Oracle Cloudでのセキュアな可観測性および管理コンパートメント構造の設計
可観測性と管理サービスは、クラウド・インフラストラクチャ・ソリューションのバックボーンであり、システムの可用性、パフォーマンス、セキュリティ状況に関する重要な監視と可観測性のインサイトを提供します。
Oracle Cloud Infrastructure内の安全で効果的な可観測性および管理コンパートメント組織の設計は、これらの必須事項に対処する戦略的努力です。コンパートメント構造は、効果的なクラウド・リソースおよびデータ組織、アクセス制御ガバナンスの基盤として機能します。このリファレンス・アーキテクチャは、システムの健全性、行動、リスクを包括的に把握するために、Oracle Cloudのベスト・プラクティスを使用して設計されています。これは、ステークホルダーに実用的なインテリジェンスを提供し、迅速かつ情報に基づいた意思決定を可能にすることを目的としています。
アーキテクチャ
このリファレンス・アーキテクチャでは、クラウド・エコシステムにセキュリティ、自己回復性および運用のデクステリティを提供するOracle Cloud Observability and Management Platformコンパートメントを設計するための重要なコンポーネントと方法論について概説します。
次の図は、このOracle Cloud Observability and Management Platformコンパートメントのリファレンス・アーキテクチャを示しています。
oracle-cloud-observability-arch-oracle.zip
- すべての可観測性および管理サービスのメトリックとリソース、およびメトリック・ネームスペース・リポジトリ用のOracle Cloud Observability and Management Platformコンパートメント。
- 必要なネットワーク・ゲートウェイおよびネットワーク関連のログ・データを含むすべてのネットワーキング・リソースのネットワーク・コンパートメント。
- セキュリティおよびイベントのロギング、キー管理およびセキュリティ関連のログ用のセキュリティ・コンパートメント。
- コンピュート、ストレージ、関数、ストリーム、Kubernetesノード、APIゲートウェイおよびアプリケーション関連ログを含む、アプリケーション関連サービスのアプリケーション・コンパートメント。
- すべてのデータベース・リソースおよびデータベース関連ログのデータベース・コンパートメント。
- 前述のすべてのコンパートメントを含むオプションの囲みコンパートメント。
このアーキテクチャには、次のコンポーネントがあります。
- テナント
テナンシは、Oracle Cloud Infrastructureのサインアップ時にOracleがOracle Cloud内で設定するセキュアで分離されたパーティションです。テナンシ内のOracle Cloudでリソースを作成、編成および管理できます。テナンシは、会社または組織と同義です。通常、会社は単一のテナンシを持ち、そのテナンシ内の組織構造を反映します。通常、単一のテナンシは単一のサブスクリプションに関連付けられ、単一のサブスクリプションには1つのテナンシのみが含まれます。
- ポリシー
Oracle Cloud Infrastructure Identity and Access Managementポリシーでは、誰がどのリソースにどのようにアクセスできるかを指定します。アクセス権はグループ・レベルおよびコンパートメント・レベルで付与されます。つまり、特定のコンパートメント内またはテナンシへの特定のタイプのアクセス権をグループに付与するポリシーを作成できます。
- コンパートメント
コンパートメントは、Oracle Cloud Infrastructureテナンシ内のクロスリージョン論理パーティションです。コンパートメントを使用して、Oracle Cloudでリソースを編成、リソースへのアクセスを制御および使用割当てを設定します。特定のコンパートメント内のリソースへのアクセスを制御するには、誰がリソースにアクセスできるか、どのアクションを実行できるかを指定するポリシーを定義します。
- モニタリング
Oracle Cloud Infrastructure Monitoringサービスは、メトリックを使用してクラウド・リソースをアクティブおよびパッシブにモニターし、リソースおよびアラームをモニターして、これらのメトリックがアラーム指定のトリガーを満たしたときに通知します。
- アラーム
モニタリング・サービスのアラーム機能は、構成済宛先サービスと連携し、メトリックがアラーム指定のトリガーを満たしたときに通知します。
