データベースの保護

ユーザーおよびネットワーク・アクセスの制御

Enterprise Architect, Security Architect, Data Architect

パスワード、プライベート・サブネットおよびネットワーク・セキュリティ・グループを使用して、ユーザーおよびネットワーク・アクセスを制御します。

データベースに対する認証に使用されるパスワードが強力であることを確認します。
DBシステムをプライベート・サブネットに接続します。
プライベート・サブネットにはインターネット接続がありません。NATゲートウェイをセキュアなエグレス・トラフィックに使用し、サービス・ゲートウェイをバックアップ・エンドポイント(オブジェクト・ストレージ)に接続できます。
ネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用して、DBシステムへの必要なネットワーク・アクセスのみを許可します。

データベース・リソースを削除する権限の制限

Enterprise Architect, Security Architect, Data Architect

データベースの不注意または悪意のある削除を防止するには、削除権限(DATABASE_DELETEおよびDB_SYSTEM_DELETE)を最小限のユーザーおよびグループに付与します。

次のIAMポリシー・ステートメントを使用すると、DBユーザーはデータベース、データベース・システムおよびデータベース・ホームを管理できます。ただし、条件where request.permission!='DB_SYSTEM_DELETE'は、DBユーザーがデータベースを削除できないようにします。

Allow group DBUsers to manage db-systems in tenancy where request.permission!='DB_SYSTEM_DELETE'
Allow group DBUsers to manage databases in tenancy where request.permission!='DATABASE_DELETE'
Allow group DBUsers to manage db-homes in tenancy where request.permission!='DB_HOME_DELETE'

データの暗号化

Enterprise Architect, Security Architect, Data Architect

Oracle Cloud Infrastructureに作成するすべてのデータベースは、透過的データ暗号化(TDE)を使用して暗号化されます。移行されたデータベースも暗号化されていることを確認します。

TDEマスター・キーを定期的にローテーションします。推奨のローテーション期間は90日以内です。

キーの保護と管理

Enterprise Architect, Security Architect, Data Architect

Transparent Data Encryption (TDE)を使用して、キーを保護および管理します。

TDEは、機密データの暗号化に使用されるOracle Databaseの機能です。より複雑な設定や大規模な組織では、データベース、アプリケーション、サーバー間で暗号化キーを管理することが複雑なタスクになる可能性があるため、一元化されたキー管理が必要です。一元化されたキー管理によって、すべての暗号化キー、Oracleウォレット、Javaキーストアおよびその他のシークレットを安全に保管および管理できる統合プラットフォームが提供されるため、このことが簡素化されます。この一元化により、管理オーバーヘッドが軽減され、セキュリティ体制が改善され、企業全体で一貫したキー管理プラクティスが保証されます。

セキュリティ・パッチの適用

Enterprise Architect, Security Architect, Data Architect

Oracle Databaseセキュリティ・パッチ(Oracle Critical Patch Updates)を適用して、既知のセキュリティ上の問題を軽減し、パッチを最新の状態に保ちます。

DBセキュリティ・ツールの使用

Enterprise Architect, Security Architect, Data Architect

Oracle Database Security Assessment Toolは、Oracle Cloud InfrastructureのOracleデータベースの自動的なセキュリティ構成チェックを提供します。Oracle Audit Vault and Database Firewall (AVDF)は、データベースの監査ログをモニターしてアラートを生成します。

データ・セーフの有効化

Enterprise Architect, Security Architect, Data Architect

Data Safeは、Oracleクラウドおよびオンプレミス・データベースの統合コントロール・センターです。データ・セーフを使用して、データベースおよびデータ・セキュリティ構成を評価し、ユーザー・アカウントに関連するリスクを検出し、既存の機密データを識別し、データを保護するためのコントロールを実装し、ユーザー・アクティビティを監査します。

Data Safe監査保持ポリシーを1年に拡張します。
データ検出によって機密として識別されるデータをマスクします。
セキュリティ評価を使用して、Center for Internet Security (CIS)、General Data Protection Regulation (GDPR)およびDepartment of Defense Library of Security Technical Implementation Guides (STIG)によって、推奨されるセキュリティ制御を特定します。
データ・セーフ・アクティビティ監査でキー・イベントのアラートを設定します。

Autonomous Databasesのプライベート・エンドポイントの有効化

Enterprise Architect, Security Architect, Data Architect

可能な場合は、Oracle Autonomous Databaseでプライベート・エンドポイントを使用します。

プライベート・エンドポイントは、共有自律型データベースへのパブリック・アクセスを排除するために使用されます。転送ルーティングやサービス・ゲートウェイの使用を必要とせずに、Oracle Cloud InfrastructureでVCNを使用したデータベースのすべてのトラフィックはプライベートのままです。

プライベート・エンドポイントを定義する場合は、専用のプライベート・サブネットを使用します。
プライベート・エンドポイント・ネットワーク・セキュリティ・グループに対して、プロトコルTCPおよび宛先ポートがデータベース・リスナー・ポートと等しいステートレス・イングレス・ルールを定義します。ソースCIDRラベルをサブネットのみに制限するか、オンプレミスではDynamic Routing Gateways (DRG)でアクセスを許可します。
プライベート・エンドポイント・ネットワーク・セキュリティ・グループに対して、プロトコルTCPを使用したステートレス・エグレス・ルールを定義します。宛先CIDRをサブネットのみに制限するか、オンプレミスではDRGにアクセスを許可して制限します。

Oracle Database Maximum Security Architectureの実装

Oracle Maximum Security Architectureは、データベース内の機密データを保護するための堅牢なフレームワークを提供します。データベース・セキュリティに対する包括的なアプローチを提供し、評価、検出および防止の3つの重要な領域に焦点を当てます。データベースの現在の状態を評価することで、組織は攻撃者が悪用する可能性のある脆弱性と弱点を特定できます。これには、データベース構成、ユーザー・アクセス制御およびデータ保護メジャーの評価が含まれます。

不適切または不正アクセスの試行を検出することは、次の重要な防御層です。Oracleの高度な監査機能により、組織はデータベース・アクティビティを監視し、疑わしい動作を特定し、潜在的な脅威に迅速に対応できます。アラートを設定し、主要なデータベース・イベントを監視することで、管理者は重大な損傷を引き起こす前に攻撃を検出および軽減できます。データへの不正アクセスを防止することは、Oracleのセキュリティ・アーキテクチャの最終的な要塞です。これには、強力な認証メカニズム、アクセス制御リストおよび暗号化技術の実装が含まれます。職務を分離し、最小限の権限の原則を使用し、仮想プライベート・データベースを使用することで、組織は認可されたユーザーのみが機密データにアクセスできるようにすることで、不正な変更や開示を防止できます。