Oracle Database@Azure のセキュリティ ガイドライン

この記事は、「Azure セキュリティの設計領域」で定義されているいくつかの考慮事項と推奨事項に基づいています。 Oracle Database@Azure の セキュリティ対策に関する主要な設計上の考慮事項と推奨事項を示します。

概要

ほとんどのデータベースには、データベース レベルの保護を超えたセキュリティで保護されたアーキテクチャが必要な機密データが含まれています。 多層防御戦略は、複数の防御メカニズムを階層化して包括的なセキュリティを提供します。 このアプローチでは、ネットワーク防御など、1 種類のセキュリティのみに依存しないように、さまざまな対策が組み合わされています。 これらの対策には、強力な認証と認可フレームワーク、ネットワーク セキュリティ、保存データの暗号化、転送中のデータの暗号化が含まれます。 この多層戦略は、Oracle ワークロードを効果的にセキュリティで保護するために不可欠です。

詳細については、専用インフラストラクチャ上の Oracle Exadata Database Service のセキュリティ ガイドおよび Exadata セキュリティ制御に関するドキュメントを参照してください。

設計上の考慮事項

Oracle Database@Azure のセキュリティ ガイドラインを設計するときは、次のガイダンスを考慮してください:

• Oracle Database@Azure ワークロードには、Azure 仮想ネットワークとデータセンターにデプロイされているリソースが含まれています。 これらのリソースは、Azure コントロール プレーンと Oracle Cloud Infrastructure (OCI) コントロール プレーンの両方で管理されます。 Azure コントロール プレーンは、インフラストラクチャとネットワーク接続の開始を管理します。 Oracle コントロール プレーンは、データベース管理と個々の Node 管理を処理します。 詳細については、「Oracle Database@Azure のグループとロール」を参照してください。

• Oracle Database@Azure サービスは、Azure のプライベート サブネットにのみデプロイされます。 サービスにインターネットからすぐにアクセスすることはできません。

• Oracle Database@Azure 委任サブネットでは、ネットワーク セキュリティ グループ (NSG) がサポートされません。

• Oracle Database@Azure ソリューションは、さまざまな操作に多くのデフォルトの伝送制御プロトコル (TCP) ポートを使用します。 ポートの完全リストについては、「デフォルトのポート割り当て」を参照してください。

• 既定で有効になっている Transparent Data Encryption (TDE) を使用してキーを保存および管理するために、Oracle Database@Azure ソリューションでは OCI ボールトまたは Oracle Key Vault を使用できます。 Oracle Database@Azure ソリューションでは、Azure Key Vault がサポートされません。

• 既定では、Oracle で管理される暗号化キーを使用してデータベースが構成されます。 このデータベースでは、カスタマー マネージド キーもサポートされています。

• データ保護を強化するには、Oracle Data Safe を Oracle Database@Azure と共に使用します。

• Microsoft または Oracle 以外のエージェントは、OS カーネルを変更または侵害しない限り、Oracle Database@Azure OS にアクセスできます。

設計の推奨事項

Oracle Database@Azure のセキュリティを設計するときは、次の推奨事項を考慮してください:

• データ サービス アクセスからのインフラストラクチャ アクセスをセグメント化します。特に、さまざまな理由で異なるチームが同じインフラストラクチャ上の複数のデータベースにアクセスする場合。

• NSG ルールを使用して送信元 IP アドレスの範囲を制限し、データ プレーンと仮想ネットワーク アクセスを保護します。 インターネットへの不正アクセスやインターネットからの不正アクセスを防ぐには、安全な通信に必要なポートのみを開きます。 OCI で NSG ルールを構成できます。

• インターネット アクセスが必要な場合は、ネットワーク アドレス変換 (NAT) を構成します。 転送中のデータの暗号化が常に必要です。

• 独自の暗号化キーを使用する場合は、セキュリティとコンプライアンスの標準に従い、厳密なキーローテーション プロセスを確立します。

• Oracle Database@Azure で Microsoft または Oracle 以外のエージェントを使用する場合は、データベースまたはグリッド インフラストラクチャの修正プログラムが影響を受けない場所にこれらのエージェントをインストールします。

次のステップ

• Oracle Database@Azure の ID およびアクセス管理
• Oracle Database@Azure のネットワーク トポロジと接続性
• Oracle Database@Azure のビジネス継続性と災害復旧 (BCDR)