専用Exadataインフラストラクチャ上のAutonomous Databaseでの構成管理
Oracle Cloud Infrastructure (OCI)上に構築されたAutonomous Database on Dedicated Exadata Infrastructureは、標準で強化されたセキュリティ構成を提供するため、ユーザーやチームは、Autonomous Databaseフリート全体の構成を膨大な時間とコストで管理する必要はありません。
セキュリティのパッチと更新は自動的に実行されるため、セキュリティを最新の状態に保つことを気にする必要はありません。これらの機能によって、機密性の高いデータベースおよびデータを、コスト発生や災害につながるセキュリティの脆弱性や侵害から保護できます。詳細は、Autonomous Databaseのサービス・メンテナンスを参照してください。
Autonomous Virtual Machineの強化
Autonomous Database仮想マシン(Autonomous VM)イメージは、クライアントVMとも呼ばれ、セキュリティが強化されます。Oracle Software Security Assuranceで概説されているように、構成はOracleソフトウェアの開発および保証のプラクティスを介して保護されます。Autonomous VMsには、不正なソフトウェアおよびマルウェアを検出するように構成された適切なウイルス対策およびマルウェア対策ソフトウェアがあります。クライアント仮想マシンにインストールされているOracleのAsset Endpoint Protection and Configuration Managementソフトウェアは、セキュアな承認済プロセスを介してのみ構成変更が行われるようにします。Linux OS監査ログは、OCIのセキュリティ・インシデント検出およびレスポンス・チーム(DART)によるセキュリティ・インシデント検出および監査のために、中央のOCIセキュリティ情報およびイベント管理(SIEM)システムに収集および転送されます。ログは生成日から13か月間保持されます。
DARTは、SIEMダッシュボードの管理、インシデント・アラートの評価、内部サービス・チームのチケットのオープンによる真のポジティブに対する修正アクションの開始を担当します。セキュリティ・イベントで顧客の更新が必要な場合、DARTはグローバル情報セキュリティおよびサービス・チームと協力して顧客の更新を発行します。
すべてのOracle Autonomous VMsはDISA STIG (Defense Information Systems Agency Security Technical Implementation Guide)に準拠しており、ユーザー・アクセス制御、オープン・ポート、不要なパッケージおよびデーモン構成に関する問題に対処するOracle Linux Security Technical Implementation Guideに従って強化されています。Oracle Linux DISA STIGコントロールの完全なリストは、ここにあります。
自律型VMへの手動アクセスは、同社が徹底的に検証したコア・クラウド運用チームに制限されています。オペレーション・チームのメンバーは、Exadataインフラストラクチャにアクセスするには、会社提供のデバイスからOracle Cloud Network Attach(プライベートでセキュアなクラウド・ネットワーク)に配置する必要があります。アクセス資格証明は、有効なサポート・チケットに応じて動的に生成されます。クライアントVMの構成変更には、厳格な内部セキュリティ・レビューおよび変更管理プロセスが含まれます。すべてのツール、スクリプトまたはソフトウェアは、承認されたソフトウェアのライフサイクルおよび変更管理プロセスを経た後にのみインストールまたは変更されます。
インフラストラクチャとAutonomous VMの両方のオペレータ・アクセス制御サービスとの統合により、このアクセスがさらに制限され、アクセス権限および通知が手元に置かれます。オペレータ・アクションは、ほぼリアルタイムでログインし、必要に応じてお客様が構成したSIEMおよびOracleロギング・サービスに送信され、お客様がダウンロードします。ログは、お客様のSIEM/ストレージにダウンロードすることも、OCIオブジェクト・ストレージに無期限にアーカイブすることもできます。詳細は、Operator Access Control serviceを参照してください。
OCIセキュリティ・アーキテクチャでは、OCI独自のマルチレイヤgen2ハードウェアと仮想化セキュリティをさらに定義しています。詳細は、Oracle Cloud Infrastructureセキュリティ・アーキテクチャを参照してください。
構成ドリフト管理
