータ・アクセスの管理に関する項または『Oracle Database 26aiセキュリティ・ガイド』を参照してください

特権アクセス管理(PAM)

製品およびサービス全体でのユーザー・アクセスおよび権限管理に関するOracleのセキュリティ状態は、Oracle Access Controlに記載されています。

専用Exadataインフラストラクチャ上のAutonomous AI Databaseは、顧客サービスおよびデータベース・データを不正アクセスから分離および保護するように設計されています。Autonomous AI Databaseは、顧客とOracleの間で職務を分離します。お客様は、データベース・スキーマへのアクセスを制御します。Oracleは、Oracle管理インフラストラクチャおよびソフトウェア・コンポーネントへのアクセスを制御します。

専用Exadataインフラストラクチャ上のAutonomous AI Databaseは、お客様が承認した使用のためにデータを保護し、不正アクセスからデータを保護できるように設計されています。これには、Oracle Cloud Opsスタッフによる顧客データへのアクセスの防止も含まれます。Exadataインフラストラクチャ、Autonomous VMsおよびOracleデータベース・データへの不正アクセスから保護するように設計されたセキュリティ対策には、次のものが含まれます。

  • Oracle Databaseデータは、Oracle Transparent Data Encryption (TDE)キーによって保護されます。
  • お客様はTDE暗号化キーへのアクセスを制御し、そのようなキーを外部のOracle Key Vaultキー管理システムに格納することを選択できます。
  • Oracle Database Vaultは、特権ユーザーがAutonomous AI Databaseの顧客データにアクセスできないように事前構成されています。
  • お客様は、オペレータ・アクセス・コントロール・サービス登録を介してオペレータ・アクセスを承認することを選択できます。
  • すべてのオペレータ・アクセスは、FIPS 140-2レベル3のハードウェア多要素認証に基づいており、Oracle承認デバイスで実装されたハードウェアYubiKeyで実装されています。
  • オペレータ・アクションはすべてコマンド・レベルで記録され、ほぼリアルタイムでOCIロギング・サービスまたは顧客SIEMに送信できます。
  • Oracle Operations Access Controlにより、Oracle Cloudの運用およびサポート・スタッフがパフォーマンスの監視および分析に使用するユーザー・アカウントが、Autonomous AI Databaseのデータにアクセスできないことが保証されます。Oracle Cloudの運用およびサポート・スタッフは、Autonomous AI Databaseのデータにアクセスできません。Autonomous Container Databaseを作成する場合、Autonomous AI Database on Dedicated Exadata Infrastructureでは、Oracle Database VaultのOperations Control機能を有効にして構成し、共通ユーザーがコンテナ・データベースに作成されたAutonomous AI Databaseのデータにアクセスできないようにブロックします。

    運用制御がアクティブになっていることを確認するには、Autonomous AI DatabaseでこのSQL文を入力します:
    SELECT * FROM DBA_DV_STATUS;
    ステータスがAPPLICATION CONTROLであれば、運用制御がアクティブになっています。

    ノート:

    操作制御は、以前はアプリケーション制御と呼ばれていました。

Autonomous AI Databaseのセキュリティ機能で説明されているように、PAMはデータ保護のためにDatabase Vaultとともに実装されます。