Oracle Cloud Infrastructureドキュメント

GoldenGateの保護

このトピックでは、GoldenGateのセキュリティー情報および推奨事項について説明します。

Oracle Cloud Infrastructure GoldenGateは、業界をリードするセキュリティのベスト・プラクティスに従って、安全で使いやすいデータ・レプリケーション・ソリューションを提供します。

セキュリティ権限

GoldenGateを安全に使用するには、セキュリティおよびコンプライアンスの責任について学習します。

通常、Oracleは、クラウド・オペレータ・アクセス制御やインフラストラクチャ・セキュリティ・パッチ適用などのクラウド・インフラストラクチャおよび操作のセキュリティを提供します。クラウド・リソースを安全に構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。

Oracleは、次のセキュリティ要件を担当します。

  • 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供するすべてのサービスを実行するグローバル・インフラストラクチャの保護に責任を持ちます。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
  • 暗号化と機密性: GoldenGateの暗号化キーおよびシークレットは、データを保護し、保護されたリソースに接続するためにウォレットおよびボールトに格納されます。
  • ネットワーク・セキュリティ: GoldenGateデプロイメント・コンソールへの暗号化アクセスは、ポート443でのみSSLを介して有効になります。デフォルトでは、GoldenGateデプロイメント・コンソールへのアクセスは、顧客のプライベート・ネットワークのOCIプライベート・エンドポイントからのみ使用できます。パブリック・エンドポイントは、ポート443でSSLを介したGoldenGateデプロイメント・コンソールへの暗号化されたパブリック・アクセスを許可するように構成できます。

このページには、次の領域を含むセキュリティ職責が記載されています。

  • アクセス制御: 権限をできるだけ制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
  • GoldenGateデプロイメント・コンソール・アカウント管理: GoldenGateデプロイメント・コンソールへのアクセスは、OCIコンソールで管理されます。アカウントおよび権限は、GoldenGateデプロイメント・コンソールで管理されます。デプロイメント・ユーザーについてさらに学習します
  • ネットワーク・セキュリティ: ソースおよびターゲット(OCI GoldenGateデータベース登録)へのネットワーク接続を構成します。これらのデータベース登録がセキュアで暗号化されていることを確認します。各OCI GoldenGateデータベース登録は、適切なSSLパラメータを構成することでSSLを使用して保護できます。データベース登録の管理を参照してください。
  • ネットワーク暗号化: デフォルトでは、OCI GoldenGateへのすべてのネットワーク接続は、SSLを介してOracle提供の証明書で暗号化されます。指定した証明書または暗号化キーが最新で有効であることを確認してください。
  • セキュリティ・イベントの監査: OCI GoldenGateデプロイメント・コンソールには、セキュリティ・イベントが記録されます。このログには、OCI GoldenGateデプロイメント・バックアップからアクセスして確認できます。このログを定期的にモニターしてください。デプロイメント・バックアップについてさらに学習します
  • パッチ適用: OCI GoldenGateデプロイメントが最新であることを確認してください。更新は毎月リリースされるため、脆弱性を防ぐには、できるだけ早く最新のデプロイメント・パッチ・レベルにアップグレードする必要があります。デプロイメントのパッチ適用についてさらに学習します
  • Load BalancerまたはBastionを介したリモート・アクセスの監査: OCI GoldenGateに直接ないリモート・アクセスの監査が有効になっており、適切に構成されていることを確認します。詳細は、ロード・バランサのロギングを参照してください。

IAMポリシー

ポリシーを使用して、GoldenGateへのアクセスを制限します。

ポリシーは、Oracle Cloud Infrastructureリソースにアクセスできるユーザーとその方法を指定します。詳細は、ポリシーの仕組みを参照してください。

GoldenGate IAMの推奨事項:

  • IAMユーザーおよびグループの最小限のアクセス権限を、goldengate-familyのリソース・タイプに割り当てます。
  • 認可されたユーザーまたは悪意のある削除による不注意によるデータの損失を最小限に抑えるために、Oracleでは、GOLDENGATE_DEPLOYMENT_DELETEおよびGOLDENGATE_DATABASE_REGISTRATION_DELETE権限をIAMのユーザーおよびグループの最低限の最低限に設定することをお薦めします。これらの権限はテナンシ管理者およびコンパートメント管理者にのみ付与してください。
  • GoldenGateでは、データベース登録からデータを取得するためにUSEレベル・アクセスのみが必要です。

サンプル・ポリシー:

デプロイメントの削除の防止

このポリシーを作成すると、グループggs-usersはデプロイメントに対してすべてのアクション(削除を除く)を実行できます。

Allow group ggs-users to manage goldengate-family in tenancy where request.permission!='GOLDENGATE_DEPLOYMENT_DELETE'

GoldenGateポリシーの作成の詳細は、Oracle Cloud Infrastructure GoldenGateポリシーを参照してください。