Autonomous Databaseサービス開発およびAutonomous VMイメージ・ビルドは、Oracle企業のセキュリティ・プラクティスの範囲の一部です。この実装は、ここで公開されているOracle Software Security Assuranceプロセスで慎重に制御されます。
自律型VMイメージ構成は、コードによって制御され、構成の変更によって本番リリースに間に合う前に、複数のコード・レビューおよび品質保証(QA)サイクルが行われます。Oracleのソフトウェア構成を保護するための姿勢および標準プラクティスについては、Oracle Software Security Assuranceドキュメントのセキュアな構成の項を参照してください。
Oracle構築のエージェントであるAsset Endpoint Protection and Configuration Management (AEP/CM)ソフトウェアがコントロール・プレーン・サーバーにインストールされ、インフラストラクチャおよびAutonomous VMインスタンスからLinux監査ログおよびLinux Advanced Intrusion Detection Environment (AIDE)ログを収集および転送します。これらのログは、監査目的でOCI中央SIEMに転送されます。ログ・ファイルによる改ざん、外部コンテンツのダウンロード、セキュリティ・ツールの無効化などのSIEMルールでは、Autonomous Virtual Machine Hardeningの説明に従ってDARTが評価して応答するアラートが生成されます。
Autonomous VMインスタンスは、承認されたOracleオペレータおよび自動化を除き、直接sshアクセスから保護されます。オペレータ・アクセス・コントロールを介して、すべてのオペレータ・アクティビティを監視できます。
ファイルの整合性および侵入モニタリング
Autonomous VMsは、特定のビルド内のファイルの数と整合性を維持するファイル侵入および監視ユーティリティを使用して構成されます。ファイル・チェックサムでのファイル数の変更または変更にはフラグが付けられます。AIDEおよびHIDSログも収集され、OCI SIEMに送信され、Autonomous Virtual Machine Hardeningで説明されているDARTプロセスを介して脅威がないかスキャンされます。
AVMCにデプロイされたすべてのソフトウェア・アーティファクト(ツールを含む)は、チェックサムを採用したセキュアな変更管理方法を介してデプロイされ、SSL証明書を使用してデジタル署名されます。これは、証明書署名コード・デプロイメントと呼ばれます。
Autonomous VMの脆弱性スキャンとレスポンス
すべてのAutonomous VMイメージは、Oracle Software Security Assuranceに記載されているOracleのセキュアな開発プラクティスを使用して構築されます。企業セキュリティ・ソリューション保証プロセス(CSSAP)は、Oracleの企業セキュリティ・アーキテクチャ、グローバル情報セキュリティ(GIS)およびOracleのIT組織によって開発されたセキュリティ・レビュー・プロセスで、包括的な情報セキュリティ管理レビューを提供します。GISとCSSAPは、顧客とOracleの情報およびソフトウェア・アセットを保護するために、OCIサービス・チームから独立して運営されています。セキュリティに影響を及ぼす可能性があるすべてのサービス機能は、CSSAPのレビューおよび承認プロセスを受けます。さらに、品質保証(QA)テスト・サイクルでは、適切なスキャン・ツールを使用して、画像がSTIGに準拠していることを確認し、サービス・セキュリティ・ガイドラインを満たし、CSSAPレビューの準備ができています。
AVMCの法医学ツールは、脆弱性管理において重要な役割を果たします。各Autonomous VMホストからのLinux監査ログは、アラート・ルールによって潜在的な脅威が取得および表示される中央のOCI SIEMにアップロードされます。DARTは、Autonomous Virtual Machine Hardeningで説明されているように、これらのアラートに応答します。HIDSおよびウイルス対策ログも同様に処理されます。Common Vulnerabilities and Exposures(CVE)スキャナは、脆弱性の調査結果が分類された中央自動化ツールに結果を送信し、サービス・チームが結果の重大度に比例したタイムスケールでシステムにパッチを適用できるようにチケットをオープンします。スコアが7より大きいすべてのCVEには、30日以内にパッチを適用する必要があります。
