1. オンプレミス・データベースにOracle Data Safeを実装
  2. オンプレミス・データベース用にOracle Data Safeを実装

オンプレミス・データベースのOracle Data Safeの実装

オンプレミス・データ・センターがある場合、データベースの日常のセキュリティを管理するための安全で効率的な方法が必要です。データベースからOracle CloudへのセキュアなTLSトンネルを使用し、Oracle Data SafeをOracleデータベースの統合コントロール・センターとして使用できます。Oracle Data Safeは、データの機密の理解、データのリスクの評価、機密データのマスク、セキュリティ制御の実装と監視、ユーザー・セキュリティのアセスメント、ユーザー・アクティビティのモニター、データ・セキュリティ・コンプライアンス要件への対応を支援するために設計されています。

アーキテクチャ

Oracle Data Safeは、Oracleデータベースの日常のセキュリティを監視する統合コントロール・センターです。リファレンス・アーキテクチャは、オンプレミスからOracle Cloud Infrastructure (OCI)へのセキュアなTLSトンネルを使用したOracle Data Safeの一般的なデプロイメントを示しています。このアーキテクチャは、Oracle Data Safeを実装してオンプレミス・データ・センター内のOracleデータベースを管理する方法の例として使用します。

データベースとOracle Data Safe間の接続を確立するための複数のオプション(Oracle Cloud Infrastructure FastConnect、VPN接続の使用、データ・セーフのオンプレミス・コネクタの使用(ここを参照)があります。ほとんどの場合、FastConnectがない場合は、オンプレミス・コネクタを使用する必要があります。適切なオプションについて質問がある場合は、アカウント・チームに連絡してください。

次の図は、このリファレンス・アーキテクチャを示しています。

data-afe-connection-managers.pngの説明が続きます
図data-afe-connection-managers.pngの説明

data-safe-connection-managers-oracle.zip

このアーキテクチャには次のコンポーネントがあります。

  • テナント

    テナンシは、Oracle Cloud Infrastructureのサインアップ時にOracle Cloud内でOracleが設定する、セキュアで分離されたパーティションです。テナンシ内のOracle Cloudでリソースを作成、編成および管理できます。

    Oracle Data Safeにサブスクライブすると、Oracleにより、必要に応じてOCIにテナンシが自動的に作成されます。

  • リージョン

    Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的領域です。リージョンは他のリージョンから独立し、広大な距離(国または大陸間)を分離できます。

    Oracle Data Safeは、OCI コンソールで有効にできます。Oracle Data Safeは、使用するリージョンごとに有効にする必要があります。

  • Oracle Data Safe

    Oracle Data Safeは、Oracle Cloud Infrastructureに統合されているOracleデータベースの統合コントロール・センターです。これは、データの機密性の理解、データのリスクの評価、データのマスキング、セキュリティ・コントロールの実装と監視、ユーザー・セキュリティのアセスメント、ユーザー・アクティビティのモニター、データ・セキュリティ・コンプライアンス要件への対応に役立ちます。データ・セーフは、オンプレミスの場所をOracle Cloudに接続するために、Oracle Cloud Infrastructure FastConnect、IPSec VPNおよびオンプレミス・コネクタをサポートしています。

    Oracle Data Safe Consoleは、Oracle Data Safeのメイン・ユーザー・インタフェースです。Oracle Data Safeを開くと、システム・アクティビティをモニターできるダッシュボードが表示されます。サイド・タブでは、主な機能にアクセスできます。上部タブでは、登録されたターゲット・データベース、ライブラリ、レポート、アラートおよびジョブにアクセスできます。右上隅では、ユーザー・セキュリティおよびデータ保持設定へのリンクにアクセスできます。

  • オンプレミス・コネクタ

    オンプレミス・コネクタは、オンプレミス・データ・センター内のLinuxホストにインストールされ、LinuxホストとOracle Data Safe間のTransport Layer Security (TLS)接続を確立します。TLS接続は、TLS暗号プロトコルを使用するTCP接続です。Oracle Data Safeのオンプレミス・コネクタは、TLSプロトコルのバージョン1.2をサポートし、ポート443 (標準のHTTPSポート)にトンネルを確立します。必要に応じて、オンプレミス・コネクタはHTTPSプロキシ・サーバーを介して動作できます。

  • 可用性ドメイン

    可用性ドメインは、リージョン内のスタンドアロンの独立したデータ・センターです。各可用性ドメインの物理リソースは、フォルト・トレランスを提供する他の可用性ドメインのリソースから分離されます。可用性ドメインでは、電源や冷却、内部の可用性ドメイン・ネットワークなどのインフラストラクチャは共有されません。そのため、ある可用性ドメインでの障害が、リージョン内の他の可用性ドメインに影響することはほとんどありません。

  • アイデンティティおよびアクセス管理(IAM)

    Oracle Cloud Infrastructure Identity and Access Management (IAM)では、Oracle Cloud Infrastructureのリソースにアクセスできるユーザーや、それらのリソースに対して実行できる操作を制御できます。

