- AWS
- Oracle Cloud
- Oracle Database
- Exadata
アーキテクチャ解説&予想!Oracle Database@AWS解析白書②
2024年12月1日、ついにOracle Database@AWSがLimited Previewにて提供されました!今回は現時点で判明している情報について、ドキュメントを読み解きながらOracle Database@AWSのアーキテクチャの予想も交えてお伝えします。
|
前回は、クラウド環境でのデータベースセキュリティについて、Oracle Cloud Infrastructureで提供される統合データベースセキュリティ管理サービス Oracle Data Safeについて解説しました。今回は、データベースを稼働させるインフラストラクチャ、すなわちテナントを保護するための機能であるOracle Cloud Guardの概要と初期設定を行う方法をご案内します。
※前回までの記事はこちらから
・クラウドでのデータセキュリティはオンプレとどう違う?~Oracle Data Safe概要~
・マルチクラウド環境やオンプレミスのOracle DBも同じツールで一括管理!~Oracle Data Safeの設定方法~
・統合DBセキュリティサービス「Oracle Data Safe」でワンランク上のデータセキュリティを実現!~Oracle Data Safeの主要機能~
Index
Oracle Cloud Guard は、セキュリティの問題を監視・検出するのに役立つ Oracle Cloud Infrastructure が提供する無料のサービスです。 Oracle Cloud Guard は、セキュリティの問題を検出するだけではなく、特定された問題を修正するために設定変更の提案を表示できます。また、ユーザーに代わって設定変更を実行することもできます。
Oracle Cloud Guard を有効化して利用する前に、まず Oracle Cloud Guard で使用される基本的な用語を紹介します。
Oracle Cloud Guard がチェックする対象のコンパートメントの範囲を指します。チェックする対象の全ての子コンパートメントは、親コンパートメントに割り当てられた構成を継承します。
コンパートメントごとに異なる検出ルールを構成するには、それらに対して個別にターゲットを定義する必要があります。
コンパートメントの詳細については、次の URL を参照ください。
https://www.ashisuto.co.jp/db_blog/article/N0023_OracleCloud_20200710.html
アクティビティまたは構成に基づいて、潜在的なセキュリティの問題を特定するためのチェックを実行します。
ディテクターが問題を特定したときに Oracle Cloud Guard が実行できるアクションを指定します。(手動または自動)
レポート・リージョンを選択すると、ホストされている国の全ての法的要件に準拠することになります。そのため、レポート・リージョンの選択は慎重に行ってください。
Oracle Cloud Guard を有効にすると、Oracle Cloud Guard を無効にして再度有効化しない限り、レポート ・リージョンを変更できません。
Oracle Cloud Guard を無効化すると、全てのカスタマイズ設定と既存の問題(履歴を含む)が失われます。そのため、カスタマイズ設定は手動で復元する必要があります。また、Oracle Cloud Guard は、レポート・リージョンからのみ無効にできる点も留意ください。
1.ユーザーが Oracle Cloud Guard を使用できるようにするには、管理者権限を持つユーザーグループ (CloudGuardUsers)を作成します。
2.Oracle Cloud Guard リソースを管理するには、次のステートメントにポリシーを追加して、CloudGuardUsers グループ内の全てのユーザーを有効にします。
allow group CloudGuardUsers to manage cloud-guard-family in tenancy
注: 「管理者」グループのメンバーである場合は、上記「1.」 「 2.」 をスキップして以下のポリシーを使用してください。
allow group Administrators to manage cloud-guard-family in tenancy
ポリシーの詳細な設定については、次の URL を参照ください。
https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm
1.ナビゲーション メニューを開き、「アイデンティティとセキュリティ」をクリックします。 「クラウド・ガード」セクションの「概要」をクリックします。
|
2.表示されるクラウド・ ガードのページで、「クラウド・ ガードの有効化」ボタンをクリックします。
|
3.「クラウド・ガードの有効化」ダイアログ ボックスで「ポリシーの作成」をクリックすることで、Oracle Cloud Guard がテナントのリソースを管理できるようにするポリシー「CloudGuardPolicies」をポリシーグループに追加できるようにします。
|
以下のポリシーが追加されます。
allow service cloudguard to manage cloudevents-rules in tenancy where target.rule.type='managed' allow service cloudguard to read vaults in tenancy allow service cloudguard to read keys in tenancy allow service cloudguard to read compartments in tenancy allow service cloudguard to read tenancies in tenancy allow service cloudguard to read audit-events in tenancy allow service cloudguard to read compute-management-family in tenancy allow service cloudguard to read instance-family in tenancy allow service cloudguard to read virtual-network-family in tenancy allow service cloudguard to read volume-family in tenancy allow service cloudguard to read database-family in tenancy allow service cloudguard to read object-family in tenancy allow service cloudguard to read load-balancers in tenancy allow service cloudguard to read users in tenancy allow service cloudguard to read groups in tenancy allow service cloudguard to read policies in tenancy allow service cloudguard to read dynamic-groups in tenancy allow service cloudguard to read authentication-policies in tenancy allow service cloudguard to use network-security-groups in tenancy allow service cloudguard to read data-safe-family in tenancy allow service cloudguard to read autonomous-database-family in tenancy
全てのポリシーが正常に作成されたら、「次へ」 をクリックします。
|
4.表示される画面で、レポート・リージョンとコンパートメントを選択します。
さらに、構成ディテクタ・レシピに「OCI Configuration Detector Recipe (Oracle管理) 」を選択、アクティビティ・ディテクタ・レシピに「OCI Activity Detector Recipe (Oracle管理) 」を選択、脅威ディテクタ・レシピに「OCI Threat Detector Recipe (Oracle管理)」を選択します。最後に「有効化」をクリックします。
|
5.有効化が完了したら、クラウド・ガード画面で「クラウド・ガードに移動」をクリックします。
|
クラウド・ガードの「概要」ページが次のように表示されます。「概要」ページでは、セキュリティ・スコアの評価、リスク・スコア、問題、推奨事項などの詳細を取得できます。
|
Oracle Cloud Guardが有効化されると、「クラウド・ガード」セクションの下の「問題」リンクをクリックして、ターゲットとなるコンパートメントでこれまでに検出された問題のリストを一覧表示できます。
|
本記事では、Oracle Cloud Infrastructure全体の構成・操作を監視し、セキュリティ上の問題を検知可能なOracle Cloud Guardの概要を解説しました。次回は、Oracle Cloud Guardによって検出された問題の解決方法を解説します。お楽しみに。
企業の最重要な資産のひとつであるデータベースをクラウドに移行する際、セキュリティで押さえるべき基本とは?
2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案/啓蒙活動も担当し、二足の草鞋で活躍中。...show more
2019年5月よりアシストでデータベースエンジニア、コンサルタントとして勤務。...show more
■本記事の内容について
本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
2024年12月1日、ついにOracle Database@AWSがLimited Previewにて提供されました!今回は現時点で判明している情報について、ドキュメントを読み解きながらOracle Database@AWSのアーキテクチャの予想も交えてお伝えします。
Oracle Database 23aiでは生成AIに関連する新機能が多く追加。特にAutonomous Database 23aiの「Select AI」機能は大規模言語モデル(LLM)を使用して、自然言語による問い合わせやテストデータの自動生成が可能に。本記事では、Select AIの機能について検証結果を交えて紹介します。
RMANを使って表単位リカバリをする際には制御ファイルのバックアップにも注意する必要があります。世代管理の設定次第では意図せずリカバリができないことがあるため、注意点をお伝えします。