ハイパーバイザ、Grid Infrastructure、ストレージおよびクライアント・オペレーティング・システムおよびファームウェアで構成されるインフラストラクチャ・パッチ・バンドルを四半期ごとにスケジュールできます。データベース・リリースの更新およびリリース更新の改訂は、四半期ごとに個別にスケジュールすることもできます。すべてのパッチは、特定のパッチ更新に必要なクラウド自動化ツールとAutonomous Cloud Operationsを使用してステージングおよび適用されます。
ソフトウェア・パッチ開発は、必要に応じて、Oracleのセキュアなソフトウェア開発プラクティス、QAテストおよびCSSAPレビューに従います。パッチ開発者、QAテスター、リリース管理およびパッチ適用操作間の職務分掌により、パッチが顧客のハードウェアにパッチを適用する前に、複数の担当者が関与することが保証されます。
可能な場合は、Linux kspliceなどのツールを使用して、ダウンタイムなしで実行中のシステムに更新が適用されます。更新でコンポーネントの再起動が必要な場合、Oracleはローリング方式でコンポーネントの再起動を実行し、更新プロセス中のサービスの可用性を確保します。パッチ適用の開始時間をスケジュールして、ビジネスSLAに適合させることができます。パッチ適用は、インフラストラクチャ・コンポーネント(GI、OS)および各DBMSホームに対して個別にスケジュールできます。
脆弱性スキャンとパッチ適用
Autonomous Database on Dedicated Exadata Infrastructureは、商用脆弱性スキャン・ツールを使用して、外部および内部の脆弱性スキャン(サポート終了システムの検出を含む)を頻繁に実行します。特定された脆弱性は、Cloud Compliance Standard for Vulnerability Managementによって調査され、解決まで追跡されます。サードパーティおよびオープンソースのライブラリの更新を評価および識別するために、様々な技術的手段が使用されます。環境にデプロイされたシステムの認証された脆弱性スキャン、およびデプロイメント前のシステム・イメージのスキャンが実装され、そのようなライブラリを識別し、セキュリティ修正が必要かどうかを判断します。企業ポリシーとビジネス・ユニットの手順は、これらのプログラムを管理し、毎年評価します。
Autonomous Databaseでは、メカニズムを使用して、複数のソース(脆弱性スキャンを含む)のセキュリティ結果を集約し、適切なサービス・チームに結果を割り当てます。このシステムにより、サービスチームは調査結果を管理し、チケット発行システムと統合して、必要に応じて通知や自動エスカレーションなど、改善作業の自動キューイングを行うことができます。また、組織全体の修復作業がまとめられ、日々の脆弱性管理作業が促進されます。
Oracle Software Security Assurance(OSSA)では、顧客がオンプレミスで使用するか、Oracle Cloudを通じて提供するかに関係なく、製品の設計、構築、テストおよびメンテナンスにセキュリティを構築するためのOracleの方法論が定義されています。Oracle Corporate Securityポリシー(脅威および脆弱性管理に対処するポリシーを含む)は、毎年レビューされ、必要に応じて更新されます。少なくとも毎年、独立した第三者がシステム侵入テストを実施しています。
すべてのOracle顧客に最高のセキュリティ・ポスチャを提供するために、Oracleは、顧客に課す可能性のあるリスクに基づいて、重大なセキュリティ脆弱性を修正します。最も深刻なリスクの問題は、最初に解決されます。一般的に、セキュリティ脆弱性の修正は、以下の注文で作成されます。
- メイン・コード行(製品の次のメジャー・リリース用に開発されるコード行)。
- 脆弱なサポート対象バージョンごとに、クリティカル・パッチ・アップデート・パッチを作成し、そのサポート対象バージョンに別のパッチ・セットが計画されている場合は、次のパッチ・セットで修正を適用します。
パッチおよび更新は、継続的インテグレーション/継続的デプロイメント(CI/CD)ツールによって実装されます。複数のアベイラビリティ・ドメイン間に依存関係が存在する場合(ドメイン・ネーム・サービスの更新など)を除き、変更は各リージョンおよびアベイラビリティ・ドメインに個別に実装されます。Oracle Patching and Security Alerts Implementation Policyには、Oracle Critical Patch Update and Security Alertのアップデートおよび関連する推奨事項のデプロイメントが必要です。このポリシーには、リスクベースのアプローチを使用してOracle以外のテクノロジの脆弱性を修正するための要件も含まれています。詳細は、クリティカル・パッチ・アップデートおよびセキュリティ・アラート・プログラムを参照してください。
Oracleは、四半期メンテナンスとともに月次インフラストラクチャ・セキュリティ・メンテナンス・アクティビティをスケジュールおよび実行します。ただし、これらのセキュリティ・パッチは、CVSSスコアが7以上の脆弱性の修正など、重要なセキュリティ更新がある月のみに適用されます。
