- Oracle Database
【Oracle Database】FAQで安定運用に貢献!サポートセンターのナレッジ公開の取り組み
アシストオラクルサポートセンターが公開しているFAQは、仕様に関するQAやエラー発生時の対処方法などはもちろん、不具合情報や障害発生時の情報取得方法といった安定運用に役立つ内容も扱っています。そのFAQをどのように作成しているのか、サポートセンターの取り組みをご紹介します。
|
|
前回は、クラウド環境でのデータベースセキュリティについて、オンプレミス環境との相違点という観点で、責任共有モデルの理解、多層防御によるデータ保護、Oracle Data Safeについて説明いたしました。今回は、Oracle Data Safeを有効化する方法と監視対象とするデータベースを登録する方法をご案内します。
※前回の記事はこちらから
クラウドでのデータセキュリティはオンプレとどう違う?~Oracle Data Safe概要~
Index
企業にとってデータは重要な資産であり、今、改めてデータ保護の必要性が問われています。
データをクラウド環境に置くことも増えていることから、クラウド環境の特性や利用可能な機能の理解も重要です。
前回の記事で説明しましたとおり、オンプレミス環境のデータベースと クラウド環境のデータベースを保護するために、Oracle Cloud Infrastructureでは、Oracle Data Safe サービスを利用することができます。
Oracle Data Safeは、Oracle Databaseに格納されたデータのセキュリティに重点を置いた、統合されたクラウド サービスです。Oracle Data Safeには以下の機能が含まれます。
加えて、ターゲット・データベースに対するアラート機能を有効にすることで、データベースに対するアクティビティを追跡することもできます。
それでは、Oracle Data Safeを有効化する手順から確認していきましょう。
1. Oracle Data Safeを有効にするためには、有効化するユーザーが「管理者」グループのメンバーであるか、あるいは以下URLにある「Required Permissions for Enabling Oracle Data Safe」に記載されている「特定の権限」が付与されている必要があります。
https://docs.oracle.com/en/cloud/paas/data-safe/admds/enable-oracle-data-safe.html#GUID-E58596FC-A306-4A2C-BC64-3F65A6C56D3C
2. Oracle Cloud InfrastructureのWebコンソール メニューから、「Oracle Database」、「データ・セーフ」 の順に選択すると概要ページが表示されます。
|
|
3. 「概要」ページで、Oracle Data Safe を有効にするリージョンを選択し、「データ・セーフの有効化」をクリックします。
|
|
4. Oracle Data Safe を有効にした後に 「データ・セーフ」 セクションの「Settings」 をクリックして、必要に応じてデータベースのアクティビティログの保存期間を変更できます。
|
|
|
|
Oracle Data Safeを有効にした後、監視対象となるターゲットデータベースを先に登録する必要があります。
ここでは、Oracle Cloud Infrastructure上のデータベースのプライベートIP アドレスをOracle Data Safeのプライベート・エンドポイントとして登録するために必要な手順の概要を説明します。
1. Oracle Data Safeの監視対象として登録するために、ターゲットデータベースにOracle Data Safeで使用するユーザーアカウントを作成します。そして、作成するユーザーアカウントに最小限の権限を付与します。
実行するSQLは以下を参考にしてください。
CREATE USER DATASAFE_ADMIN identified by <password> DEFAULT TABLESPACE "DATA" TEMPORARY TABLESPACE "TEMP"; GRANT CONNECT, RESOURCE TO DATASAFE_ADMIN;
2. Oracle Data Safe Service へのロールの付与
「データ・セーフ」の「概要」ページから、「Oracle Cloud データベース」の「ウィザードを開始」をクリックします。
|
|
「登録 クラウド・データベース(DBシステム)」ページで「権限スクリプトのダウンロード」をクリックします。
|
|
SQL権限スクリプト「datasafe_privileges.sql」をダウンロードし、このスクリプトをターゲット・データベースで「SYS」ユーザーとして実行します。
Oracle Data Safe のすべての機能を使用できるようにするために、以下のSQLを実行します。
@datasafe_privileges.sqlGRANT ALL -VERBOSE
3. プライベート・サブネット内のデータベースをOracle Data Safe へ接続するためのプライベート・エンドポイントを作成します。
