ExadataおよびAutonomous DatabasesへのOracle Data Safeの接続
このリファレンス・アーキテクチャでは、ExadataおよびAutonomousデータベースをOracle Data Safeに接続する様々な方法について説明します。また、特定のターゲット・データベースへの接続を安全にデプロイするために必要なセキュリティ測定についても説明します。
Oracle Data Safeは、データ・セキュリティに重点を置いた完全統合型のリージョン別クラウド・サービスです。これは、Oracleデータベース内の機密データと規制対象データを保護するためのOracle Cloud Infrastructure (OCI)の包括的で統合された機能セットを提供します。
Oracle Data Safeは、Oracle Autonomous DatabaseおよびOCIで実行されているデータベースに不可欠なセキュリティ・サービスを提供します。Data Safeは、オンプレミス・データベース、Oracle Exadata Cloud@Customerおよびマルチクラウド・デプロイメントもサポートしています。Oracle Databaseのすべてのお客様は、データ・セーフを使用して構成およびユーザー・リスクの評価、ユーザー・アクティビティのモニターと監査、機密データの検出、分類およびマスクを行うことで、データ侵害のリスクを軽減し、コンプライアンスを簡素化できます。
欧州連合(EU)一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)などのコンプライアンス法では、企業は顧客のプライバシーを保護する必要があります。様々なホスト・データベースを安全かつ効率的に実行するには、このデータのセキュリティを管理する方法が必要です。Oracle Data Safeは、データの機密性を理解し、データへのリスクの評価、機密データのマスク、セキュリティ制御の実装と監視、ユーザー・セキュリティの評価、ユーザー・アクティビティのモニター、およびデータ・セキュリティ・コンプライアンス要件への対応を支援します。
- セキュリティ・パラメータ
- 使用中のセキュリティ・コントロール
- ユーザーの役割と権限
- Center for Internet Security (CIS)構成- Oracle Database 12.2以降で使用可能
- セキュリティ技術導入ガイドライン(STIG) - Oracle Database 21c以降で使用可能
- EU GDPR - 欧州連合一般データ保護規則
- PCI-DSS - Payment Card Industry Data Security Standard、および
- HIPPA- 医療保険の携わる行性と責任についてに関する法律
データ・マスキング(静的データ・マスキングとも呼ばれる)は、機密データを架空でありながら現実的なデータで完全に置き換えるプロセスである。
データ・セーフは、150を超える事前定義された機密データ型のライブラリに基づいて機密データを検出および分類できます。これは、カスタム・データ型でも拡張できます。
アーキテクチャ
- Exadata Database ServiceまたはExadata Cloud@Customer / Regional Cloud@Customer / Dedicated Region
- Autonomous Databases
このリファレンス・アーキテクチャでは、プライベートIPアドレスを持つデータベースのみについて説明します。パブリックIPアドレスを使用してデータベースを構成するには、セキュリティの観点からはお薦めしません。
- Oracle Cloud Infrastructure用のWell-architectedフレームワーク
- Oracle CloudのCIS Foundations Benchmarkを満たす安全なランディング・ゾーンのデプロイ
- CIS準拠のOCIランディング・ゾーン(GitHubリポジトリ)
ノート:
これらのリソースにアクセスするには、次の「詳細」トピックを参照してください。Exadata Database ServiceまたはExadata Cloud@Customer
Oracle Exadata Database Serviceは、Oracle Cloud Infrastructure (OCI)データ・センターのサービスとしてOracle Exadata Database Machineを提供します。
マネージド・サービスであるExadata Cloud@Customerは、オンプレミスのデータ・センターでホストされるExadata Database Serviceを提供します。
Exadata Database Service
Exadata Database Serviceは、OCIにデプロイされているため、オンプレミス・ネットワークに接続する必要はありません。そのため、プライベート・エンドポイントを直接使用できます。必要な接続を設定した後、ウィザードを使用して、データベースをデータ・セーフでターゲットとして構成できます。
Exadata Cloud@Customer
- オンプレミス・コネクタ
- プライベート・エンドポイント
次の図では、Oracle Cloudとオンプレミス・データ・センター間の接続を示しています。この図は、選択するオプションを示しています。サイト間VPNまたはOCI FastConnect接続がある場合は、プライベート・エンドポイントを使用して、Exadata Cloud@Customerターゲット・データ・セーフ・データベースに接続できます。VPNまたはOCI FastConnectがない場合は、オンプレミス・コネクタをデプロイして、Exadata Cloud@Customerターゲットのデータ・セーフ・データベースに接続できます。このオンプレミス・コネクタは、TLSトンネルを介してデータ・セーフに接続します。
