X

A blog about Oracle Technology Network Japan

Oracle Data Safeにて、オンプレミスにあるオラクル・データベースのセキュリティをシンプルに

Guest Author

※本記事は、Clive D'Souzaによる"Simplify Security for your on-premises Oracle Databases with Oracle Data Safe"を翻訳したものです。

September 2, 2020


オンプレミスのデータベースとOracle Data Safeを簡単な数ステップで接続

Oracle Data Safeがオンプレミスのデータベースに対応するようになりました。Oracle Data Safeを使用してオンプレミスのデータベースを保護すべき主な理由については、ブログ記事 Keeping Data Safe – on-premises! にて説明されていますので、本ブログでは、Oracle Data Safeにオンプレミスのデータベースを接続し、登録する方法について説明いたします。

主なステップは、Oracle Data Safeへのネットワーク接続パスを作成して、オンプレミスのデータベースとつなぐことになります。このステップさえ完了すれば、データベースとの通信に、それがOracle Cloud上にあるか、オンプレミスにあるかは、まったく関係なくなります。

 

要件

接続の前に、まずは仮想クラウド・ネットワーク(VCN)が何であるかを理解しておく必要があります。VCNとは、Oracle Cloud Infrastructure内のプライベート・ネットワークです。従来のデータセンター・ネットワークと同様、VCNではネットワーク環境を完全に制御することができます。VCNは一般的に、コンピュート、ストレージ、データベースといったOracle Cloud Infrastructureのリソースと接続されています。また、他のサービスにOracle Cloud Infrastructureを使用していない場合は、リソースなしで空のVCNを作成することもできます。

現在のOracle Data Safeでは、データセンターとOracle Cloud InfrastructureとをつなぐFastConnectまたはVPN接続が必要で、これにより下図のように、VCNをオンプレミスのネットワークにまで実質的に拡大させることができます。FastConnectおよびVPN接続に関する詳細については、本ブログの最後に掲載しているリンクからご確認ください。

図1 - FastConnect またはVPN経由で、VCNをオンプレミスのネットワークまで拡大する

FastConnectやVPN接続を使用できない場合、またはネットワークとは接続したくない場合は、特別プログラムの一環として提供される別の接続方法を利用することも可能です。詳しくは、本ブログの最後までスクロールして、ご確認ください。

 

オンプレミスのデータベースとOracle Data Safeを接続する

FastConnectまたはVPN接続にてOracle Cloud Infrastructureとの接続が確立できたら、次のシンプルな3つのステップを実行するだけで、データベースとOracle Data Safeを接続できます。

  1. VCNにOracle Data Safeの窓口を作成する
  2. Oracle Data Safeからオンプレミスのデータベースへの通信を許可する
  3. Oracle Data Safeにデータベースを登録する

プライベートVCNにてオラクルのクラウド・データベースを運用するためにOracle Data Safeを使用されている場合は、すでに同様のステップを経験されているはずです。(詳細は、私の別のブログ記事にてご確認ください)

 

ステップ1 – VCNにOracle Data Safeの窓口を作成する

このステップでは、オンプレミスのネットワークに接続されているVCNの名前を把握しておく必要があります。以下の環境では、FastConnect経由でCorpDev1-iad.vcn.というVCNに接続しています。このVCNにはCorpDev1-iad.というサブネットが1つあります。

図2 – VCNとサブネットの例

VCNにOracle Data Safeの窓口を作成し、最終的にOracle Data Safeとオンプレミスのデータベースとの通信を許可するには、Oracle Data Safeのプライベート・エンドポイントを作成する必要があります。

このプライベート・エンドポイントを作成するには、左側の「Database related services」のメニューから「Data Safe」を選択し、さらに「Private Endpoints」をクリックして、Oracle Cloud InfrastructureのData Safeコンソールを開きます。

図3 – Data Safeコンソール

このコンソールにて「Create Private Endpoint」を選択し、新たに作成するプライベート・エンドポイントの名前を入力し、オンプレミスのデータベースに接続されているVCNとサブネットを選択します。



図4 - Oracle Data Safeのプライベート・エンドポイントの作成

プライベート・エンドポイントが作成できたら、その名前をクリックして、そこに割り当てられているプライベートIPアドレスを確認します。このプライベート・エンドポイントが、ネットワークにおけるOracle Data Safeの仮想窓口になります。

図5 - プライベート・エンドポイントの情報

なお、Oracle Data Safeに登録したいオンプレミスのデータベースがいくつあっても、仮想クラウド・ネットワーク用に作成するOracle Data Safeのプライベート・エンドポイントは1つで十分です。

