データベースの保護

セキュリティの推奨事項

この項では、Oracle Cloud Infrastructure Databaseインスタンスの管理に関するセキュリティ推奨事項を示します。Oracleデータベースの安全な構成に関する推奨事項は、『Oracle Databaseセキュリティ・ガイド』に記載されています。このドキュメントでは、データベース・システムとは、ベース・データベース・サービス、Exadata Database Service on Dedicated Infrastructureおよび専用Exadataインフラストラクチャ上のAutonomous Databaseを使用するOracle Databaseデプロイメントを指します。(一部のトピックは、Oracleが説明した機能を管理している状況ではAutonomous Databaseに適用できない場合があります。)

データベース・アクセス制御 🔗

• ユーザーは、パスワードを使用してデータベースに認証されます。これらのパスワードは強いものにすることをお薦めします。Oracleデータベースのパスワードを選択するためのガイドラインは、パスワードの保護に関するガイドラインを参照してください。また、Oracleデータベースには、データベース・パスワードの複雑度を検証するPL/SQLスクリプトが用意されています。このスクリプトは$ORACLE_HOME/rdbms/admin/UTLPWDMG.SQLにあります。UTLPWDMG.SQLスクリプトを実行してパスワードの複雑度を検証する手順は、パスワードの複雑度検証の実施を参照してください。
• データベース・パスワードに加えて、VCNのネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用して、データベース・インスタンスに対するネットワーク・アクセス制御を規定できます。Oracleでは、Oracle Cloud Infrastructure Database内の顧客データベースへの最小権限アクセスを許可するようにVCNネットワーク・セキュリティ・グループまたはセキュリティ・リストを構成することをお薦めします。

• パブリック・サブネット内に作成されたデータベース・システムは、アウトバウンド・トラフィックをインターネットに直接送信できます。プライベート・サブネット内に作成されたデータベース・システムにはインターネット接続はありません。インターネット・トラフィック(エグレスとイングレスの両方)がインスタンスに直接届くことはありません。インターネット・ゲートウェイを使用してプライベート・サブネット内のデータベース・システムへのルートの定義を試行すると、ルートは無視されます。

  プライベート・サブネット上のデータベース・システムのOSパッチ適用およびバックアップを実行する場合は、サービス・ゲートウェイまたはNATゲートウェイを使用して、パッチ適用エンドポイントまたはバックアップ・エンドポイントに接続できます。

  仮想クラウド・ネットワーク(VCN)では、セキュリティ・ルールをプライベート・サブネットとともに使用して、データベース・システムへのアクセスを制限できます。複数層デプロイメントでは、プライベート・サブネットおよびVCNセキュリティ・ルールを使用して、アプリケーション層からデータベース・システムへのアクセスを制限できます。

データ耐久性

• データベースの削除権限(DATABASE_DELETEおよびDB_SYSTEM_DELETE)は、最小限のセットのIAMユーザーおよびグループに付与することをお薦めします。こうすることで、認可されたユーザーによる不注意の削除または悪意のある削除によるデータの損失を最小限に抑えることができます。DELETE権限はテナンシ管理者およびコンパートメント管理者にのみ付与します。
• RMANを使用して、データベースのデータベースを定期的にバックアップできます。この場合、暗号化されたバックアップ・コピーはローカル・ストレージ(たとえば、ブロック・ボリューム)またはOracle Cloud Infrastructure Object Storageに格納されます。RMANは、一意の暗号化キーを使用して、データベースの各バックアップを暗号化します。透過モードでは、暗号化キーはOracle Walletに格納されます。オブジェクト・ストレージへのRMANバックアップでは、インターネット・ゲートウェイ(IGW)が必要です。また、オブジェクト・ストレージへのセキュア・アクセスを許可するように、VCNのネットワーク・セキュリティ・グループまたはセキュリティ・リストを構成する必要があります。ベア・メタル・データベースをバックアップするためのVCNの設定方法は、RMANを使用したオブジェクト・ストレージへのデータベースのバックアップを参照してください。Exadataデータベースのバックアップの詳細は、bkup_apiを使用したExadata Databaseバックアップの管理を参照してください。

データベースの暗号化とキーの管理

• Oracle Cloud Infrastructureに作成されるすべてのデータベースは、透過的データ暗号化(TDE)を使用して暗号化されます。RMANを使用して、暗号化されていないデータベースをオンプレミスからOracle Cloud Infrastructureに移行する場合、移行されたデータベースは暗号化されないことに注意してください。Oracleでは、このようなデータベースをクラウドに移行した後で暗号化する必要があります。

  移行時に最短の停止時間でデータベースを暗号化する方法について学習するには、Oracle Maximum Availability Architectureのホワイト・ペーパー、『Oracle Data Guardで高速オフライン変換を使用した透過的データ暗号化への変換』を参照してください。

  仮想マシンのDBシステムでは、ローカル・ストレージのかわりにOracle Cloud Infrastructureブロック・ストレージが使用されることに注意してください。ブロック・ストレージは、デフォルトで暗号化されます。