- Oracleのスケジュール前にプロビジョニングされたExadataインフラストラクチャは、セキュリティ・メンテナンスに適格です。
- 月次セキュリティ・メンテナンス・プロセスは、データベース・サーバーを更新して、重要なセキュリティの脆弱性および製品の問題を修正します。また、既知のセキュリティの脆弱性および製品の問題を解決するExadata Storageソフトウェア・イメージにストレージ・サーバーを更新します。
Oracle Cloud Security Testingポリシー
Oracleは、Oracle Cloudインフラストラクチャ、プラットフォームおよびアプリケーションに対して侵入および脆弱性のテストとセキュリティ評価を定期的に実行し、Oracle Cloudサービスの全体的なセキュリティを検証および改善します。However, Oracle does not assess or test any components (including non-Oracle applications, non-Oracle databases or other non-Oracle software, code or data, as may be applicable) that you manage through or introduce into – including introduction through your development in or creation in - the Oracle Cloud services (the "Customer Components").
Oracle Customer Security Testing Policyでは、Oracle顧客がOracleオンプレミス製品およびOracle Cloud Services(以下「セキュリティ・テスト」または「セキュリティ・テスト」といいます)に対して実行できる侵入テストや脆弱性スキャンなどのセキュリティ・テスト活動について説明します。これは、まとめて「テスト・ポリシー」と呼ばれ、Oracle Cloud Servicesのサービス仕様に含まれています。このポリシーでは、顧客コンポーネントに含まれるサードパーティのマテリアルのテストには対応せず、実施する権利も提供されません。サービス・メンテナンス・リクエストの提出に必要な権限を持つOracle Accountのお客様、およびそのようなテストの対象となる環境にサインインしているお客様のみが、脆弱性または侵入テストを実施できます。
Oracle Cloudサービス契約で特に許可または制限されている場合を除き、Autonomous Databaseサービスへのシステム・レベルのアクセス権を持つサービス管理者は、Oracle Cloudでのセキュリティ・テストで説明されている制限に従って、Autonomous Databaseサービスに含まれる顧客コンポーネントの侵入および脆弱性テストを実行できます。
セキュリティ・テストのFAQを参照して、セキュリティ・テストに関する質問に対する回答を見つけることもできます。
エンドポイント、マルウェア、ランサムウェア保護
Autonomous VMクライアント・マシンは、次に説明するように、エンドポイント、マルウェアおよびランサムウェア保護を使用して構築されます:
- 適切なウイルス対策およびマルウェア対策ツールが定期的にインストールおよび更新されます。
- クライアント・ネットワーク上の
ssh/sftpアクセスはクローズされます。 - クライアントVM上の名前付きユーザー・アカウントは、必要なプロセスのみに限定されます。
- Autonomous VMsはDISA STIG標準に強化され、未使用のポートが開いていないこと、またはシステムでデーモンが実行されていないことを確認します。
- Oracleオペレータ・アクセスは、お客様が選択したOCIリージョン内のOracleの管理ネットワークへのセキュアなアウトバウンド接続を介して行われます。
- Oracleオペレータ・アクションは、オペレータ・アクセス・コントロール・サービスの統合によって制御および監査できます。
セキュリティ・インシデントの管理
セキュリティ・インシデント検出およびレスポンス・チーム(DART)のセキュリティ・アナリストの専任チームは、セキュリティ・イベント・ダッシュボードを24時間365日管理し、アラートを処理して真のポジティブをフィルタします。真陽性が検出されると、イベントの重大度と影響に基づいて適切な応答が開始されます。これには、さらなる分析、根本原因の評価、サービス・チームとの修正、顧客とのコミュニケーションが含まれます。
Oracleのセキュリティ・インシデント・レスポンス・ポリシーの概要は、セキュリティ・インシデント・レスポンスを参照してください。