「データ・セーフ」セクションの「ターゲット・データベース」をクリックし、「接続オプション」セクションの「プライベート・エンドポイント」をクリックします。その後、「プライベート・エンドポイントの作成」をクリックします。
|
|
「プライベート・エンドポイントの作成」画面で、登録する必要があるデータベースが存在するコンパートメント名、VCNおよびプライベート・サブネットを選択します。必要に応じてオプションの詳細を入力し、「プライベート・エンドポイントの作成」 をクリックします。
|
|
プライベート・エンドポイントが作成され、しばらくするとアクティブになります。
|
|
4. 「Oracle Cloud データベース」のウィザードを実行し、データベースを登録します。その際は TCP 接続を使用します。
データ・セーフの「概要」ページから「Oracle Cloudデータベース」の「ウィザードの開始」をクリックします。
|
|
「登録 クラウド・データベース(DBシステム)」画面で、クラウド・データベース・タイプ、プライベート・データベースをそれぞれ選択します。
「プライベートIPを持つデータベースですか?」で「はい」を選択します。
その後、データベース・サービス名を指定します。
※コンテナデータベースの場合は、PDBサービス名を指定します。
TCP 接続を選択します。
※TLS 接続が必要な場合は、Oracle Cloud Infrastructureのマニュアルから手順を参照してください。
手順 1 で作成したユーザーのデータベース・ユーザー名とパスワードを入力します。入力後に「次」をクリックします。
|
|
「接続オプション」 画面で、手順 3 で作成したプライベート エンドポイントの情報が表示されます。 確認して「次」をクリックしてください。
|
|
「セキュリティ・ルールの追加」 画面で、「はい、今すぐセキュリティ・ルールを追加します」 をチェックし、必要なセキュリティ・ルール(データベースのイングレス・ルールとOracle Data Safeプライベート エンドポイントのエグレス・ルール)を作成します。
「セキュリティ・リスト」 を選択し、ターゲット・データベースが存在するプライベート・サブネットのセキュリティ・リストを選択します。 イングレス・ルールとエグレス・ルールを確認後、「次」 をクリックします。
|
|
「確認および送信」画面で内容を確認して「登録」をクリックします。
|
|
データベースの登録が開始されます。登録処理中は、サインアウトしたり、ブラウザ を閉じたりしないでください。 しばらくすると、登録が完了してアクティブになります。
|
|
また、登録プロセス中に適切なエグレスおよびイングレスのセキュリティ・ルールが自動的に作成されていることも併せて確認してください。
5. プライベート・データベースが登録されると、「データ・セーフ」 ページの 「セキュリティ・センター」 セクションにある 「ダッシュボード」 をクリックすることで、データ・セーフのダッシュボードを確認することができます。
|
|
「セキュリティ・アセスメント」と「ユーザー・アセスメント」の詳細が表示されていることがわかります。
|
|
Oracle Data Safeの「データ検出」、「データ・マスキング」、「アクティビティ監査」、「アラート」の各機能を使用するための設定は、次回以降で紹介します。
以上でターゲット・データベースのOracle Data Safeへの登録が完了しました。次回は、Oracle Data Safeの機能における、発見的統制を実現するためのアクティビティの監査機能を利用する手順を解説します。お楽しみに。
<参考情報>
Oracle Data Safeを利用する際の費用については、以下のURL を参照してください。
https://www.oracle.com/cloud/price-list.html#data-safe
|
|
企業の最重要な資産のひとつであるデータベースをクラウドに移行する際、セキュリティで押さえるべき基本とは?
以下の観点で、クラウドならではのセキュリティ対策の活用法をお伝えします。
|
|---|
2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案/啓蒙活動も担当し、二足の草鞋で活躍中。...show more
|
|---|
2019年5月よりアシストでデータベースエンジニア、コンサルタントとして勤務...show more
■本記事の内容について
本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
アシストオラクルサポートセンターが公開しているFAQは、仕様に関するQAやエラー発生時の対処方法などはもちろん、不具合情報や障害発生時の情報取得方法といった安定運用に役立つ内容も扱っています。そのFAQをどのように作成しているのか、サポートセンターの取り組みをご紹介します。
Oracle Databaseのバージョン11g R2、12g.R1、12g.R2は既にすべてのメーカーサポートが終了しています。OCIのBase Database Serviceでも2024年1月中旬ころから11g R2、12g R1、12g R2での新規プロビジョニングができなくなりました。
Oracle Cloudでクラウドアカウントごとに設定されているサービスの利用上限値「サービス制限(サービスリミット)」の引上げ方法とその注意点をご紹介します。
