X

A blog about Oracle Technology Network Japan

Oracle Data Safeを使って既存のOracle Databaseを保護するには

Guest Author

※本記事は、Paul Toalによる"Protecting your existing Oracle Databases with Oracle Data Safe"を翻訳したものです。


このブログをご覧の皆さんは、Oracle Databaseのセキュリティ評価を実施し、その結果から基準値を設定し、そこからの変化をモニタリングするのに、どのくらい時間をかけているでしょうか。不審なデータベース・ユーザーを特定するためのユーザー評価や、機密データの格納場所およびその量の特定を、どのくらい迅速に実施されているでしょうか。またデータベースがオンプレミスに置いているか、Oracle Cloudなどのクラウドに置いているかに関係なく、これらを実施できているでしょうか。

Oracle Data Safeは、こうした課題へのソリューションとなるサービスです。Oracle Data Safeなら、すべてのOracle Databaseに対し、その導入場所に関係なく、またStandard EditionでもEnterprise Editionでも、これらを迅速かつ容易に実行することができます。

Oracle Data Safeは、Oracle Cloud上のOracle Autonomous Databaseを補完するサービスとして誕生しました。その目的は、セキュリティにおいて共通して実施すべき作業を簡単かつコスト効果の高い方法にて実施できるようにすることです。その価値は、リリース後すぐにユーザーによって見いだされるようになり、Autonomous Database以外のOracle Databaseもサービス対象にしてほしいとの声をいただくようになりました。これを受けオラクルでは、そのサポート範囲をすべてのOracle Cloud Database(Exadata Cloud Service、ExaData Cloud at Customer、Database Cloud Serviceなど)へと拡大しました。一方、非クラウドのデータベースについてはどうかというと、専用のVPNやFastConnectにてOracle Cloud Infrastructure(OCI)に接続できているOracle Cloudユーザーの場合は、オンプレミスのデータベースでも、数カ月前からこのサービスが利用可能になっています。

そして今月より、Data Safe用のオンプレミス・コネクタがリリースされ、VPNやFastConnect接続がなくても、Data Safeを使用してオンプレミスのデータをモニタリングすることが可能になりました。しかも接続方法は極めてシンプルで、簡単に展開できるようになっています。そこで今回は、その迅速性とシンプルさにフォーカスして、説明したいと思います。ステップ・バイ・ステップの完全な説明については、こちらのページをご覧ください。

この例では、ご利用のOCIにてすでにData Safeサービスが有効であり、Data Safeサービスの実行およびユーザーの受け入れが可能なように、OCI IAMポリシーが設定されていることを前提としています。もしそうでない場合は、こちらの指示に従ってその設定を完了する必要があります。

オンプレミスのOracle DatabaseとData Safeを接続するための最初のステップは、OCIコンソールのオンプレミス・コネクタの登録です。OCIのメニューから「Data Safe」サービスにアクセスし、「On-Premises Connectors」を選択します。

 

これで新しいコネクタを登録できました。

 

次に、インストール・バンドルのパスワードを入力して、これをダウンロードします。

 

バンドルをデータベース・サーバーにコピーし、コンテンツを解凍します。

 

バンドル・インストーラの要件(python3やJavaのインストールなど)を満たしていることを確認し、インストーラを実行します。

コネクタは、アウトバウンドのTLSセキュア接続にてData Safeと通信することになります。インターネットに接続するにはプロキシが必要な場合があります。この場合は、手動にて設定します。

 

コネクタがインストールされ、有効な状態になったので、次は、Data Safeとデータベースのやり取りに使用するデータベース・サービス・アカウントを作成します。この例では、DATASAFE_ADMINというユーザーを作成しています。ここで、オンプレミス・コネクタのバンドルに含まれているSQLスクリプトを使用して、このサービス・アカウントに、必要な権限を設定します。Data Safeには5つの主要機能があるので、これらの権限をこのサービス・アカウントに役割として設定していきます。

  • セキュリティ評価
  • ユーザー評価
  • 機密データの検出
  • データ・マスキング
  • 監査

これらの権限は個別に設定しても、まとめて設定しても、構いません。この例では、5つの権限すべてをアカウントに設定します(下の図で「grant all」と表示されています)。なお、データ・マスキングは非本番環境でのみ実施されるものなので、本番環境には、データ・マスキングの役割を設定しないことをお勧めします。

 

最後に、Data Safeにオンプレミスのデータベースを登録すれば完了です。そのためには、Data Safeコンソールにて、データベースとサービス・アカウントの情報を入力します。情報が入力できたら、接続をテストし、登録を完了させます。

 

以上です。これで登録したデータベースがData Safeにて認識され、他の登録済みのデータベースと同様に、そのデータベースに対してData Safeの機能を実行できるようになりました。

 

このようにインストールは迅速かつ簡単です。オンプレミス・コネクタについてさらに詳しい情報が必要な場合は、こちらの「AskTom」セッションをご覧いただくか、こちらからデモをリクエストしてください。

Be the first to comment

Comments ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.