データベースの保護
データベース・サーバー、それらへのネットワーク・アクセスおよび実際のデータが保護されていることを確認します。
ユーザーおよびネットワーク・アクセスの制御
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト
- データベースに対する認証に使用するパスワードが強力であることを確認します。
- DBシステムをプライベート・サブネットにアタッチします。
プライベート・サブネットにはインターネット接続がありません。NATゲートウェイをセキュアなエグレス・トラフィックに使用し、サービス・ゲートウェイを使用してバックアップ・エンドポイント(オブジェクト・ストレージ)に接続できます。
- ネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用して、DBシステムへの必要なネットワーク・アクセスのみを許可します。
データベース・リソースを削除する権限の制限
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト
DATABASE_DELETE
およびDB_SYSTEM_DELETE
)を付与します。
次のIAMポリシー・ステートメントにより、DBユーザーはデータベース、データベース・システムおよびデータベース・ホームを管理できます。ただし、条件where request.permission!='DB_SYSTEM_DELETE'
は、DBユーザーがデータベースを削除できないことを保証します。
Allow group DBUsers to manage db-systems in tenancy where request.permission!='DB_SYSTEM_DELETE'
Allow group DBUsers to manage databases in tenancy where request.permission!='DATABASE_DELETE'
Allow group DBUsers to manage db-homes in tenancy where request.permission!='DB_HOME_DELETE'
データの暗号化
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト
セキュリティーパッチを適用する
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト
DBセキュリティ・ツールの使用
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト
データ・セーフの有効化
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト
- データ・セーフ監査の保存方針を1年間延長します。
- データ検出によって機密として識別されたデータをマスクします。
- Center for Internet Security (CIS )、一般データ保護規則(GDPR)およびセキュリティ技術実装ガイド(STIG)の国防総省ライブラリによって推奨されるセキュリティ・コントロールを特定するには、セキュリティ評価を使用します。
- データ・セーフ活動監査の主要イベントのアラートを設定します。
Autonomous Databaseのプライベート・エンドポイントの有効化
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト
可能な場合は、Oracle Autonomous Transaction Processingでプライベート・エンドポイントを使用します。- プライベート・エンドポイントを定義する場合は、専用のプライベート・サブネットを使用します。
- プライベート・エンドポイント・ネットワーク・セキュリティ・グループに対して、プロトコルTCPおよび宛先ポートがデータベース・リスナー・ポートと等しいステートレス・イングレス・ルールを定義します。ソースCIDRラベルを、許可されたアクセス権を持つサブネットのみ、またはオンプレミスの場合は動的ルーティング・ゲートウェイ(DRG)に制限します。
- プライベート・エンドポイント・ネットワーク・セキュリティ・グループに対して、プロトコルTCPを使用してステートレス・エグレス・ルールを定義します。宛先CIDRを、許可されたアクセス権を持つサブネットまたはDRG (オンプレミスの場合)のみに制限します。