1. Oracle Cloud Infrastructureのベスト・プラクティスのフレームワーク
  2. データベースの保護

データベースの保護

データベース・サーバー、それらへのネットワーク・アクセスおよび実際のデータが保護されていることを確認します。

ユーザーおよびネットワーク・アクセスの制御

エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト

パスワード、プライベート・サブネットおよびネットワーク・セキュリティ・グループを使用して、ユーザーおよびネットワーク・アクセスを制御します。
  • データベースに対する認証に使用するパスワードが強力であることを確認します。
  • DBシステムをプライベート・サブネットにアタッチします。

    プライベート・サブネットにはインターネット接続がありません。NATゲートウェイをセキュアなエグレス・トラフィックに使用し、サービス・ゲートウェイを使用してバックアップ・エンドポイント(オブジェクト・ストレージ)に接続できます。

  • ネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用して、DBシステムへの必要なネットワーク・アクセスのみを許可します。

データベース・リソースを削除する権限の制限

エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト

データベースが誤って削除されたり、悪意のある方法で削除されないようにするには、最低限のユーザーおよびグループに削除権限(DATABASE_DELETEおよびDB_SYSTEM_DELETE)を付与します。

次のIAMポリシー・ステートメントにより、DBユーザーはデータベース、データベース・システムおよびデータベース・ホームを管理できます。ただし、条件where request.permission!='DB_SYSTEM_DELETE'は、DBユーザーがデータベースを削除できないことを保証します。 

Allow group DBUsers to manage db-systems in tenancy where request.permission!='DB_SYSTEM_DELETE'
Allow group DBUsers to manage databases in tenancy where request.permission!='DATABASE_DELETE'
Allow group DBUsers to manage db-homes in tenancy where request.permission!='DB_HOME_DELETE'

データの暗号化

エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト

Oracle Cloud Infrastructureに作成されるすべてのデータベースは、透過的データ暗号化(TDE)を使用して暗号化されます。移行されたデータベースも暗号化されていることを確認します。
TDEマスター・キーを定期的にローテーションします。推奨のローテーション期間は90日以内です。

セキュリティーパッチを適用する

エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト

Oracle Databaseセキュリティ・パッチ(Oracleクリティカル・パッチ・アップデート)を適用して、既知のセキュリティ問題を軽減し、パッチを最新の状態に保ちます。

DBセキュリティ・ツールの使用

エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト

Oracle Database Security Assessment Toolによって、Oracle Cloud InfrastructureのOracleデータベースの自動的なセキュリティ構成チェックが提供されます。Oracle Audit Vault and Database Firewall (AVDF)は、データベースの監査ログをモニターしてアラートを生成します。

データ・セーフの有効化

エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト

データ・セーフは、Oracleクラウドおよびオンプレミス・データベース用の統合されたコントロール・センターです。データ・セーフを使用して、データベースおよびデータ・セキュリティ構成の収集、ユーザー・アカウントに関連するリスクの検出、既存の機密データの識別、データを保護するためのコントロールの実装、およびユーザー・アクティビティの監査を行います。
  • データ・セーフ監査の保存方針を1年間延長します。
  • データ検出によって機密として識別されたデータをマスクします。
  • Center for Internet Security (CIS )、一般データ保護規則(GDPR)およびセキュリティ技術実装ガイド(STIG)の国防総省ライブラリによって推奨されるセキュリティ・コントロールを特定するには、セキュリティ評価を使用します。
  • データ・セーフ活動監査の主要イベントのアラートを設定します。

Autonomous Databaseのプライベート・エンドポイントの有効化

エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト

可能な場合は、Oracle Autonomous Transaction Processingでプライベート・エンドポイントを使用します。
プライベート・エンドポイントは、共有自律型データベースへのパブリック・アクセスを排除するために使用されます。データベースのすべてのトラフィックは、転送ルーティングやサービス・ゲートウェイの使用を必要とせず、Oracle Cloud InfrastructureのVCNを使用してプライベートのままです。
  • プライベート・エンドポイントを定義する場合は、専用のプライベート・サブネットを使用します。
  • プライベート・エンドポイント・ネットワーク・セキュリティ・グループに対して、プロトコルTCPおよび宛先ポートがデータベース・リスナー・ポートと等しいステートレス・イングレス・ルールを定義します。ソースCIDRラベルを、許可されたアクセス権を持つサブネットのみ、またはオンプレミスの場合は動的ルーティング・ゲートウェイ(DRG)に制限します。
  • プライベート・エンドポイント・ネットワーク・セキュリティ・グループに対して、プロトコルTCPを使用してステートレス・エグレス・ルールを定義します。宛先CIDRを、許可されたアクセス権を持つサブネットまたはDRG (オンプレミスの場合)のみに制限します。

さらに学ぶ