図に示すように、発信的で永続的でセキュアな自動化トンネルは、クラウド自動化コマンドをVMクラスタに提供するために、オンプレミス・データ・センター内のCPSインフラストラクチャをOCIリージョン内のOracle管理の管理VCNに接続することに注意してください。これはCPSインフラストラクチャの送信トンネルであり、データ・セーフ接続には使用できません。詳細は、次の「Architecture Exadata Cloud@Customer」のリンクを参照してください。
- アーキテクチャExadata Cloud@Customer
- アーキテクチャExadata Databaseサービス
- プライベート・エンドポイントを使用したCloud@Customerデータベースの設定
- ウィザードを使用したCloud@Customerデータベースの設定
- Oracle Data SafeによるオンプレミスのOracle Databasesのセキュリティの簡素化
- Exadata Database Serviceのセキュリティ制御
ノート:
これらのリソースにアクセスするには、次の「詳細」トピックを参照してください。Autonomous Databases
共有インフラストラクチャ上の自律型データベースは、Data Safeで使用できます。自律型データベースは、ウィザードを介して、または「自律型データベースの詳細」ページから1回のクリックで登録できます。Dedicated Region Cloud@Customerの自律型データベースを接続するステップは、データ・セーフ・ドキュメントのこの部分で説明しています。
アーキテクチャ・コンポーネント
- Tenancy
Oracle Autonomous Transaction Processingは、トランザクション処理ワークロード用に最適化された、自動運転、自己保護および自己修復が可能なデータベース・サービスです。ハードウエアの構成や管理、ソフトウェアのインストールを行う必要はありません。Oracle Cloud Infrastructureは、データベースの作成に加え、データベースのバックアップ、パッチ適用、アップグレードおよびチューニングを処理します。
- リージョン
Oracle Cloud Infrastructureリージョンとは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的領域のことです。リージョンは他のリージョンから独立しており、長距離の場合は複数の国または大陸にまたがる領域を分離できます。
- コンパートメント
コンパートメントは、Oracle Cloud Infrastructureテナンシ内のクロスリージョン論理パーティションです。コンパートメントを使用して、Oracle Cloudでリソースを編成し、リソースへのアクセスを制御して、使用量の割当てを設定します。特定のコンパートメント内のリソースへのアクセスを制御するには、誰がリソースにアクセスできるか、どのアクションを実行できるかを指定するポリシーを定義します。
- 可用性ドメイン
可用性ドメインは、リージョン内の独立したスタンドアロン・データ・センターです。各可用性ドメイン内の物理リソースは、他の可用性ドメイン内のリソースから分離されているため、フォルト・トレランスが提供されます。可用性ドメインどうしは、電力や冷却、内部可用性ドメイン・ネットワークなどのインフラを共有しません。そのため、ある可用性ドメインでの障害がリージョン内の他の可用性ドメインに影響を及ぼすことはほとんどありません。
- フォルト・ドメイン
フォルト・ドメインは、可用性ドメイン内のハードウェアおよびインフラストラクチャのグループです。各可用性ドメインには、独立した電源とハードウェアを備えた3つのフォルト・ドメインがあります。複数のフォルト・ドメインにリソースを分散すると、アプリケーションは、フォルト・ドメイン内の物理サーバー障害、システム・メンテナンスおよび電源障害を許容できます。
- 仮想クラウド・ネットワーク(VCN)およびサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義ネットワークです。VCNは、従来のデータ・センター・ネットワークと同様に、ネットワーク環境の完全な制御を可能にします。VCNには重複しない複数のCIDRブロックを含めることができ、VCNの作成後にそれらを変更できます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。
- ロード・バランサー
Oracle Cloud Infrastructure Load Balancingサービスは、単一のエントリ・ポイントからバック・エンド内の複数のサーバーへの自動化されたトラフィック分散を提供します。ロード・バランサは、様々なアプリケーションへのアクセスを提供します。
- セキュリティ・リスト
サブネットごとに、サブネットの入出力を許可する必要があるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。
- NATゲートウェイ
NATゲートウェイを使用すると、VCN内のプライベート・リソースは、受信インターネット接続にそれらのリソースを公開することなく、インターネット上のホストにアクセスできます。
- サービス・ゲートウェイ
サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。VCNからOracleサービスへのトラフィックは、Oracleネットワーク・ファブリック上を移動し、インターネットを通過することはありません。
