データベースの保護
セキュリティの推奨事項
この項では、Oracle Cloud Infrastructure Databaseインスタンスの管理に関するセキュリティ推奨事項を示します。Oracleデータベースの安全な構成に関する推奨事項は、『Oracle Databaseセキュリティ・ガイド』に記載されています。このドキュメントでは、データベース・システムとは、ベース・データベース・サービス、Exadata Database Service on Dedicated Infrastructureおよび専用Exadataインフラストラクチャ上のAutonomous Databaseを使用するOracle Databaseデプロイメントを指します。(一部のトピックは、Oracleが説明した機能を管理している状況ではAutonomous Databaseに適用できない場合があります。)
データベース・アクセス制御
- ユーザーは、パスワードを使用してデータベースに認証されます。これらのパスワードは強いものにすることをお薦めします。Oracleデータベースのパスワードを選択するためのガイドラインは、パスワードの保護に関するガイドラインを参照してください。また、Oracleデータベースには、データベース・パスワードの複雑度を検証するPL/SQLスクリプトが用意されています。このスクリプトは
$ORACLE_HOME/rdbms/admin/UTLPWDMG.SQL
にあります。UTLPWDMG.SQLスクリプトを実行してパスワードの複雑度を検証する手順は、パスワードの複雑度検証の実施を参照してください。 - データベース・パスワードに加えて、VCNのネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用して、データベース・インスタンスに対するネットワーク・アクセス制御を規定できます。Oracleでは、Oracle Cloud Infrastructure Database内の顧客データベースへの最小権限アクセスを許可するようにVCNネットワーク・セキュリティ・グループまたはセキュリティ・リストを構成することをお薦めします。
-
パブリック・サブネット内に作成されたデータベース・システムは、アウトバウンド・トラフィックをインターネットに直接送信できます。プライベート・サブネット内に作成されたデータベース・システムにはインターネット接続はありません。インターネット・トラフィック(エグレスとイングレスの両方)がインスタンスに直接届くことはありません。インターネット・ゲートウェイを使用してプライベート・サブネット内のデータベース・システムへのルートの定義を試行すると、ルートは無視されます。
プライベート・サブネット上のデータベース・システムのOSパッチ適用およびバックアップを実行する場合は、サービス・ゲートウェイまたはNATゲートウェイを使用して、パッチ適用エンドポイントまたはバックアップ・エンドポイントに接続できます。
仮想クラウド・ネットワーク(VCN)では、セキュリティ・ルールをプライベート・サブネットとともに使用して、データベース・システムへのアクセスを制限できます。複数層デプロイメントでは、プライベート・サブネットおよびVCNセキュリティ・ルールを使用して、アプリケーション層からデータベース・システムへのアクセスを制限できます。
データ耐久性
- データベースの削除権限(
DATABASE_DELETE
およびDB_SYSTEM_DELETE
)は、最小限のセットのIAMユーザーおよびグループに付与することをお薦めします。こうすることで、認可されたユーザーによる不注意の削除または悪意のある削除によるデータの損失を最小限に抑えることができます。DELETE
権限はテナンシ管理者およびコンパートメント管理者にのみ付与します。 - RMANを使用して、データベースのデータベースを定期的にバックアップできます。この場合、暗号化されたバックアップ・コピーはローカル・ストレージ(たとえば、ブロック・ボリューム)またはOracle Cloud Infrastructure Object Storageに格納されます。RMANは、一意の暗号化キーを使用して、データベースの各バックアップを暗号化します。透過モードでは、暗号化キーはOracle Walletに格納されます。オブジェクト・ストレージへのRMANバックアップでは、インターネット・ゲートウェイ(IGW)が必要です。また、オブジェクト・ストレージへのセキュア・アクセスを許可するように、VCNのネットワーク・セキュリティ・グループまたはセキュリティ・リストを構成する必要があります。ベア・メタル・データベースをバックアップするためのVCNの設定方法は、RMANを使用したオブジェクト・ストレージへのデータベースのバックアップを参照してください。Exadataデータベースのバックアップの詳細は、bkup_apiを使用したExadata Databaseバックアップの管理を参照してください。
データベースの暗号化とキーの管理
-
Oracle Cloud Infrastructureに作成されるすべてのデータベースは、透過的データ暗号化(TDE)を使用して暗号化されます。RMANを使用して、暗号化されていないデータベースをオンプレミスからOracle Cloud Infrastructureに移行する場合、移行されたデータベースは暗号化されないことに注意してください。Oracleでは、このようなデータベースをクラウドに移行した後で暗号化する必要があります。
移行時に最短の停止時間でデータベースを暗号化する方法について学習するには、Oracle Maximum Availability Architectureのホワイト・ペーパー、『Oracle Data Guardで高速オフライン変換を使用した透過的データ暗号化への変換』を参照してください。
仮想マシンのDBシステムでは、ローカル・ストレージのかわりにOracle Cloud Infrastructureブロック・ストレージが使用されることに注意してください。ブロック・ストレージは、デフォルトで暗号化されます。
- ユーザー作成表領域は、Oracle Cloud Infrastructure Databaseではデフォルトで暗号化されます。これらのデータベースでは、
ENCRYPT_NEW_TABLESPACES
パラメータをCLOUD_ONLY