- ロギングLoggingは、クラウド内のリソースから次のタイプのログへのアクセスを提供する、高度にスケーラブルな完全管理型のサービスです:
- 監査ログ: 監査サービスによって発行されたイベントに関連するログ。
- サービス・ログ: APIゲートウェイ、イベント、ファンクション、ロード・バランシング、オブジェクト・ストレージ、VCNフロー・ログなどの個々のサービスによって発行されたログ。
- カスタム・ログ: カスタム・アプリケーション、他のクラウド・プロバイダまたはオンプレミス環境からの診断情報を含むログ。
- イベント
Oracle Cloud Infrastructureサービスでは、イベント(リソースの変更を説明する構造化メッセージ)が生成されます。イベントは、作成、読取り、更新または削除(CRUD)操作、リソース・ライフサイクル状態の変更およびクラウド・リソースに影響するシステム・イベントに対して発行されます。
- サービス・コネクタ
Oracle Cloud Infrastructure Service Connector Hubは、OCIのサービス間のデータ移動を調整するクラウド・メッセージ・バス・プラットフォームです。サービス・コネクタを使用して、ソース・サービスからターゲット・サービスにデータを移動できます。サービス・コネクタでは、オプションで、ターゲット・サービスに配信される前にデータに対して実行するタスク(関数など)を指定することもできます。
Oracle Cloud Infrastructureサービス・コネクタ・ハブを使用して、セキュリティ情報およびイベント管理(SIEM)システム用のロギング集約フレームワークを迅速に構築できます。
- 通知
Oracle Cloud Infrastructure Notificationsサービスは、パブリッシュ/サブスクライブ・パターンを介して分散コンポーネントにメッセージをブロードキャストし、Oracle Cloud Infrastructureでホストされているアプリケーションに対して、セキュアで信頼性が高く、レイテンシが低く、永続的なメッセージを配信します。
- ストリーミング
Oracle Cloud Infrastructure Streamingは、リアルタイムで消費および処理できる連続した大容量データ・ストリームを収集するための、スケーラブルで耐久性の高いフルマネージド・ストレージ・ソリューションを提供します。ストリーミングは、アプリケーション・ログ、運用テレメトリ、Webクリック・ストリーム・データなど、大量のデータを取り込むために使用できます。また、パブリッシュ/サブスクライブのメッセージング・モデルでデータが連続して連続して処理されます。
- データベース管理
データベース管理は、Oracle DatabasesおよびMySQL HeatWave DBシステムに包括的なデータベース・パフォーマンス診断および管理機能を提供します。また、データベース管理を使用して、オンプレミスのOracle Databaseシステム(外部データベース・システム)コンポーネントおよびExadata Storageインフラストラクチャを検出および監視できます。
- オペレーション・インサイト Oracle Cloud Infrastructure Operations Insightsは、データベースおよびホストのリソース使用率および容量に関する包括的なインサイトを提供するOCIネイティブ・サービスです。オペレーション・インサイトを使用すると、次のことができます:
- 企業内のデータベースやホストのリソース使用量を分析
- 過去のトレンドに基づいてリソースの将来の需要を予測
- データベース間でSQLのパフォーマンスを比較し、一般的なパターンを特定
- 企業全体のデータベースにおけるSQLパフォーマンス・トレンドを特定
- データベース・フリート全体におけるデータベースのパフォーマンス、診断およびチューニングについて、AWR統計を分析
- データベース、ホストおよびExadataシステムのフリート全体の新しい使用率高、使用率の大きな変化およびインベントリ変更の内訳を示す週次ニュース・レポートを作成および受信します。
- Application Performance Monitoring
Oracle Cloud InfrastructureのApplication Performance Monitoringでは、アプリケーションのパフォーマンスを詳細に把握し、一貫したレベルのサービスを提供するために問題を迅速に診断できます。これには、オンプレミスまたはクラウドのクライアント、サードパーティ・サービス、バックエンド・コンピューティング層にわたる複数のコンポーネントおよびアプリケーション・ロジックのモニタリングが含まれます。
