- Oracle Cloud
管理者ユーザー必見!OCI IAMポリシーでwhere句を使い条件式を設定する方法
OCI IAMポリシーは、where句を使った条件式を使用することで、柔軟な権限付与が可能になります。今回は、where句による条件式の設定例およびwhere句の有無による違いについてご紹介します。
|
近年はランサムウェアなどサイバー攻撃が増えており、クラウドを選定する上でセキュリティが大丈夫なのかは確認しておくべき重要なポイントです。
本記事では、Oracle Exadataを基盤としたクラウドであるOracle Exadata Database Service on Dedicated Infrastructure(ExaDB-D)とOracle Exadata Database Service on Cloud@Customer (ExaDB-C@C)で、どのようなセキュリティ対策が実装されているのかをご説明します。
(以下、ExaDB-DとExaDB-C@Cの両方を指す場合は「Exadata Cloud」と表記します)
Index
1. ISMAPに準拠
2. ランサムウェアへの対策
3. Exadata Cloudのセキュリティ実装
「Information system Security Management and Assessment Program」(以下、ISMAP)とは、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入に資することを目的とした制度です。
|
Exadata Cloudは、このISMAPに認定されていることからもわかるとおり、機密性、完全性、可用性が高いサービスです。クラウドを検討する上で、セキュリティを客観的に評価できることは重要なポイントであり、ISMAPに準拠しているExadata Cloudなら安心して利用できます。
ISMAPに加え、下記の認証制度などの準拠証明を取得済みです。
・ISO 27001 : 情報セキュリティマネジメントシステム(ISMS)に関する国際規格
・PCI DSS : クレジットカード業界のセキュリティ基準
・HIPAA : 医療情報のセキュリティ基準について定めた米国の法律
・SOC : 内部統制を外部監査により保証する国際標準の認証
昨今注目されているゼロトラストセキュリティの考え方では、ネットワーク中心のセキュリティからデータ中心のセキュリティへとシフトしてきています。(ゼロトラストの詳しい内容はこちら
)
Exadata Cloudでは、データを中心とした以下のランサムウェア対策が実装されています。
・未然防止策
隔離されたネットワーク、アクセス制御
・データ流出対策
データの暗号化
・リカバリ対策
バックアップ(Zero Data Loss Recovery Appliance(ZDLRA)、Oracle Cloud Infrastructure Object Storage)の取得とData Guard
※リカバリ対策は、ユーザーにて対策を実装する必要があります。
Oracle Databaseへの通信は暗号化されており、アクセス制限をすることも可能です。また、OSログインにはSSH鍵認証が必要となっており、セキュリティ設定がされています。
・ネットワークの暗号化
・SSH鍵認証でのOSログイン
・Oracle Identity and Access Management(IAM)ポリシーベースのアクセス制限
初期状態でOracle Advanced Securityオプションの機能である透過的データベース暗号化(TDE)を実装済みです。暗号化ウォレットなど重要なファイルも自動バックアップする仕組みがあらかじめ実装されており、安心してご利用いただけます。
・暗号アルゴリズムは最も高いレベルのAES256を利用
・外部出力データ(バックアップファイル)も暗号化
さらに、Exadata Cloudでは、Oracle Database VaultオプションやOracle Data Redactionオプションも標準で含まれており、利用可能です。
・Database Vaultを使用することで、特権ユーザーの権限分掌、アクセス制御することでデータ漏洩・破壊を防止
・Oracle Data Redactionにより、アプリケーションに返すデータをマスキングすることで、本番環境のデータベースを秘匿化した安全なテストデータを開発環境で使用可能
オンプレミス Exadata | ExaDB-C@C | ExaDB-D | |
---|---|---|---|
DB 暗号化 | 別途ライセンスが必要 | デフォルト有効 | デフォルト有効 |
Database Vault | 別途ライセンスが必要 | 利用可能※ | 利用可能※ |
Data Redaction | 別途ライセンスが必要 | 利用可能※ | 利用可能※ |
その他にも、最新のデータベース・セキュリティ機能であるData Making(実データをマスキングする機能)やLabel Security(参照範囲を制限する機能)などもサービスに含まれており利用可能です。
他のお客様と完全に独立した物理サーバの占有利用が可能です。セキュリティ要件により、ハードウェアの占有が必要な場合もExadata Cloudなら安心です。
※通常のOracle Cloud Infrastructure(OCI)では、同一サーバを複数企業で共有利用します。
Exadata Cloudには、安心してご利用いただくための様々なセキュリティ対策が実装されています。ぜひ、クラウド版のExadataをご検討いただき、強固なセキュリティのメリットを享受いただければと思います。
今回は、クラウド版Exadataのセキュリティについて解説しましたが、OCIでのセキュリティ概要や機能についての解説記事もありますので、ぜひご参考に!
Oracle Cloudとはなにか、図解や簡単な言葉でわかりやすく20分程にまとめた動画です。
Oracle Cloudがなぜ選ばれているか、事例も交えて魅力も説明しています。
ご興味のある方はどうぞご活用ください。
2016年入社。Oracle Databaseのフィールドエンジニアとしてお客様先での構築支援やOracle Database Applianceに従事。 SQL関連の教育セミナーの講師も務める。2021年からはOracle Exadata Database Machineを中心に担当。 趣味はサウナ。 ...show more
■本記事の内容について
本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
OCI IAMポリシーは、where句を使った条件式を使用することで、柔軟な権限付与が可能になります。今回は、where句による条件式の設定例およびwhere句の有無による違いについてご紹介します。
2024年5月のアップデートで、Computeインスタンスを再作成せずにブートボリュームをリストアできるブートボリューム置き換えの機能が追加されました。この機能追加により、従来のリストア方法よりも手順が少なくなり、障害発生時にも迅速な復旧が可能になりました。
OCVSは、Oracle Cloud上でVMwareをご利用いただけるサービスです。本記事では、OCVS・SDDCの概要や、オンプレミスと比較したOCVSのメリットをお伝えします!