 

ステップ2 – Oracle Data Safeのプライベート・エンドポイントからデータベースへの通信を許可する

次は、Oracle Data Safeのプライベート・エンドポイントからデータベースへの通信を許可するステップです。ここでは、仮想クラウド・ネットワークからアクセスできるオンプレミスのすべてのデータベースへの通信を許可するか、または特定の1つまたは複数のデータベースへの通信のみを許可するかを選択することになります。Oracle Data Safeのプライベート・エンドポイントからの送信を許可するには、送信ルールを定義します。

今回は、VCNのセキュリティ・ルールを定義して、Oracle Data Safeのプライベート・エンドポイントから、VCNにてアクセス可能なオンプレミスの1つのデータベースへの通信を許可していますが、これをVCNのセキュリティ・ルールではなく、ネットワーク・セキュリティ・グループ(NSG)を使用して実施することもできます。送信ルールのシンプルな例は次のとおりです。これにより、Oracle Data Safeのプライベート・エンドポイントからデータベース(10.89.69.237、ポート 1527)への通信が許可されています。

図6 - 送信ルールの例

注:データベースに複数のデータベース・ノードがある場合は、それらをすべてセキュリティ・リストの送信ルール(またはNSG)に含める必要があります。

 

ステップ3 – Oracle Data Safeにオンプレミスのデータベースを登録する

あとは、Oracle Data Safeにオンプレミスのデータベースを登録すれば完了です。

データベースを登録するには、Oracle Cloud InfrastructureのData Safeコンソールに戻り、「Service Console」ボタンをクリックします。Data Safe UIで、トップメニューから「Targets」を選択し、「+ Register」ボタンをクリックします。

登録用のダイアログボックスにてデータベース名を入力し、「Target Type」の下のドロップダウン・メニューから「Oracle On-Premises Database」を選択します。これにより、入力オプションの一部が変わります。「Connectivity Option」では「Private Endpoint」が自動的に選択されています。次の入力フィールドにて、ステップ1で作成したOracle Data Safeのプライベート・エンドポイントを選択します。続いてIPアドレスやポート番号、データベースのサービス名など、データベースの接続情報を入力します。データベースに複数のデータベース・ノードがある場合は、IPアドレスのフィールドにそのすべてのノードを入力します。 最後に入力するのは、データベースに接続する際にOracle Data Safeで使用する資格情報です。データベース内にData Safe専用のデータベース・ユーザーを作成することをお勧めします。このデータベース・ユーザーに必要な権限を付与するために、登録ダイアログから権限スクリプトをダウンロードし、それをデータベース内で実行してから、登録操作を完了することもできます。「Test Connection」をクリックして、すべてが正しく設定されていることを確認します。最後に、「Register Target」をクリックします。

図7 - データベースの登録

詳細なステップ・バイ・ステップの説明が必要な場合は、Oralce Data Safeのユーザー・ガイド を参照してください。

これで完了です。これでオンプレミスのデータベースはOracle Data Safeによって保護されるように設定されました。ここで最初にSecurity AssessmentとUser Assessmentを実行することをお勧めします。そのためにはData Safeホームページの「Security Assessment」に移動し、データベースを選択して「Assess」ボタンをクリックします。次に、この操作をUser Assessmentでも繰り返します。数分で潜在的なリスクがわかる包括的な評価レポートが作成されるため、適切な対応をとることができます。Oracle Data Safeの始め方や詳細情報についてはこちら を参照してください。

図8 - Data Safeのホームページとダッシュボード

 

別の接続方法

FastConnectやVPN接続を使用できない場合、またはネットワークとは接続したくない場合は、オラクルから特別プログラムの一環として提供されているData Safeのオンプレミス・コネクタを利用することも可能です。このコネクタは軽量で、設定およびダウンロードして、ネットワークのノードにデプロイすることができます。またインストールも簡単で、ネットワークの詳しい知識も必要ありません。これでオンプレミスのすべてのデータベースに接続することができます。

この詳細情報および特別プログラムへの参加方法については、こちら からご確認ください。

役に立つリンク:

オラクルのオンプレミス・データベースの登録 – ユーザー・ガイド

オンプレミスのネットワークと仮想クラウドネットワーク(VCN)の間にOracle Cloud Infrastructure FastConnectを設定する

顧客構内機器(CPE)を使用して、オンプレミスのネットワークと仮想クラウドネットワーク(VCN)の間にVPN接続を設定する

Be the first to comment

Comments ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.