- スタック・モニタリング
スタック・モニタリングでは、アプリケーションとその基礎となるアプリケーション・スタック(アプリケーション・サーバーやデータベースなど)をプロアクティブにモニターできます。これは、アプリケーション・トポロジなど、アプリケーションのすべてのコンポーネントの検出から開始されます。検出されると、すべてのアプリケーション・コンポーネントのステータス、ロード、レスポンス、エラーおよび使用状況メトリックが自動的に収集されます。
- ログ・アナリティクス
Oracle Logging Analyticsは、Oracle Cloud Infrastructureのクラウド・ソリューションで、クラウドまたはオンプレミスのアプリケーションおよびシステム・インフラストラクチャからのすべてのログ・データを索引付け、リッチ、集計、探索、検索、分析、関連付け、ビジュアル化およびモニターできます。
- Management Agent
管理エージェント(エージェント)を使用すると、管理エージェントをインストールしたホストからサービス・プラグインがデータを収集できるようになります。これは管理エージェント・クラウド・サービスを使用して、Oracle Cloud Infrastructureに直接接続できます。管理エージェントはホストにインストールされます。これは、ホストまたは仮想ホストに存在するソースのデータをモニターおよび収集します。
- 管理エージェント・ゲートウェイ
管理エージェントCloud Service (MACS)は、管理エージェント・サービスとも呼ばれ、Oracle Cloud Infrastructureのクラウド・サービスです。これは管理エージェントとそのライフサイクルを管理します。管理エージェントを使用すると、Oracle Cloudサービスは、それらによって管理されるエンティティとやり取りしてデータを収集できます。
- 管理ダッシュボード管理ダッシュボードでは、Oracle Cloud Infrastructureプラットフォーム、インフラストラクチャおよびアプリケーション・リソース上にパフォーマンス監視、診断およびデータ分析ソリューションを構築できます。リアルタイム・データと履歴データを収集してウィジェットに表示する強力なデータ視覚化オプションがあります。管理ダッシュボードは、次のOracle Cloud Infrastructure Observability and Managementサービスの一部として使用できます。
- Application Performance Monitoring
- データベース管理
- ログ・アナリティクス
- 管理エージェント
- オペレーション・インサイト
- 仮想クラウド・ネットワーク(VCN)およびサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義のネットワークです。従来のデータ・センター・ネットワークと同様に、VCNによってネットワーク環境を制御できます。VCNには重複しない複数のCIDRブロックを含めることができ、VCNの作成後にそれらを変更できます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。
- インターネット・ゲートウェイ
インターネット・ゲートウェイによって、VCN内のパブリック・サブネットとパブリック・インターネット間のトラフィックが許可されます。
- 動的ルーティング・ゲートウェイ(DRG)
DRGは、同じリージョン内のVCN間、VCNとリージョン外のネットワーク(別のOracle Cloud Infrastructureリージョン内のVCN、オンプレミス・ネットワーク、別のクラウド・プロバイダのネットワークなど)間のプライベート・ネットワーク・トラフィックのパスを提供する仮想ルーターです。
- ネットワーク・アドレス変換(NAT)ゲートウェイ
NATゲートウェイを使用すると、VCN内のプライベート・リソースは、受信インターネット接続にそれらのリソースを公開することなく、インターネット上のホストにアクセスできます。
- サービス・ゲートウェイ
サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。The traffic from the VCN to the Oracle service travels over the Oracle network fabric and does not traverse the internet.