    Oracle Data Safeでは、IAMを含め、OCIのすべての共有サービスを使用します。IAMサービスを使用して、Oracle Data Safeへのユーザー・アクセスを設定できます。

  • Oracle Cloud Infrastructureコンソール

    OCI コンソールは、Oracle Cloud Infrastructureへのアクセスおよび管理に使用できる、簡単で直観的なWebベースのユーザー・インタフェースです。Oracle Data Safe コンソールには、OCI コンソールからもアクセスできます。

推奨

Oracle Data Safeの実装時に開始点として、次の推奨事項を使用します。お客様の要件は、ここで説明するアーキテクチャとは異なる場合があります。
  • VCN

    VCNを作成する際、VCNのサブネットにアタッチする予定のリソース数に基づいて、必要なCIDRブロックの数および各ブロックのサイズを決定します。標準プライベートIPアドレス領域内にあるCIDRブロックを使用します。

    プライベート接続を設定する予定のその他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ)と重複しないCIDRブロックを選択します。

    VCNを作成した後、そのCIDRブロックを変更、追加および削除できます。

    サブネットを設計する際は、トラフィック・フローおよびセキュリティ要件を考慮してください。セキュリティ境界として機能する、特定の層またはロール内のすべてのリソースを同じサブネットにアタッチします。

  • セキュリティ・リスト

    セキュリティ・リストを使用して、サブネット全体に適用されるイングレス・ルールおよびエグレス・ルールを定義します。

  • ネットワーク・セキュリティ・グループ(NSG)

    NSGを使用して、特定のVNICに適用されるイングレス・ルールおよびエグレス・ルールのセットを定義できます。NSGでは、VCNのサブネット・アーキテクチャをアプリケーションのセキュリティ要件から分離できるため、セキュリティ・リストではなくNSGを使用することをお薦めします。

  • クラウド・ガード

    Oracleが提供するデフォルトのレシピをクローニングおよびカスタマイズして、カスタム・ディテクタおよびレスポンダ・レシピを作成します。これらのレシピを使用すると、警告を生成するセキュリティ違反のタイプとその実行を許可するアクションを指定できます。たとえば、可視性がpublicに設定されているオブジェクト・ストレージ・バケットを検出できます。

    テナンシ・レベルでCloud Guardを適用して、広範な範囲に対応し、複数の構成を維持する管理上の負担を減らします。

    管理対象リスト機能を使用して、特定の構成を検出者に適用することもできます。

  • セキュリティ・ゾーン

    最大限のセキュリティが必要なリソースの場合、Oracleではセキュリティ・ゾーンを使用することをお薦めします。セキュリティ・ゾーンは、ベスト・プラクティスに基づくOracle定義のセキュリティ・ポリシーのレシピに関連付けられたコンパートメントです。たとえば、セキュリティ・ゾーン内のリソースにパブリック・インターネットからアクセスできず、顧客管理キーを使用して暗号化する必要があります。セキュリティ・ゾーンでリソースを作成および更新すると、Oracle Cloud Infrastructureでは、セキュリティ・ゾーン・レシピのポリシーに対する操作が検証され、ポリシーに違反する操作が拒否されます。

  • HA/DR

    本番環境では、高可用性のために、同じオンプレミス・コネクタを2つのLinuxホストにインストールすることをお薦めします。システム障害またはメンテナンスによっていずれかのホストが停止した場合、Oracle Data Safe接続は他のホストで実行されているオンプレミス・コネクタに自動的にフェイルオーバーされ、進行中のOracle Data Safe操作は影響を受けません。

  • セキュリティ

    特定のポートのみを開いて、接続マネージャとの通信を許可します。ホスト・マシンからの送信トラフィックを、ポート443でリスニングするクラウドConnection ManagerのIPアドレスを制御できます。クラウドConnection Managerのアドレスはaccesspoint.datasafe.REGIONNAME.oci.oraclecloud.comです。たとえば、Ashburnリージョンの場合、アドレスはaccesspoint.datasafe.us-ashburn-1.oci.oraclecloud.comです。クラウドConnection ManagerのIPアドレスを取得するには、DNS参照を使用します。

注意事項

Oracle Data Safeを実装するときは、次の点を考慮してください。

  • FastConnect

    Oracle Cloud Infrastructure FastConnectは、データ・センターとOCI間の専用のプライベート接続を簡単に作成する方法を提供します。Oracle Cloud Infrastructure FastConnectは、高帯域幅オプションを提供し、インターネットベースの接続に比べて、信頼性が高く一貫性のあるネットワーキング・エクスペリエンスを提供します。FastConnectが使用可能な場合、これを使用する必要があります。

  • オンプレミス・コネクタ

    Oracle Data Safeのオンプレミス・コネクタでは、TLSプロトコルのバージョン1.2がサポートされます。オンプレミス・コネクタを使用するには、ネットワークからのポート443でエグレス・トラフィックを許可する必要があります。必要に応じて、オンプレミス・コネクタはプロキシ・サーバーを介して動作できます。

もっとよく知る

Oracle Data Safeの詳細を参照してください。

次の追加リソースを確認します。

変更ログ

このログには、重大な変更がリストされます。