この記事はAlex Goldblattによる’Oracle Transparent Data Encryption (TDE) and General-Purpose Deduplication Technology‘の日本語翻訳版です。
2023年10月20日(2024年7月4日更新)
Oracle Transparent Data Encryption (TDE) と汎用重複排除テクノロジー
Introduction
このブログは、以下の業界全体のテクノロジーと市場の傾向に関する過去の記事の続きです。
前回の記事は次のようなまとめで終了しました。
- ハイブリッド・クラウド環境における主要なワークロードの管理と保護の新しい要件により、パブリック・クラウドを重視した IT 戦略への移行が推進されています。
- 従来の「フリーサイズ」のデータ保護アプローチは、アプリケーション・ネイティブの要件に対応するように設計されておらず、時間の経過とともにコモディティ化されます。ゆえに、クラウド・アプリケーションで定義されるSLAとの関連性が薄れていきます。
- オラクルは企業として、総合的なデータベースとアプリケーションの保護要件を念頭に置いて構築された、オンプレミスとパブリック・クラウドの両方の主要なワークロード・アプリケーション開発フレームワークを提供しています。
- オラクルのZero Data Loss Recovery Applianceは、Oracleデータベースのために設計された唯一のデータ保護ソリューションです。現在はオンプレミスのワークロードに対して最高クラスの保護を提供しており、将来的にはOracle Cloudのデータベースおよびアプリケーション・サービスに対しても同じSLAを提供する予定です。
暗号化と重複排除
それでは、なぜこの従来の「フリーサイズ」という言葉がほとんどの企業にとって機能しなくなったのかについて話していきましょう。
考えられる主な要因は、ストレージ業界の大きな進歩が失われ、ストレージの最適化が物理テープからディスクに移行していることです。 近年、企業のCIOはセキュリティやランサムウェア保護などのビジネス推進要因を最優先に考えており、同時に従量課金制のビジネスモデルを採用するパブリック・クラウド・サービスの採用も増加しています。ゆえに、彼らの意識は重複排除機能を備えたセカンダリ・ストレージなどのニッチなテクノロジーとの関連性が低くなっています。また、TCO/ROI を改善するためのストレージ最適化を実現するために、オンプレミス・データセンター向けに前倒しで締結されていたエンタープライズライセンス複数年契約 (ELA) は現在では公共サービス・プロバイダーの義務となり、収益に直接影響を及ぼしています。
私たちは「移行期」にあります。企業はまだ「万能」の「古い」ビジネス推進力を備えている一方、ビジネスクリティカルなアプリケーション向けのクラウドとサイバーセキュリティの最新推進力はすでに意思決定とIT における購入プロセスに大きな影響を与えています。
- ストレージ・ベースの重複排除を採用した一般的なデータ保護フレームワークは、ポートフォリオ全体にわたって一元的な管理を実現するマルチアセットITインフラストラクチャにとって依然として価値のあるソリューションです。
- ただし、エンドツーエンドのアプリケーション・セキュリティや非常に厳格な SLA に対する特定の要件があるシナリオでは、汎用ソリューションは適切ではない可能性があります。
- ランサムウェアからの保護はすべてのお客様にとって最優先事項です。これは単一のソリューションではありません。複数の保護層と複数のチームにわたる統一された対応で構成される完全な企業戦略です。
- ランサムウェア攻撃の影響は、非常に大きいです。
- 身代金を支払ったとしても、復元されたデータの品質や完全性を100%保障することはできません。
- したがって、計画の実践は災害復旧戦略に基づいてパターン化する必要があります。
そのため、次のような考慮事項が生じます。
- 徹底的な問題検出と包括的な戦略開発により、完全なセキュリティ評価を実行する必要があります。
- バックアップを含むストレージ・スタック全体のライフサイクル管理を通じて、エンドツーエンドの一貫した暗号化を使用してビジネスクリティカルなワークロードを実装します。
- 壊滅的なイベントが発生した場合に重要なビジネス資産を回復するために設計された「最終防御線」を使用して、アプリケーション、サーバー、ストレージ層にわたるマルチレベルの防御を構築します。