• ユーザー作成表領域は、Oracle Cloud Infrastructure Databaseではデフォルトで暗号化されます。これらのデータベースでは、ENCRYPT_NEW_TABLESPACESパラメータをCLOUD_ONLYに設定します。この場合、別のアルゴリズムが指定されていないかぎり、Database Cloud Service (DBCS)データベースに作成される表領域はAES128アルゴリズムを使用して透過的に暗号化されます。
• データベース管理者は、新しく作成されたデータベース・インスタンスにローカルOracle Walletを作成し、Transparent Data Encryption (TDE)マスター・キーを初期化します。その後、Oracle Walletはauto-openに構成されます。ただし、顧客はOracle Walletのパスワード設定を選択できます。強力なパスワード(8文字以上で少なくとも1つの大文字、1つの小文字、1つの数字および1つの特殊記号を含む)を設定することをお薦めします。
• TDEマスター・キーを定期的にローテーションすることをお薦めします。推奨のローテーション期間は90日以内です。TDEマスター・キーは、ネイティブ・データベース・コマンド(たとえば、12cでは「administer key management」)またはdbaascliを使用してローテーションできます。TDEマスター・キーの以前のバージョンはすべて、Oracle Wallet内に保持されます。
• Oracle Key Vault (OKV)は、Oracle TDEマスター・キーの管理に使用されるキー管理アプライアンスです。OKVでは、TDEマスター・キーの格納、ローテーションおよびアクセスの監査を行うことができます。OKVをOracle Cloud Infrastructureにインストールおよび構成する手順は、Oracle Key VaultによるOracle Cloud InfrastructureでのOracle Database暗号化キーの管理を参照してください。

データベースへのパッチ適用

Oracleデータベース・セキュリティ・パッチ(Oracleクリティカル・パッチ・アップデート)の適用は、既知のセキュリティ問題を軽減するために不可欠であり、パッチを最新の状態に保つことをお薦めします。パッチ・セットおよびパッチ・セット更新(PSU)は四半期ごとにリリースされます。これらのパッチ・リリースには、セキュリティ修正と、その他に高インパクト/低リスクのクリティカルなバグの修正が含まれています。

最新の既知のセキュリティ問題と入手可能な修正の詳細は、クリティカル・パッチ・アップデート、セキュリティ・アラートおよび掲示板を参照してください。アプリケーションが最新のパッチをサポートせず、古いパッチのデータベース・システムを使用する必要がある場合は、使用している古いバージョンのOracle Databaseエディションでデータベース・システムをプロビジョニングできます。Oracleでは、Oracle Databaseのクリティカル・パッチ更新およびセキュリティ・アラートを確認するだけでなく、データベース・システムにプロビジョニングされているオペレーティング・システムを分析してパッチを適用することをお薦めします。

Oracle Cloud Infrastructure Databaseインスタンスへのパッチの適用の詳細は、DB Systemの更新およびdbaascliを使用したOracle Grid InfrastructureおよびOracle Databasesへのパッチ適用を参照してください。

データベース・セキュリティ構成のチェック

• Oracle Databaseセキュリティ評価ツール(DBSAT)は、Oracle Cloud InfrastructureのOracleデータベースの自動的なセキュリティ構成チェックを提供します。DBSATは、ユーザー権限分析、データベース認可制御、ポリシーの監査、データベース・リスナー構成、OSファイル権限、格納される機密データについてセキュリティ・チェックを実行します。Oracle Cloud Infrastructure Database内のOracleデータベース・イメージは、プロビジョニング前にDBSATによってスキャンされます。プロビジョニング後は、DBSATを使用してデータベースを定期的にスキャンし、検出された問題を修正することをお薦めします。DBSATは、Oracleの顧客に対して無料で提供されます。

データベース・セキュリティの監査

Oracle Audit Vault and Database Firewall (AVDF)は、データベースの監査ログをモニターしてアラートを生成します。AVDFをOracle Cloud Infrastructureにインストールおよび構成する手順は、Oracle Cloud InfrastructureでのOracle Audit Vault and Database Firewallのデプロイを参照してください。

データ・セーフ

Oracleでは、データ・セーフ・サービスを使用してデータベース・デプロイメントのセキュリティを強化することをお薦めします。Oracle Data Safeは、データの機密性の理解、データに対するリスクの評価、機密データのマスキング、セキュリティ制御の実装とモニター、ユーザー・セキュリティの評価、ユーザー・アクティビティのモニター、およびデータ・セキュリティ・コンプライアンス要件への対処を支援する、Oracleデータベースの統合コントロール・センターです。詳細は、スタート・ガイドを参照してください。

データベースのバックアップ

可能な場合は常に、管理対象バックアップ(Oracle Cloud InfrastructureコンソールまたはAPIを使用して作成されるバックアップ)を使用することをお薦めします。管理対象バックアップを使用すると、Oracleによってオブジェクト・ストアのユーザーと資格証明が管理され、それらの資格証明が3日ごとにローテーションされます。Oracle Cloud Infrastructureによって、オブジェクト・ストア内のすべての管理対象バックアップが暗号化されます。バックアップの暗号化にはデフォルトで透過的データベース暗号化機能が使用されます。

管理対象バックアップを使用しない場合は、オブジェクト・ストアのパスワードを定期的に変更することをお薦めします。