Oracle Cloud VMware Solutionによるデータ保護のためのOCIセキュリティ・サービスの使用
Oracle Cloud VMware Solutionは、お客様のテナンシ内にインストールされた、お客様が管理するネイティブなVMwareベースのクラウド環境を提供し、使い慣れたVMwareツールを使用して、完全な制御を提供します。
Oracle Cloud Infrastructure(OCI)は、セキュリティファーストの設計原則に基づいて設計された次世代のInfrastructure-as-a-Service(IaaS)製品です。これらの原則には、分離されたネットワーク仮想化、および以前のパブリッククラウド設計で達成することが以前困難であった物理ホストの初期配備が含まれます。これらの設計原則により、OCIは、高度な永続的な脅威によるリスクの軽減に役立ちます。
このリファレンス・アーキテクチャでは、Oracle Cloud VMware SolutionとOCIデータ保護レイヤー、セキュリティ・サービスの統合オプションについて説明し、クリティカルで機密性の高いワークロードを実行するための要件に対応します。
アーキテクチャ
この論理リファレンス・アーキテクチャでは、主にデータ保護レイヤーに焦点を当て、OCIセキュリティ・サービスをOracle Cloud VMware Solutionワークロードでデータ保護に使用できる方法を説明します。
次のOCIネイティブ・セキュリティ・サービスは、OCIセキュリティ- データ保護レイヤーの一部です。
- OCI Vaultサービスは、OCIブロック・ストレージ、OCIファイル・ストレージまたはOCIオブジェクト・ストレージへのアクセスに使用できるデータおよびシークレット資格証明を保護するマスター暗号化キーを一元的に管理するのに役立ちます。キー管理およびシークレット管理もOCI Vaultの一部です。キーは、オブジェクト・ストレージおよびバケットの暗号化に使用されるマスター暗号化キーです。また、シークレットを保護することもできます(データベース・パスワードなど)。どちらもOCI Vaultサービスを使用して一元的に管理されます。
- Oracle Data Safeサービスは、vCenter - 管理レイヤー内で実行されているOracleデータベースに格納されている機密データおよび規制対象データを保護します。Oracleデータベースは、Data Safe DBコネクタを使用してOracle Data Safeと統合されます。
- OCI証明書サービスは、サーバー、WebアプリケーションなどへのTLS/SSLセキュア・アクセスを提供するのに役立ちます。管理者は、OCI Load Balancingサービスと統合されたプライベート認証局(CA)階層およびTLS証明書を作成および管理できます。
データの暗号化: OCIストレージは、Advanced Encryption Standard (AES)アルゴリズムと256ビットの暗号化を使用して、保存中および転送中のデータをデフォルトで暗号化します。転送中コントロール・プレーン・データは、Transport Layer Security (TLS) 1.2以降を使用して暗号化されます。
次の図は、このリファレンス・アーキテクチャを示しています。
ocvs-data-security-arch-oracle.zip
アーキテクチャには次のコンポーネントがあります。
- OCIクラウド・セキュリティ・サービス
OCI Securityは、組織がクラウド・ワークロードのセキュリティ脅威のリスクを軽減するのに役立ちます。このOracle Cloud VMware Solutionセキュリティ・リファレンス・アーキテクチャでは、OCIデータ保護レイヤーの機能について説明します。
OCI Vaultサービスは、OCIストレージ・レイヤーおよびバックアップ・リポジトリの暗号化キーおよびシークレット資格証明を一元的に管理します。これらの暗号化キーは、データおよびシークレット資格証明を保護します。データ・セーフ・サービスは、コネクタを使用してVMwareのデータベース・インスタンス・ターゲットを監視および評価できます。証明書サービスは、証明書の発行、ストレージ、および管理機能を提供します。これらの証明書は、ロード・バランサにデプロイできます。
- Oracle Cloud VMwareソリューション
Oracle Cloud VMware Solutionは、VMwareソフトウェア定義データ・センター(SDDC)をOracle Cloudコア・インフラストラクチャ・サービスにデプロイします。OCIベア・メタルDenseIOサーバーは、コンピュート仮想化を提供するESXiとも呼ばれるVMwareハイパーバイザの実行に使用されます。vCenter管理レイヤーで実行されている仮想マシンは、vSANデータストアまたはOCIブロック・ストレージのいずれかをプライマリ・ストレージ・オプションとして使用します。ただし、Oracle Cloud VMware Solutionでは、外部ストレージ・オプションとしてOCI Block VolumeおよびOCI File Storageを利用することもできます。
Oracle Cloud VMware Solutionで実行される仮想マシンでは、次のストレージおよびバックアップのオプションが使用されます。- vSAN Storageは、Oracle Cloud VMware Solution環境で提供されている、すぐに使えるソフトウェア定義ストレージ・ソリューションです。vSANはエンタープライズ・ストレージであり、vSphereネイティブ・キー・プロバイダまたは外部キー管理サービス(KMS)プロバイダを使用した暗号化をサポートしています。
- OCIブロック・ボリュームは、仮想マシン・ストレージのiSCSIターゲットとしてVMware ESXiサーバーに提示されます。KMS、暗号化、ボールトなどのOCIセキュリティ機能は、OCI Block Volumeに格納されたVMデータに適用されます。
- File Storageでは、OCI File Storageサービスを仮想マシンのNFSストレージとして使用できます。KMS、暗号化、ボールトなどのOCIセキュリティ機能は、OCI File StorageにバックアップされたNFSストレージに格納されているVMに適用されます。
- Object Storageには、Oracle Cloud VMware Solution VMのバックアップ・コピーが格納されます。Object Storageを使用してVMを実行することはできません。オブジェクト・ストレージのすべてのOCIセキュリティ機能は、VMバックアップ・ファイルに適用されます。
次の表に、Oracle Cloud VMware Solutionでデータ保護にOCIセキュリティ・サービスを使用する方法を示します。
| OCIサービス | Oracle Cloud VMwareソリューションによるデータ保護 |
|---|---|
| データ・セーフ | Data Safeは、OCIまたはオンプレミス環境で実行されているOracleデータベースを保護するためのOCIネイティブ・サービスです。Oracle Cloud VMware Solution SDDCで仮想マシンとして稼働するOracleデータベースは、Data Safeコネクタを使用してData Safeと統合できます。 |
| Block Volumeの暗号化 | OCIブロック・ボリュームは、OCI管理対象/顧客管理キーを提供するVMware SDDCの外部データストアとしてマウントされます。 |
| ファイル・ストレージの暗号化 | OCI File Storageサービスは、OCI管理対象/顧客管理キーを提供するVMware SDDCの外部NFSデータストアとしてマウントされます。 |
| オブジェクト・ストレージ暗号化 |
|
| ボールト |
|
| 証明書 |
|