エンドツーエンドの暗号化 (本番環境からバックアップまで) が主要なビジネス要件になるにつれて、重複排除などの従来のテクノロジーの効果が低下し、関連性が低くなります。
基本的に、どのソリューションもそのようなエンドツーエンドの一貫したアプローチの一部ではない場合、実際には単に気を散らすだけでなく、ビジネスクリティカルなワークロードと一般的なワークロードの両方に重大な問題を引き起こす可能性があります。 稼働中または静止中のセキュリティと暗号化は、企業のランサムウェアとセキュリティ保護として設計されたセキュリティモデルを破壊します。 アプリケーションとデータベースの管理の観点から見ると、重複排除によるストレージ最適化の効果を維持するには、データベース関連の暗号化と圧縮をオフにする必要があります。 これにより大きなトレードオフが生じ、顧客はストレージの効率かエンドツーエンドのセキュリティのどちらかを選択する必要が出てきてしまいます。
最近発行されたテクノロジー概要「Oracle Transparent Data Encryption (TDE) and General-Purpose Deduplication Technology」では、Oracle Database Transparent Data Encryption (TDE) と Recovery Manager (RMAN) のバックアップ暗号化の詳細と、それらが汎用の重複排除テクノロジーに与える影響について詳しく説明しています。 オラクルでは、エンドツーエンドのデータベース・セキュリティ管理の重要な部分として、効果的な暗号化キーのローテーションを備えた TDE を使用することを強く推奨します。 バックアップ ストレージの最適化をより効果的に行うためだけにこれをオフにすることは、どの企業にとっても最善の利益とはなりません。 Oracle Cloud Infrastructure (OCI)はすでにZero Data Loss Autonomous Recovery Serviceでこの問題点に対処し、エンドツーエンドのTDE暗号化を完全に維持しながら、データベースのバックアップに可能な限り最高レベルのストレージ最適化を提供していますが、オンプレミスのITフレームワークは、はるかに細分化されており、ビジネスの重要な資産を保護するために、テスト/開発などのそれほど重要ではない IT 側面と比較して、ある程度細分化されたアプローチが必要になる場合があります。
したがって、セキュリティの脆弱性などの重要な要素に焦点を当てると、完全なエンドツーエンドのセキュアな環境を提供する本当の答えはOracle Zero Data Loss Recovery Applianceだけであることを理解することが重要です。 TDE暗号化データのストレージの最適化を維持します。 完全にサポートされている「永久増分」バックアップ戦略により、Zero Data Loss Recovery Appliance (ZDLRA) と Oracle Database Autonomous Recovery Service (ZRCV) の両方で、関連する暗号化を維持しながら、仮想ポイントインタイム (PIT) 完全合成バックアップを生成することもできます。 キーを使用して、ソース データベースの TDE 暗号化データの復号化を必要とせずに完全なリカバリを実現します。 さらに、TDE 暗号化キーはバックアップ データとは別に保存および管理されるため、バックアップ ストレージが侵害された場合でも、誰もビジネス クリティカルなデータを盗むことができなくなります。
今回の内容を要約すると、次のようになります:
- パブリック・クラウド・サービスにより、価格計算は大きく変化し、従来のオンプレミスのTCO/ROIを重視したストレージ最適化テクノロジーではなく、ビジネスの需要という観点で採用する技術が判断がされるようになってきています。
- 新たな脅威とセキュリティ上の懸念が近年より蔓延しています。
- 安全な IT 環境とストレージの最適化の間でトレードオフが発生すると、ビジネス全体が危険にさらされる可能性があるため、パブリック・クラウド・サービスの導入がさらに魅力的な選択肢になります。
参考情報:
Zero Data Loss Recovery Appliance
Oracle High Availability
Oracle Backup & Recovery Blog
AskTOM Backup & Recovery Office Hours
Twitter:@ZDLRAPM