- Oracle Services Network
Oracle Services Network (OSN)は、Oracleサービス用に予約されているOracle Cloud Infrastructure内の概念ネットワークです。これらのサービスには、インターネットを介してアクセスできるパブリックIPアドレスがあります。Oracle Cloud外部のホストは、Oracle Cloud Infrastructure FastConnectまたはVPN接続を使用してOSNにプライベートにアクセスできます。VCN内のホストは、サービス・ゲートウェイを介してOSNにプライベートにアクセスできます。
- ネットワーク・セキュリティ・グループ(NSG)
ネットワーク・セキュリティ・グループ(NSG)は、クラウド・リソースの仮想ファイアウォールとして機能します。Oracle Cloud Infrastructureのゼロ・トラスト・セキュリティ・モデルを使用すると、すべてのトラフィックが拒否され、VCN内のネットワーク・トラフィックを制御できます。NSGは、単一のVCN内の指定されたVNICのセットにのみ適用されるイングレスおよびエグレス・セキュリティ・ルールのセットで構成されます。
- ボールト
Oracle Cloud Infrastructure Vaultでは、データを保護する暗号化キーと、クラウド内のリソースへのアクセスを保護するために使用するシークレット資格証明を集中管理できます。Vaultサービスを使用して、ボールト、キーおよびシークレットを作成および管理できます。
- クラウド・ガード
Oracle Cloud Guardを使用して、Oracle Cloud Infrastructure内のリソースのセキュリティをモニターおよびメンテナンスできます。クラウド・ガードはディテクタ・レシピを使用します。ディテクタ・レシピを定義すると、セキュリティの弱点についてリソースを調べたり、特定のリスクのあるアクティビティについてオペレータとユーザーをモニターしたりできます。構成の誤りまたは安全でないアクティビティが検出された場合、クラウド・ガードは、ユーザーが定義できるレスポンダ・レシピに基づいて、修正アクションを推奨し、それらのアクションの実行を支援します。
- セキュリティ・ゾーン
セキュリティ・ゾーンは、データの暗号化やコンパートメント全体のネットワークへのパブリック・アクセスの防止などのポリシーを適用することで、Oracleのセキュリティのベスト・プラクティスを最初から保証します。セキュリティ・ゾーンは、同じ名前のコンパートメントに関連付けられ、コンパートメントおよびそのサブコンパートメントに適用されるセキュリティ・ゾーン・ポリシーまたはレシピが含まれます。セキュリティ・ゾーン・コンパートメントに標準コンパートメントを追加または移動することはできません。
- 脆弱性スキャン・サービス
Oracle Cloud Infrastructure Vulnerability Scanning Serviceは、ポートおよびホストの潜在的な脆弱性を定期的にチェックすることで、Oracle Cloudのセキュリティ状態を改善するのに役立ちます。このサービスは、これらの脆弱性に関するメトリックおよび詳細を含むレポートを生成します。
- Bastionサービス
Oracle Cloud Infrastructure Bastionは、パブリック・エンドポイントがなく、ベア・メタルや仮想マシン、Oracle MySQL Database Service、Autonomous Transaction Processing (ATP)、Oracle Container Engine for Kubernetes (OKE)、およびSecure Shell Protocol (SSH)アクセスを許可するその他のリソースなど、厳格なリソース・アクセス制御を必要とするリソースへの制限付きで時間制限付きのセキュア・アクセスを提供します。Oracle Cloud Infrastructure Bastionサービスを使用すると、ジャンプ・ホストをデプロイおよび保守せずにプライベート・ホストへのアクセスを有効にできます。また、アイデンティティ・ベースの権限と一元化された監査済および期限付きのSSHセッションにより、セキュリティ・ポスチャが向上します。Oracle Cloud Infrastructure Bastionは、要塞アクセス用のパブリックIPの必要性を排除し、リモート・アクセスを提供する際の手間や潜在的な攻撃対象領域を排除します。
- オブジェクト・ストレージ