に設定します。この場合、別のアルゴリズムが指定されていないかぎり、Database Cloud Service (DBCS)データベースに作成される表領域はAES128アルゴリズムを使用して透過的に暗号化されます。 - データベース管理者は、新しく作成されたデータベース・インスタンスにローカルOracle Walletを作成し、Transparent Data Encryption (TDE)マスター・キーを初期化します。その後、Oracle Walletはauto-openに構成されます。ただし、顧客はOracle Walletのパスワード設定を選択できます。強力なパスワード(8文字以上で少なくとも1つの大文字、1つの小文字、1つの数字および1つの特殊記号を含む)を設定することをお薦めします。
- TDEマスター・キーを定期的にローテーションすることをお薦めします。推奨のローテーション期間は90日以内です。TDEマスター・キーは、ネイティブ・データベース・コマンド(たとえば、12cでは「administer key management」)またはdbaascliを使用してローテーションできます。TDEマスター・キーの以前のバージョンはすべて、Oracle Wallet内に保持されます。
- Oracle Key Vault (OKV)は、Oracle TDEマスター・キーの管理に使用されるキー管理アプライアンスです。OKVでは、TDEマスター・キーの格納、ローテーションおよびアクセスの監査を行うことができます。OKVをOracle Cloud Infrastructureにインストールおよび構成する手順は、Oracle Key VaultによるOracle Cloud InfrastructureでのOracle Database暗号化キーの管理を参照してください。
データベースへのパッチ適用
Oracleデータベース・セキュリティ・パッチ(Oracleクリティカル・パッチ・アップデート)の適用は、既知のセキュリティ問題を軽減するために不可欠であり、パッチを最新の状態に保つことをお薦めします。パッチ・セットおよびパッチ・セット更新(PSU)は四半期ごとにリリースされます。これらのパッチ・リリースには、セキュリティ修正と、その他に高インパクト/低リスクのクリティカルなバグの修正が含まれています。
最新の既知のセキュリティ問題と入手可能な修正の詳細は、クリティカル・パッチ・アップデート、セキュリティ・アラートおよび掲示板を参照してください。アプリケーションが最新のパッチをサポートせず、古いパッチのデータベース・システムを使用する必要がある場合は、使用している古いバージョンのOracle Databaseエディションでデータベース・システムをプロビジョニングできます。Oracleでは、Oracle Databaseのクリティカル・パッチ更新およびセキュリティ・アラートを確認するだけでなく、データベース・システムにプロビジョニングされているオペレーティング・システムを分析してパッチを適用することをお薦めします。
Oracle Cloud Infrastructure Databaseインスタンスへのパッチの適用の詳細は、DB Systemの更新およびdbaascliを使用したOracle Grid InfrastructureおよびOracle Databasesへのパッチ適用を参照してください。
データベース・セキュリティ構成のチェック
- Oracle Databaseセキュリティ評価ツール(DBSAT)は、Oracle Cloud InfrastructureのOracleデータベースの自動的なセキュリティ構成チェックを提供します。DBSATは、ユーザー権限分析、データベース認可制御、ポリシーの監査、データベース・リスナー構成、OSファイル権限、格納される機密データについてセキュリティ・チェックを実行します。Oracle Cloud Infrastructure Database内のOracleデータベース・イメージは、プロビジョニング前にDBSATによってスキャンされます。プロビジョニング後は、DBSATを使用してデータベースを定期的にスキャンし、検出された問題を修正することをお薦めします。DBSATは、Oracleの顧客に対して無料で提供されます。
データベース・セキュリティの監査
Oracle Audit Vault and Database Firewall (AVDF)は、データベースの監査ログをモニターしてアラートを生成します。AVDFをOracle Cloud Infrastructureにインストールおよび構成する手順は、Oracle Cloud InfrastructureでのOracle Audit Vault and Database Firewallのデプロイを参照してください。
データ・セーフ
Oracleでは、データ・セーフ・サービスを使用してデータベース・デプロイメントのセキュリティを強化することをお薦めします。Oracle Data Safeは、データの機密性の理解、データに対するリスクの評価、機密データのマスキング、セキュリティ制御の実装とモニター、ユーザー・セキュリティの評価、ユーザー・アクティビティのモニター、およびデータ・セキュリティ・コンプライアンス要件への対処を支援する、Oracleデータベースの統合コントロール・センターです。詳細は、スタート・ガイドを参照してください。
データベースのバックアップ
可能な場合は常に、管理対象バックアップ(Oracle Cloud InfrastructureコンソールまたはAPIを使用して作成されるバックアップ)を使用することをお薦めします。管理対象バックアップを使用すると、Oracleによってオブジェクト・ストアのユーザーと資格証明が管理され、それらの資格証明が3日ごとにローテーションされます。Oracle Cloud Infrastructureによって、オブジェクト・ストア内のすべての管理対象バックアップが暗号化されます。バックアップの暗号化にはデフォルトで透過的データベース暗号化機能が使用されます。
管理対象バックアップを使用しない場合は、オブジェクト・ストアのパスワードを定期的に変更することをお薦めします。
セキュリティ・ポリシーの例 🔗
データベース・インスタンスの削除の防止
次のポリシーの例では、グループDBUsers
は、データベースとすべてのアーティファクトの削除以外のすべての管理アクションの実行が許可されます。
Allow group DBUsers to manage db-systems in tenancy
where request.permission!='DB_SYSTEM_DELETE'
Allow group DBUsers to manage databases in tenancy
where request.permission!='DATABASE_DELETE'
Allow group DBUsers to manage db-homes in tenancy
where request.permission!='DB_HOME_DELETE'