- クラウド・ガード
Oracle Cloud Guardを使用して、Oracle Cloud Infrastructure内のリソースのセキュリティをモニターおよびメンテナンスできます。クラウド・ガードはディテクタ・レシピを使用します。ディテクタ・レシピを定義して、セキュリティの弱点についてリソースを調査し、オペレータとユーザーにリスクのあるアクティビティを監視します。構成の誤りや安全でないアクティビティが検出されると、Cloud Guardは修正アクションを推奨し、構成可能なレスポンダ・レシピに基づいてそれらのアクションの実行を支援します。
- セキュリティ・ゾーン
セキュリティ・ゾーンでは、データの暗号化やコンパートメント全体のネットワークへのパブリック・アクセスの防止などのポリシーを適用することで、Oracleのセキュリティのベスト・プラクティスが最初から保証されます。セキュリティ・ゾーンは、同じ名前のコンパートメントに関連付けられ、コンパートメントとそのサブコンパートメントに適用されるセキュリティ・ゾーン・ポリシーまたはレシピが含まれます。セキュリティ・ゾーン・区分に標準コンパートメントを追加したり、移動することはできません。
- オブジェクト・ストレージ
オブジェクト・ストレージでは、データベースのバックアップ、分析データ、イメージおよびビデオなどのリッチ・コンテンツなど、あらゆるコンテンツ・タイプの構造化データおよび非構造化データをすばやくアクセスできます。インターネットから直接またはクラウド・プラットフォーム内から、安全かつセキュアにデータを格納し、取得できます。パフォーマンスやサービスの信頼性を低下させることなく、ストレージをシームレスに拡張できます。迅速、即時、頻繁にアクセスする必要のあるホット・ストレージに標準ストレージを使用します。長期間保存し、ほとんどまたはめったにアクセスしないコールド・ストレージにアーカイブ・ストレージを使用します。
- FastConnect
Oracle Cloud Infrastructure FastConnectは、データ・センターとOracle Cloud Infrastructureとの間に、専用のプライベート接続を簡単に作成する方法を提供します。FastConnectは、インターネット・ベースの接続と比較して、高帯域幅のオプションとより信頼性の高いネットワーキング・エクスペリエンスを提供します。
- ローカル・ピアリング・Gateway (LPG)
LPGを使用すると、1つのVCNを同じリージョン内の別のVCNとピアリングできます。ピアリングとは、VCNsがプライベートIPアドレスを使用して通信することを意味し、トラフィックがインターネットをトラバースしたり、オンプレミス・ネットワークを経由してルーティングしたりする必要はありません。
- Autonomous Transaction Processing Autonomous Transaction Processingは、ミッションクリティカルなトランザクション処理、トランザクションと分析の混合、IoT、JSONドキュメントなど、様々なアプリケーションの要求に応じて即座にスケーリングできる、自動運転、自己保護および自己修復のデータベース・サービスを提供します。Autonomous Databaseを作成するときに、3種類のExadataインフラストラクチャのどちらかにデプロイできます:
- 共有: シンプルで柔軟な選択肢です。データベースの配置からバックアップおよび更新まで、データベースのライフ・サイクルのあらゆる側面がOracleによって自律的に操作されます。
- パブリック・クラウド専用。パブリック・クラウドの選択におけるプライベート・クラウド。単一のテナントのみのための完全に専用のコンピューティング、ストレージ、ネットワーク、およびデータベース・サービスで、最高レベルのセキュリティ分離とガバナンスを実現します。
- Cloud@Customer専用。データ・センターのExadata Database Machineシステムで実行されている専用インフラストラクチャ上のAutonomous Databaseと、それをOracle Cloudに接続するネットワーキング構成。
- Autonomous Data Warehouse
Oracle Autonomous Data Warehouseは、データ・ウェアハウス・ワークロード用に最適化された、自動運転、自己保護および自己修復が可能なデータベース・サービスです。ハードウエアの構成や管理、ソフトウェアのインストールを行う必要はありません。Oracle Cloud Infrastructureは、データベースの作成に加え、データベースのバックアップ、パッチ適用、アップグレードおよびチューニングを処理します。
- Autonomous Transaction Processing
Oracle Autonomous Transaction Processingは、トランザクション処理ワークロード用に最適化された、自動運転、自己保護および自己修復が可能なデータベース・サービスです。ハードウエアの構成や管理、ソフトウェアのインストールを行う必要はありません。Oracle Cloud Infrastructureは、データベースの作成に加え、データベースのバックアップ、パッチ適用、アップグレードおよびチューニングを処理します。
- Exadata DBシステム