オブジェクト・ストレージでは、データベースのバックアップ、分析データ、イメージやビデオなどのリッチ・コンテンツなど、すべてのコンテンツ・タイプの構造化データおよび非構造化データにすばやくアクセスできます。インターネットから直接またはクラウド・プラットフォーム内から、安全かつセキュアにデータを格納し、取得できます。パフォーマンスやサービスの信頼性を低下させることなく、ストレージを拡張できます。迅速、即時、頻繁にアクセスする必要のあるホット・ストレージには、標準ストレージを使用します。アーカイブ・ストレージは、長時間保持し、ほとんどまたはめったにアクセスしないコールド・ストレージに使用します。
- Container Engine for Kubernetes
Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE)は、コンテナ化されたアプリケーションのクラウドへのデプロイに使用できる、完全に管理されたスケーラブルな高可用性サービスです。アプリケーションで必要なコンピュート・リソースをユーザーが指定すると、Container Engine for KubernetesがそれらをOracle Cloud Infrastructureの既存テナンシにプロビジョニングします。Container Engine for Kubernetesは、Kubernetesを使用して、ホストのクラスタ間でコンテナ化されたアプリケーションのデプロイメント、スケーリングおよび管理を自動化します。
- コンピュート
Oracle Cloud Infrastructure Computeサービスを使用すると、クラウド内のコンピュート・ホストをプロビジョニングおよび管理できます。CPU、メモリー、ネットワーク帯域幅およびストレージのリソース要件を満たすシェイプでコンピュート・インスタンスを起動できます。コンピュート・インスタンスの作成後は、コンピュート・インスタンスに安全にアクセスし、そのインスタンスを再起動し、ボリュームをアタッチおよびデタッチし、不要になったときに終了できます。
- 自律型データベース
Oracle Cloud Infrastructure自律型データベースは、トランザクション処理およびデータ・ウェアハウス・ワークロードに使用できる完全管理型の事前構成済データベース環境です。ハードウェアの構成や管理、ソフトウェアのインストールを行う必要はありません。Oracle Cloud Infrastructureは、データベースの作成に加え、データベースのバックアップ、パッチ適用、アップグレードおよびチューニングも処理します。
- 専用インフラストラクチャ上のExadata Database
Exadata Cloud Infrastructureを使用すると、クラウド内でExadataの機能を活用できます。ニーズの増加時にデータベース・コンピュート・サーバーおよびストレージ・サーバーをシステムに追加できるフレキシブルX8MおよびX9Mシステムをプロビジョニングできます。X8MおよびX9Mシステムでは、高帯域幅と低レイテンシを実現するRDMA over Converged Ethernet (RoCE)ネットワーク、永続メモリー(PMEM)モジュールおよびインテリジェントExadataソフトウェアを提供します。X8MおよびX9Mシステムは、クォータ・ラックのX8またはX9Mシステムと同等のシェイプを使用してプロビジョニングでき、プロビジョニング後はデータベース・サーバーおよびストレージ・サーバーをいつでも追加できます。
- Oracle Base Database Service
Oracle Base Database Serviceでは、Oracle DatabaseとOracle Cloud Infrastructureの機能を組み合せて使用しながら、データを完全に制御できます。Oracle Base Database Service offers database systems (DB systems) on virtual machines.They are available as single-node DB systems and multi-node RAC DB systems on Oracle Cloud Infrastructure (OCI).
- ファイル記憶域
Oracle Cloud Infrastructure File Storageサービスでは、永続的でスケーラブルなエンタープライズ規模のネットワーク・ファイル・システムを提供します。You can connect to a File Storage service file system from any bare metal, virtual machine, or container instance in a VCN.You can also access a file system from outside the VCN by using Oracle Cloud Infrastructure FastConnect and IPSec VPN.
