※ 本記事は、Vishak Chittuvalapilによる”Register Autonomous Databases With Oracle Data Safe in a Few Simple Steps“を翻訳したものです。
2022年5月17日
Oracle Data Safeは、完全に統合されたデータベース・セキュリティ・クラウド・サービスです。これには、Oracle Databaseおよびデータベース・サービスの機密データと管理データを保護するための包括的な機能のコレクションが付属しています。
Oracle Data Safeは、インストールされている場所やStandard EditionとEnterprise Editionのどちらを実行しているかにかかわらず、すべてのOracle Databaseデプロイメントに対して迅速かつ便利に使用できます。ただし、このブログ投稿では、Data SafeでのAutonomous Databaseの登録に関して最も一般的なユース・ケースについて説明します。
1. パブリックIPアドレスを使用するすべての場所からのセキュア・アクセスによる共有ExadataインフラストラクチャへのAutonomous DatabaseのOracle Data Safeへの登録。
2. Oracle Data SafeでのプライベートVCNアクセスを使用した共有ExadataインフラストラクチャへのAutonomous Databasesの登録。
Oracle Data SafeのパブリックIPアドレスを使用するすべての場所からのセキュア・アクセスによる共有ExadataインフラストラクチャへのAutonomous Databaseの登録。
1. Oracle Cloud Infrastructure(OCI)テナンシでData Safeがすでに有効化されており、適切なOCI Identity Access Management(IAM)ポリシーを構成して、Data Safeサービスの実行を有効にし、ユーザーがアクセスできるようにしたとします。
ユース・ケースに応じて、より広範なレベルまたは細かいレベルでポリシーを提供できます。詳細は、Data Safeのドキュメントを参照してください。
より広範な権限の付与の一例を次に示します。この構成では、「Data-Safe-Admins」グループがすべてのデータ・セーフ・リソースを管理し、Autonomous Databaseを使用できます。また、Oracle Data Safeコンソールでユーザーおよびユーザー・グループをリストすることもできます。
2. 2番目のステップでは、1回のクリックでData SafeにAutonomous Databaseを登録します。
Oracle Cloud Infrastructure(OCI)コンソールのナビゲーション・メニューから、「Oracle Database」を選択し、「Autonomous Transaction Processing(ATP)」を選択します。正しいコンパートメントにいることを確認し、登録するATPを選択します。「Autonomous Database Information」タブの「Data Safe」で、「Register」をクリックします。
3. 「Register Database with Data Safe」ダイアログ・ボックスで、「Confirm」をクリックします。
登録プロセスの完了を許可します。登録が完了すると、ステータスは「Registered」に変わります。
4. 「View」をクリックします。ターゲット・データベースはOCI Data Safeコンソールに正常に登録されます。
Oracle Data SafeでのプライベートVCNアクセスを使用した共有ExadataインフラストラクチャへのAutonomous Databaseの登録。
1. まず、どこからでもセキュア・アクセスで共有ExadataインフラストラクチャへのAutonomous Databaseの登録のステップ1に従ってポリシーを追加します。また、コンパートメント内のすべての仮想ネットワーキング・リソースを管理する広範な権限を追加します。これは、Data Safeのプライベート・エンドポイントとの間のトラフィックを制御するために必要です。
2. 次に、「Navigation」ペインで、「Data Safe」をクリックします。
2番目のステップは、データ・セーフにプライベート・エンドポイントを作成することです。プライベート・エンドポイントは、プライベートVCNで実行されているOracle Cloudデータベース(OCIコンピュート上のOracle Databaseを含む)に接続したり、OCIへのFastConnectまたはIPSec VPN接続を持つOracleオンプレミス・データベースに接続するために必要です。「Connectivity Options」の下の「Create Private Endpoints」をクリックします。
プライベート・エンドポイント作成のための名前、コンパートメント、VCNおよびサブネットなど、すべての詳細を入力します。データベースの既存のコンパートメント、VCNおよびサブネットを使用して、より迅速な解決を実現しました。
ほとんどの場合、データベースは追加の保護のためにネットワーク・セキュリティ・グループ(NSG)を使用して構成され、同じ/新しいネットワーク・セキュリティ・グループを使用してデータ・セーフ・プライベート・エンドポイントを構成することをお薦めします。データベースのNSGと同じNSGを選択できます。または、この2つを分離する場合は、新しいNSGを作成し、データ・セーフ・プライベート・エンドポイントの作成時にそれを追加します。
ここで、データ・セーフ・プライベート・エンドポイントNSGはprivate_endpoint_nsgで、データベースNSGはdatabase_nsgです。これらは後でデータベースの登録に使用します。
作成に成功すると、「Active」状態のプライベート・エンドポイントが表示されます。
3. 「Data Safe Overview」ページで「Autonomous Database」タイルを見つけて、「Start Wizard」をクリックします。ウィザードには、「Data Safe Target Information」フォームが表示されます。
4. データ・セーフに登録するコンパートメントからAutonomous Databaseを選択します。データ・セーフ・ターゲット表示名、ターゲットを配置するコンパートメントおよび説明(オプション)を指定します。終了したら、「Next」をクリックします。
5. 接続オプションでは、データベースのVCNのステップ2で以前に構成された既存のData Safeプライベート・エンドポイントが登録に使用されます。「Next」をクリックします。
6. 「Add Security Rule」では、セキュリティ・ルールを今すぐまたは後で追加できます。プロセスを簡素化するために、今すぐ追加する方がいいでしょう。 Oracle Data Safeからデータベースへの通信を許可するには、2つのセキュリティ・ルールを追加する必要があります。
データベースのイングレス・ルール: データベースが(任意のポートから)Oracle Data Safeプライベート・エンドポイントのプライベートIPアドレスからポート上の受信トラフィックを受信できるようにします。
Oracle Data Safeプライベート・エンドポイントのエグレス・ルール: Oracle Data Safeプライベート・エンドポイント(任意のポートから)がデータベースのポート上のデータベースIPアドレスにリクエストを送信できるようにします。
イングレス・ルールにはデータベースのNSGを選択し、エグレス・ルールにはデータ・セーフのプライベート・エンドポイントのNSGを選択してください。終了したら、「Next」をクリックします。
7. すべての情報が正しく入力されたら、「Register in Review」および「Submit」を押します。登録ステップはターゲット・データベースに対して評価されます。
これで終了です! ターゲット・データベースはOCI Data Safeコンソールに正常に登録されます。これで、Data Safeが表にもたらすすべてのセキュリティおよびコンプライアンスのメリットが得られます。楽しい探索をお楽しみください!
