この記事は”Marco Calmasini“による”Zero Data Loss Recovery Appliance Architectures for Ransomware Protection and Cyber-Resilience“の日本語翻訳版記事です。
2024年5月1日
オラクルのZero Data Loss Recovery Appliance Engineered Systemはリカバリすることを念頭に設計されており、オラクル・データベースを最大限に保護します。今日、最も重要な復旧シナリオはランサムウェア攻撃からの復旧です。
Recovery Applianceはバックアップ操作の無効化やバックアップの削除・破壊などの手法でリカバリを不可能にしようとする攻撃に対して本質的に強い耐性をシステムに持たせる機能を提供します。また、データベースからさまざまなバックアップ階層まで完全なライフサイクルの暗号化を維持するため、流出したバックアップはリストアに使用できません。
オラクルの新しいテクニカル・ブリーフでは、これらの主要な機能をイミュータブル・オブジェクト・ストレージを備えた単一のRecovery Appliance、マルチサイトDR、およびClean Roomを備えたCyber Vaultという3つの異なるアーキテクチャの導入と組み合わせて説明しています。この完全なソリューションを組み合わせることで、オラクル・データベースのサイバー攻撃からのリカバリに対する幅広いニーズに対応できます。
Recovery Applianceの機能を簡単にご紹介します:
- 職務分掌フレームワークは、一人のユーザーがアクティブデータとバックアップデータの両方を削除/変更することを防ぎます。DBAの認証情報を盗んだ悪意のあるユーザーは、バックアップを改ざんすることができません。また、万が一リRecovery Appliance管理者の認証情報に悪意のあるユーザーがアクセスできたとしても、そのユーザーはバックアップを削除したり(管理者用クォーラム認証が必要)、別の場所にバックアップをリストアしたり(DBAの認証情報が必要)することはできません。
- エンドツーエンドのデータベース暗号化バックアップにより、データの所有権とアクセスをDBAに残すことができます。すべてのバックアップは圧縮および暗号化され、非常に効率的な永久増分バックアップ戦略を使用してRecovery Applianceに転送されます。すべてのデータベースのリストアとデータ・アクセスには、RMANユーザーとキーストアの認証情報を含むDBAアクセスが必要です。
- 法規制で認定された不変バックアップは、特定の保存期間内のバックアップの改ざんを防止します。DBA、アプライアンス管理者、またその他のユーザーはバックアップやその保持ポリシーを削除/変更することはできません。すべてのユーザーとアプライアンスでのアクティビティは履歴ログに記録され、さらに分析するために外部の監視ツールに送信することができます。
- リアルタイムREDO転送技術により、ゼロから数秒までのRPOを達成します。Recovery Applianceは、データベースを元の場所またはクリーンな環境で、サイバー攻撃の直前まで迅速にリカバリすることができます。これにより、トランザクションを失うことなく、複数のデータベースを同じ時点までリカバリすることができます。
- データベースネイティブな異常検知機能は、Oracle Databaseの各ブロックの整合性を検証し、物理的にデータを改ざんしようとする試みを検知します。検証はすべてのデータ移動段階で行われ、バックアップがRecovery Applianceのディスクに保存されている間、継続的に実行されます。
Zero Data Loss Recovery Applianceは、Oracle Databaseのバックアップ・ライフサイクル全体にわたって暗号化を維持し、Oracleブロックの異常を検出、高速リカバリを提供します。
これはランサムウェア対策に必要とされる様々なデプロイ要件に応えることが出来るソリューションです。