レコメンデーション
- メトリック・データの監視および管理コンパートメント
- テナンシ(ルート・コンパートメント)の下に専用のOracle Cloud Observability and Management Platformコンパートメントを作成します。
- Oracle Cloud Observability and Management Platformの高度なサービスのメトリック・ネームスペース、スタック・モニタリングのメトリック、データベース管理サービス、オペレーション・インサイト、ユーザー定義のカスタム・メトリック、アラームおよび通知など、すべてのカスタム・メトリック関連リソースをOracle Cloud Observability and Management Platformコンパートメントに格納します。
- 適切な読取りおよび書込みアクセス権を関連チームに付与するポリシーを定義し、最小権限のプリンシパルに準拠しながら、メトリック・データおよびメトリック・ネームスペースにアクセスできます。For example, Observability and Management admin team has manage permission on the metrics data in the Observability and Management compartment whereas DBA and Application teams have read or use permissions on the metrics in the Observability and Management compartment.
- ログ・データのOracle Cloud Observability and Management Platformコンパートメント
- 各サポート・チームまたはビジネス・ユニットのクラウド・リソースのログ・データを格納するために既存のクラウド・リソースのコンパートメントを使用して、独自のログ・データにアクセスします。
- クラウド・リソースと同じコンパートメントにロギングおよびログ・アナリティクスのログ・グループを作成します。
- ログ・アナリティクスのログ・グループ、ログ・エンティティ、保存済検索、ダッシュボード、保存ポリシーなど、すべてのログ関連リソースをこれらのコンパートメント内に格納します。
- 厳密なアクセス・ポリシーを定義して、各チームが自分のログにアクセスできるようにするとともに、他のチームのログ・データへのアクセスを制限します。
- ネットワーク・コンパートメント、セキュリティ・コンパートメント、アプリケーション・コンパートメントおよびデータベース・コンパートメント内のログ・コンパートメントをそれぞれ定義します。
考慮事項
このリファレンス・アーキテクチャを実装する場合は、次のオプションを考慮してください。
- Oracle Cloud Observability and Management Platform関連のコンパートメント階層設計Oracle Cloud Observability and Management Platformに関連するコンパートメント階層設計は、適切なクラウド・ガバナンスとセキュリティ体制を維持しながら、運用チームとエンジニアリング・チームがクラウド運用を簡素化するのに役立ちます。OCIの2つの顕著な監視およびロギング関連データ:
- メトリック・データ: クラウド・リソースから高度な可観測性および管理サービスによって収集された包括的な可用性メトリックやパフォーマンス・メトリックなどの集計データ・ポイント。
- ロギング・データ: ホスト、データベース、ミドルウェアまたはアプリケーション(syslog、データベース・アラート・ログ、RAWログ・データなど)からのRAWログ・データに機密データが含まれる場合があります。
- アプリケーションまたはユーザー名前空間の機密情報を含む可能性のあるログデータの性質。
- ログ・データ・セキュリティ・ペリメータは、クラウド・リソースと同じコンパートメントで定義する必要があります。
- ログ・データにアクセスする必要があるサポート・チームまたはビジネス・ユニットには、クラウド・リソースとその基礎となる構成への同じレベルのアクセス権が必要です。
- OCIのその他のOracle Cloud Observability and Management Platformリソース
- サービス・メトリック: OCIクラウド・リソースは、デフォルトでOCIモニタリング・サービスで基本的なサービス・メトリックを提供します。即時利用可能なサービス・メトリックは、クラウド・リソースと同じコンパートメント内の指定されたメトリック・ネームスペースに格納されます。クラウド・リソース・サービス・メトリックは無料であり、サービス・メトリックのコンパートメントを変更することはできません。
- ログ・アナリティクスのログ・ソース、パーサーおよびフィールドはテナンシ・レベルのリソースであり、テナンシ(ルート・コンパートメント)に関連付けられます。
- 管理エージェント・ログ、サービス・コネクタ・ログなどの診断のためにOracle Cloud Observability and Management Platformコンパートメント・リソースによって生成されたログは、Oracle Cloud Observability and Management Platformコンパートメント内に格納する必要があります。