※本記事は、Bettina Schaeumerによる"Simplifying Security of Exadata Cloud Service and Database Cloud Service with Oracle Data Safe"を翻訳したものです。
May 6, 2020
プライベートIPアドレスを割り当てたOracle CloudデータベースをData Safeに接続する3つの簡単なステップ
大量の機密データを含むクラウド・データベースを、Oracle Cloud Infrastructure内部の独自のプライベート・ネットワーク内で運用している方も多いのではないでしょうか。Oracle Cloud Infrastructureは、インフラストラクチャ、ネットワーク、コンピュート、データベースの目標を達成するために役立つセキュリティ機能を提供していますが、データ構成やユーザーのセキュリティ、ユーザー・アクティビティの監視、データ・セキュリティなどについては皆さんも責任を負っています。データベースとセキュリティの両面において、これらに対処するには時間、労力、専門知識が必要でした。しかし、それは過去の話です。Oracle Cloud Infrastructure上のプライベート仮想クラウド・ネットワーク(VCN)内でOracle Cloudデータベースを運用している場合は、Oracle Data Safeを利用することによって、ごく簡単にセキュリティ体制を監視、統制できるようになりました。
Data Safeの最新の更新では、プライベートIPアドレスを利用するクラウド・データベースのサポートが追加されました。このデータベースにはExadata Cloud Service、Database Cloud Serviceが含まれます(仮想マシン、ベアメタルのいずれで実行されていてもかまいません)。このサポートは、パブリックIPアドレスを利用するOracle Cloudデータベース(Oracle Autonomous Transaction Processingデータベース、Oracle Autonomous Data Warehouseなど)に対するData Safeの現行のサポートを拡張したものです。
この新機能やデータベースへの接続のセットアップ方法に進む前に、まずOracle Data Safeについて軽くご紹介します。Data Safeは、Oracle Cloud内のデータベース・セキュリティを管理するためのオラクルの統合制御センターです。Data Safeは、セキュリティ統制を評価し、ユーザー・セキュリティを評価し、ユーザー・アクティビティを監視し、データ・セキュリティのコンプライアンス要件へ対応するための製品です。その手段として、データの機密性を評価し、本番ではないデータベース用に機密データをマスキングします。Data Safeについてよくご存じでない場合は、ブログ記事のA Guided Tour of Oracle Data Safeで詳細をご確認ください。
特に良い点として、すべてのData Safeの機能がOracle Cloudデータベースのサブスクリプションに含まれており、Data Safe内での1か月、1データベースあたり最大100万監査レコードの監査収集機能も付属しています。
プライベートVCN内で実行中のクラウド・データベースにData Safeを接続するには、基本的に次の3つのステップを実行します。
プライベートIPアドレスが割り当てられたクラウド・データベースが仮想クラウド・ネットワーク(VCN)内で実行されている場合、VCN内にData Safe用のネットワーク・ポイントが必要になります。そのために、プライベート・エンドポイントと呼ばれるData Safeの新機能が導入されました。Data Safeでのプライベート・エンドポイントのセットアップは非常に簡単で、データベースが実行中のVCNの名前とプライベート・エンドポイントを作成するサブネットの情報だけが必要です。このサブネットは、データベースが実行中のサブネットでも、同じVCN内の別のサブネットでもかまいません。VCNの名前とサブネットを調べるには、Oracle Cloud Infrastructureのデータベース・コンソールに移動します。以下の例は、仮想マシン上のDatabase Cloud Serviceのデータベース・コンソールです。
図1 - Oracle Cloud Infrastructureのデータベース・コンソール
この例では、データベースはVCN DataSafe_VCN_PE、サブネットDataSafe_Subnet内で実行されています。
この画面のPortはステップ2で、データベースのOCIDはステップ3でそれぞれ必要になりますので、後で使用するためにコピーしておいてください。
