Oracle Cloud Infrastructureドキュメント

データベースの保護

セキュリティの推奨事項

この項では、Oracle Cloud Infrastructure Databaseインスタンスの管理に関するセキュリティ推奨事項を示します。Oracleデータベースの安全な構成に関する推奨事項は、『Oracle Databaseセキュリティ・ガイド』に記載されています。このドキュメントでは、データベース・システムとは、ベース・データベース・サービス、専用インフラストラクチャ上のExadata Database Serviceおよび専用Exadataインフラストラクチャ上のAutonomous Databaseを使用するOracle Databaseデプロイメントを指します。(一部のトピックは、説明されている機能をOracleが管理する状況ではAutonomous Databaseに適用できない場合があります。)

データベース・アクセス制御

  • ユーザーは、パスワードを使用してデータベースに認証されます。これらのパスワードは強いものにすることをお薦めします。Oracleデータベースのパスワードを選択するためのガイドラインは、パスワードの保護に関するガイドラインを参照してください。また、Oracleデータベースには、データベース・パスワードの複雑度を検証するPL/SQLスクリプトが用意されています。このスクリプトは$ORACLE_HOME/rdbms/admin/UTLPWDMG.SQLにあります。UTLPWDMG.SQLスクリプトを実行してパスワードの複雑度を検証する手順は、パスワードの複雑度検証の実施を参照してください。
  • データベース・パスワードに加えて、VCNのネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用して、データベース・インスタンスに対するネットワーク・アクセス制御を規定できます。Oracle Cloud Infrastructure Databaseの顧客データベースに対して最小限の権限によるアクセスを許可するように、VCNのネットワーク・セキュリティ・グループまたはセキュリティ・リストを構成することをお薦めします。

  • パブリック・サブネット内に作成されたデータベース・システムは、アウトバウンド・トラフィックをインターネットに直接送信できます。プライベート・サブネット内に作成されたデータベース・システムにはインターネット接続がなく、インターネット・トラフィック(エグレスとイングレスの両方)はインスタンスに直接アクセスできません。インターネット・ゲートウェイを使用してプライベート・サブネット内のデータベース・システムへのルートを定義しようとすると、ルートは無視されます。

    プライベート・サブネット上のデータベース・システムのOSパッチ適用およびバックアップを実行するには、サービス・ゲートウェイまたはNATゲートウェイを使用して、パッチ適用エンドポイントまたはバックアップ・エンドポイントに接続できます。

    仮想クラウド・ネットワーク(VCN)では、セキュリティ・ルールをプライベート・サブネットとともに使用して、データベース・システムへのアクセスを制限できます。複数層デプロイメントでは、プライベート・サブネットおよびVCNセキュリティ・ルールを使用して、アプリケーション層からデータベース・システムへのアクセスを制限できます。

データ耐久性

  • データベースの削除権限(DATABASE_DELETEおよびDB_SYSTEM_DELETE)は、最小限のセットのIAMユーザーおよびグループに付与することをお薦めします。こうすることで、認可されたユーザーによる不注意の削除または悪意のある削除によるデータの損失を最小限に抑えることができます。DELETE権限はテナンシ管理者およびコンパートメント管理者にのみ付与します。
  • RMANを使用して、データベースのデータベースの定期的なバックアップを行うことができます。この場合、暗号化されたバックアップ・コピーはローカル・ストレージ(たとえば、ブロック・ボリューム)またはOracle Cloud Infrastructure Object Storageに格納されます。RMANは、一意の暗号化キーを使用して、データベースの各バックアップを暗号化します。透過モードでは、暗号化キーはOracle Walletに格納されます。オブジェクト・ストレージへのRMANバックアップでは、インターネット・ゲートウェイ(IGW)が必要です。また、オブジェクト・ストレージへのセキュア・アクセスを許可するように、VCNのネットワーク・セキュリティ・グループまたはセキュリティ・リストを構成する必要があります。ベア・メタル・データベースをバックアップするためのVCNの設定方法の詳細は、RMANを使用したオブジェクト・ストレージへのデータベースのバックアップを参照してください。Exadataデータベースのバックアップの詳細は、bkup_apiを使用したExadata Databaseバックアップの管理を参照してください。

データベースの暗号化とキーの管理

  • Oracle Cloud Infrastructureに作成されるすべてのデータベースは、透過的データ暗号化(TDE)を使用して暗号化されます。RMANを使用して、暗号化されていないデータベースをオンプレミスからOracle Cloud Infrastructureに移行する場合、移行されたデータベースは暗号化されないことに注意してください。そのようなデータベースはクラウドに移行した後でOracleで暗号化する必要があります。

    移行時に最短の停止時間でデータベースを暗号化する方法について学習するには、Oracle Maximum Availability Architectureのホワイト・ペーパー、『Oracle Data Guardで高速オフライン変換を使用した透過的データ暗号化への変換』を参照してください。

    仮想マシンのDBシステムでは、ローカル・ストレージのかわりにOracle Cloud Infrastructureブロック・ストレージが使用されることに注意してください。ブロック・ストレージは、デフォルトで暗号化されます。