Exadata Database Serviceでは、クラウド内でExadataの機能を活用することができます。ニーズの増加時にデータベース・コンピュート・サーバーおよびストレージ・サーバーをシステムに追加できるフレキシブルX8Mシステムをプロビジョニングできます。X8M systems offer RoCE (RDMA over Converged Ethernet) networking for high bandwidth and low latency, persistent memory (PMEM) modules, and intelligent Exadata software.X8MまたはX9Mシステムをプロビジョニングするには、クォータ・ラックのX8システムと同等のシェイプを使用し、プロビジョニング後いつでもデータベース・サーバーとストレージ・サーバーを追加します。
レコメンデーション
- VCN
VCNを作成するときには、必要なCIDRブロックの数を決定し、VCN内のサブネットにアタッチする予定のリソースの数に基づいて各ブロックのサイズを決定します。標準のプライベートIPアドレス領域内にあるCIDRブロックを使用します。
プライベート接続を設定する他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ)と重複しないCIDRブロックを選択します。
VCNを作成した後、そのCIDRブロックを変更、追加および削除できます。
サブネットを設計するときには、トラフィック・フローおよびセキュリティ要件を考慮してください。特定の層またはロール内のすべてのリソースを同じサブネットにアタッチします。このサブネットはセキュリティ境界として機能します。
リージョン・サブネットを使用します。
- セキュリティ
Oracle Cloud Guardを使用して、Oracle Cloud Infrastructure内のリソースのセキュリティを事前対策してモニターおよび維持します。クラウド・ガードはディテクタ・レシピを使用します。ディテクタ・レシピを定義して、セキュリティの弱点についてリソースを調査し、オペレータおよびユーザーにリスクのあるアクティビティを監視します。たとえば、クラウド・ガードには、データベースがデータ・セーフに登録されていない場合にアラートを送信できるディテクタ・レシピが用意されています。
最大限のセキュリティを必要とするリソースの場合、Oracleではセキュリティ・ゾーンを使用することをお薦めします。セキュリティ・ゾーンは、ベスト・プラクティスに基づくセキュリティ・ポリシーのOracle定義レシピに関連付けられたコンパートメントです。たとえば、セキュリティ・ゾーン内のリソースには、パブリック・インターネットからアクセスできない必要があり、顧客管理キーを使用して暗号化する必要があります。セキュリティ・ゾーンでリソースを作成および更新すると、Oracle Cloud Infrastructureでは、その操作がセキュリティ・ゾーン・レシピのポリシーに対して検証され、いずれかのポリシーに違反する操作が拒否されます。
- クラウド・ガード
Oracleが提供するデフォルト・レシピをクローニングおよびカスタマイズして、カスタム・ディテクタおよびレスポンダ・レシピを作成します。これらのレシピを使用すると、警告を生成するセキュリティ違反のタイプと、それらに対して実行できるアクションを指定できます。たとえば、可視性がpublicに設定されているオブジェクト・ストレージ・バケットを検出できます。
クラウド・ガードをテナンシ・レベルで適用して、広範な範囲をカバーし、複数の構成を維持する管理上の負担を軽減します。
また、管理対象リスト機能を使用して、特定の構成をディテクタに適用することもできます。
- ネットワーク・セキュリティ・グループ(NSG)
NSGを使用して、特定のVNICに適用されるイングレスおよびエグレス・ルールのセットを定義できます。NSGでは、VCNのサブネット・アーキテクチャとアプリケーションのセキュリティ要件を分離できるため、セキュリティ・リストではなくNSGを使用することをお薦めします。
- ロード・バランサの帯域幅
ロード・バランサの作成時に、固定帯域幅を提供する事前定義済シェイプを選択するか、帯域幅範囲を設定するカスタム(フレキシブル)シェイプを指定して、トラフィック・パターンに基づいて帯域幅を自動的にスケーリングできます。どちらのアプローチでも、ロード・バランサの作成後はいつでもシェイプを変更できます。
詳細の参照
ExadataおよびAutonomous Databases用のOracle Data Safeの実装の詳細をご覧ください。
次の追加のリソースを確認します。
- Oracle Cloud Infrastructure用のWell-architectedフレームワーク
- Oracle CloudのCIS Foundations Benchmarkを満たす安全なランディング・ゾーンのデプロイ
- Exadata Cloud@Customerの技術アーキテクチャ
- Oracle Exadata Database Service on Dedicated Infrastructureテクニカル・アーキテクチャ
- Oracle Data Safeプライベート・エンドポイントを使用したExadata Cloud@Customerデータベースの登録
- ウィザードを使用したCloud@Customerデータベースの設定
- Oracle Data SafeによるオンプレミスのOracle Databasesのセキュリティの簡素化
- Exadata Cloud Serviceのセキュリティ制御
- Exadata Cloud@Customer向けのOracle Operator Access Control
- GitHubのOCI-landing-zones / terraform-OCI-core-landingzone (OCIコア・ランディング・ゾーン)。
- GitHubのoci-landing-zones / oci-landing-zone-operating-entities (営業エンティティ・ランディング・ゾーン)