次に、Oracle Cloud InfrastructureのData Safeコンソールに移動します。Data Safeは、左側のOracle Cloud Infrastructureメニュー内のDatabaseの下にあります。利用中のテナントでData Safeがまだ有効になっていない場合は、「Enable Data Safe」ボタンをクリックしてください。
メニューの「Private Endpoint」を選択し、「Create Private Endpoint」をクリックします。
図2 - Data Safeコンソール
ここにプライベート・エンドポイントの名前、先ほど確認したデータベースのVCN、プライベート・エンドポイントを作成するサブネットの情報を入力します。前述のとおり、サブネットはデータベースと同じものでも、VCN内の別のサブネットでもかまいません。
図3 - プライベート・エンドポイントの作成
次に、この新しいプライベート・エンドポイントの名前をクリックして、詳細を確認しましょう。この詳細情報の中に、プライベート・エンドポイントに割り当てられたプライベートIPアドレスがあります。このIPアドレスは、次のステップでネットワーク・セキュリティ・ルールを構成する際に必要になります。
図4 - プライベート・エンドポイントの詳細
注:VCNに対して作成する必要のあるData Safeプライベート・エンドポイントは1つのみです。同じVCN内の複数のデータベースを接続する必要がある場合は、単純にこのData Safeプライベート・エンドポイントから、接続先となるVCN内のすべてのデータベースへの通信を許可してください。
Data Safeプライベート・エンドポイントとデータベース・ポートの通信を許可するには、VCNのセキュリティ・ルールをセットアップするか、ネットワーク・セキュリティ・グループ(NSG)を利用します。このセットアップ例ではセキュリティ・ルールを利用し、Data Safeプライベート・エンドポイント(10.0.0.6)からデータベース(10.0.0.2、ポート番号1521)への通信を許可する単純な受信/送信ルールの例を示します。
図5 - セキュリティ・ルールの例
注:データベース・ノードが複数ある場合は、それらを受信/送信ルールに追加する必要があります。また、同じVCN内の複数のデータベースをData Safeに接続する場合は、そのとおりに受信/送信ルールを更新する必要があります。
これまでにネットワーク接続をセットアップできましたので、次にデータベースをData Safeに登録する必要があります。
Oracle Cloud InfrastructureのData Safeコンソールで、「Service Console」ボタンをクリックします。Data Safe UIで、トップメニューから「Targets」を選択し、「+ Register」ボタンをクリックします。
登録ダイアログで、先ほど作成したプライベート・エンドポイントを選択し、データベースの詳細な接続情報と資格証明を入力します。データベース内にData Safe専用のデータベース・ユーザーを作成することをお勧めします。このデータベース・ユーザーに必要な権限を付与するために、登録ダイアログから権限スクリプトをダウンロードしてそれをデータベース内で実行してから、登録操作を完了することもできます。「Test Connection」をクリックすれば、すべてのセットアップが正しく完了したかを確認できます。次に、「Register Target」をクリックします。
図6 - Data Safeでのデータベース登録
詳細なステップ・バイ・ステップの説明やデータベース・サービス名の特定方法については、Data Safe User Guideを参照してください。
これで完了です。データベースをData Safeによって保護するようにセットアップできました。ここで最初にSecurity AssessmentとUser Assessmentを実行することをお勧めします。そのためにはData Safeホームページの「Security Assessment」に移動し、データベースを選択して「Assess」ボタンをクリックします。次に、この操作をUser Assessmentでも繰り返します。数分で潜在的なリスクについて示した包括的な評価レポートが作成され、リスクの軽減に取り掛かることができます。Data Safeの始め方や詳細情報についてはこちらを参照してください。
図7 - Data Safeのホームページとダッシュボード
図8 - セキュリティ評価レポートの例
ここではDatabase Cloud Serviceを例に挙げて説明しましたが、Exadata Cloud Serviceでも同様の手順になります。
Data Safeの最新情報やサポート対象データベースの拡大については、本ブログ・シリーズの今後の記事をお待ちください。Data Safeの始め方や詳細情報についてはこちらを参照してください。