  • ユーザー作成表領域は、Oracle Cloud Infrastructure Databaseではデフォルトで暗号化されます。これらのデータベースでは、ENCRYPT_NEW_TABLESPACESパラメータをCLOUD_ONLYに設定します。この場合、別のアルゴリズムが指定されていないかぎり、Database Cloud Service (DBCS)データベースに作成される表領域はAES128アルゴリズムを使用して透過的に暗号化されます。
  • データベース管理者は、新しく作成されたデータベース・インスタンス上にローカルのOracle Walletを作成し、透過的データ暗号化(TDE)マスター・キーを初期化します。その後、Oracle Walletはauto-openに構成されます。ただし、顧客はOracle Walletのパスワード設定を選択できます。強力なパスワード(8文字以上で少なくとも1つの大文字、1つの小文字、1つの数字および1つの特殊記号を含む)を設定することをお薦めします。
  • TDEマスター・キーを定期的にローテーションすることをお薦めします。推奨のローテーション期間は90日以内です。TDEマスター・キーは、ネイティブ・データベース・コマンド(たとえば、12cでは「administer key management」)またはdbaascliを使用してローテーションできます。TDEマスター・キーの以前のバージョンはすべて、Oracle Wallet内に保持されます。
  • Oracle Key Vault (OKV)は、Oracle TDEマスター・キーの管理に使用されるキー管理アプライアンスです。OKVでは、TDEマスター・キーの格納、ローテーションおよびアクセスの監査を行うことができます。OKVをOracle Cloud Infrastructureにインストールして管理する手順は、Oracle Key VaultによるOracle Cloud InfrastructureでのOracle Database暗号化キーの管理を参照してください。

データベースへのパッチ適用

Oracleデータベース・セキュリティ・パッチ(Oracleクリティカル・パッチ・アップデート)の適用は、既知のセキュリティ問題を軽減するために不可欠であり、パッチを最新の状態に保つことをお薦めします。パッチ・セットおよびパッチ・セット更新(PSU)は四半期ごとにリリースされます。これらのパッチ・リリースには、セキュリティ修正と、その他に高インパクト/低リスクのクリティカルなバグの修正が含まれています。

最新の既知のセキュリティ問題と入手可能な修正の詳細は、クリティカル・パッチ・アップデート、セキュリティ・アラートおよび掲示板を参照してください。アプリケーションが最新のパッチをサポートしておらず、古いパッチでデータベース・システムを使用する必要がある場合は、使用している古いバージョンのOracle Databaseエディションでデータベース・システムをプロビジョニングできます。Oracle Databaseの重要なパッチ更新およびセキュリティ・アラートの確認に加えて、Oracleでは、データベース・システムにプロビジョニングされているオペレーティング・システムを分析およびパッチ適用することをお薦めします。

Oracle Cloud Infrastructure Databaseインスタンスへのパッチの適用の詳細は、DB Systemの更新およびdbaascliを使用したOracle Grid InfrastructureおよびOracle Databasesへのパッチ適用を参照してください。

データベース・セキュリティ構成のチェック

  • Oracle Database Security Assessment Tool (DBSAT)によって、Oracle Cloud InfrastructureのOracleデータベースの自動的なセキュリティ構成チェックが提供されます。DBSATは、ユーザー権限分析、データベース認可制御、ポリシーの監査、データベース・リスナー構成、OSファイル権限、格納される機密データについてセキュリティ・チェックを実行します。Oracle Cloud Infrastructure DatabaseのOracleデータベース・イメージは、プロビジョニング前にDBSATによってスキャンされます。プロビジョニング後は、DBSATを使用してデータベースを定期的にスキャンし、検出された問題を修正することをお薦めします。DBSATは、Oracleの顧客に対して無料で提供されます。

データベース・セキュリティの監査

Oracle Audit Vault and Database Firewall (AVDF)は、データベースの監査ログをモニターしてアラートを生成します。AVDFをOracle Cloud Infrastructureにインストールして構成する手順は、Oracle Cloud InfrastructureでのOracle Audit Vault and Database Firewallのデプロイを参照してください。

Data Safe

Oracleでは、データ・セーフ・サービスを使用してデータベース・デプロイメントのセキュリティを強化することをお薦めします。Oracle Data Safeは、データの機密性の理解、データに対するリスクの評価、機密データのマスキング、セキュリティ制御の実装とモニター、ユーザー・セキュリティの評価、ユーザー・アクティビティのモニター、およびデータ・セキュリティ・コンプライアンス要件の処理を支援する、Oracleデータベースの統合コントロール・センターです。詳細は、スタート・ガイドを参照してください。

データベースのバックアップ

可能な場合は常に、管理対象バックアップ(Oracle Cloud InfrastructureコンソールまたはAPIを使用して作成されるバックアップ)を使用することをお薦めします。管理対象バックアップを使用すると、Oracleによってオブジェクト・ストアのユーザーと資格証明が管理され、それらの資格証明が3日ごとにローテーションされます。Oracle Cloud Infrastructureによって、オブジェクト・ストア内のすべての管理対象バックアップが暗号化されます。バックアップの暗号化にはデフォルトで透過的データベース暗号化機能が使用されます。

管理対象バックアップを使用しない場合は、オブジェクト・ストアのパスワードを定期的に変更することをお薦めします。

セキュリティ・ポリシーの例

データベース・インスタンスの削除の防止

次のポリシーの例では、グループDBUsersは、データベースとすべてのアーティファクトの削除以外のすべての管理アクションの実行が許可されます。

Allow group DBUsers to manage db-systems in tenancy
 where request.permission!='DB_SYSTEM_DELETE' 
Allow group DBUsers to manage databases in tenancy
 where request.permission!='DATABASE_DELETE' 
Allow group DBUsers to manage db-homes in tenancy
 where request.permission!='DB_HOME_DELETE'