※ 本記事は、Bettina Schaeumerによる”Manage the security of your Amazon RDS for Oracle databases with Oracle Data Safe“を翻訳したものです。

Oracle Data Safeサービスが、Amazon Relational Database Service (RDS)で実行されているOracleデータベースに不可欠なセキュリティ・サービスを提供するようになったことをお知らせします。RDSサポートを追加することで、Data Safeは、Oracle Cloud Infrastructure(OCI)、Oracle Cloud@Customer、Microsoft AzureやAmazon Web Services(AWS)などのサードパーティ・クラウド、およびオンプレミスのすべてのOracle Databaseデプロイメントを保護するのに役立ちます。

データ・セキュリティは、コンプライアンスと終わりのないセキュリティ侵害のため、ビジネス・リーダーにとって最大の懸念事項の1つです。Oracleデータベースのセキュリティ管理を担当するセキュリティ・チームは、異なるスタンドアロン・ツールや、複数のクラウドやオンプレミスでのデータベースの増加など、多くの課題に直面しています。その結果、これらのデータベースはより簡単な攻撃に対して脆弱になる可能性があります。Oracle Data Safeは、お客様がどこにいるか、エンタープライズ・エディションかスタンダート・エディションか、現在サポートされているOracle Databaseのいずれかのリリースを実行しているかどうかに関係なく、すべてのOracleデータベースを保護できるソリューションを提供します。

Data Safeは、セキュリティ制御の評価、ユーザー・セキュリティの評価およびユーザー・アクティビティのモニターに役立ちます。これは、機密データを検出し、非本番目的で機密データをマスキングすることで、データベースのデータ・セキュリティ・コンプライアンス要件に対処するのに役立ちます。Data Safeを使用すると、セキュリティ構成のギャップの特定、休眠中のユーザー・アカウントの特定、データベースに格納されている機密情報の把握、テスト環境および開発環境の機密データの保護、監査データの収集、保持およびレポート要件への対処を行うことができます。

Oracle Data Safeでは、RDS上のデータベースのOracle Enterprise EditionおよびOracle Standard Edition 2がサポートされるようになりました。Oracle Standard EditionデータベースのData Safeサポートにより、以前はEnterprise Editionのお客様のみが利用できていたデータ・マスキングなどの高度なセキュリティ機能にアクセスできるようになり、どこでもデータを保護できます。

Data Safeは、すべてのOracle Databaseを1箇所で保護できるため、複数のコンソールを持つ必要がなくなり、複数のインスタンスを管理する必要もなくなります。Oracle Data Safeには、インストールやメンテナンスを必要としない使いやすいクラウドベースのインタフェースがあります。

Oracle Data Safeに迅速かつ簡単に接続

AWSで実行されているOracle RDSデータベースをOracle Data Safeに接続するには、2つのオプションがあります。

プライベート・エンドポイントの使用

Amazon RDS for OracleデータベースとOCI仮想クラウド・ネットワーク(VCN)の間にネットワーク接続をすでに設定している場合は、その接続を利用して、Data Safeプライベート・エンドポイントを介してデータベースを登録できます。プライベート・エンドポイントは、プライベートIPアドレスを持つOCI VCN内のOracle Data Safeサービスを表します。プライベート・エンドポイントは、OCI VCNからターゲット・データベースのAWS VPCサブネットにコールできる必要があります。

light-weightコネクタをEC2インスタンスにインストール

データベースを登録するもう1つの簡単な方法は、Data Safeオンプレミス・コネクタを使用することです。このコネクタは、AWS環境のLinuxホストにインストールできます。コネクタは、Oracle Data Safeへの暗号化されたTLSトンネルを確立します。AWSテナンシで複数のOracle Databaseをサポートするには、1つのコネクタのみをデプロイする必要があります。

Data Safeにデータベースを登録する前に、Data Safeプライベート・エンドポイントまたはData Safeオンプレミス・コネクタを作成することも、登録時に作成することもできます。

Oracle Data Safeへのデータベースの登録

使用する接続オプションを決定したら、専用の登録ガイドを使用して、Data Safeにデータベースを登録するのは簡単です:

登録時に、Data Safeがデータベースに接続するために使用するデータベース・アカウントを指定する必要があります。Data Safeユーザーに必要なロールおよび権限を付与するために実行できるSQLスクリプトを提供します。使用するData Safe機能に応じて、付与する権限を選択します。詳細は、次のリソースを参照してください:

• ターゲット・データベースでのOracle Data Safeサービス・アカウントの作成

ターゲット・データベースのOracle Data Safeサービス・アカウントにロールを付与

次のステップを使用します:

1. データベースで作成したサービス名、IPアドレスとポート番号、Data Safeサービス・アカウント資格証明など、データベースのターゲット情報を指定します。
2. 接続オプション: Data Safeプライベート・エンドポイントまたはData Safeオンプレミス・コネクタのどちらを使用して接続するかを選択します。以前に作成した既存のプライベート・エンドポイントまたはコネクタを入力することも、作成したコネクタを作成することもできます。
3. セキュリティ・ルール: Data Safeプライベート・エンドポイントを使用する場合、VCN内のプライベート・エンドポイントからの送信通信を許可する必要があります。プロセスによって、必要なエグレス・ルールを作成できます。また、AWS上のデータベースの受信通信を許可する必要があります。

詳細な手順については、Data Safe管理ガイド「Amazon RDS for Oracleデータベースの登録」を参照してください。

これで、ターゲット・データベースでData Safeを使用できるようになりました。まず、登録時に自動的にスケジュールされたセキュリティおよびユーザー評価レポートを確認します。Data Safeセキュリティ・センターの「Security Assessment」および「User Assessment」の下にあります。

次のステップを実行

Data Safeについてさらに学習するには、この短い概要ビデオを参照してください。ハンズオン・ツアーについては、Oracle LiveLabsのData Safeチュートリアルを参照してください。独自のデータベースまたはOracle Autonomous Database 30日間の無料トライアルでData Safeを試すこともできます。