Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OCI Security サービス 概要
Search
oracle4engineer
PRO
February 16, 2024
Technology
0
6.3k
OCI Security サービス 概要
OCI Security の各サービスの特徴を紹介した資料です
oracle4engineer
PRO
February 16, 2024
Tweet
Share
More Decks by oracle4engineer
See All by oracle4engineer
[OCI Technical Deep Dive] Oracle Cloud VMware Solution が開くVMware仮想環境モダナイゼーションへの道(2024年10月29日開催)
oracle4engineer
PRO
0
52
[OCI Technical Deep Dive] オラクルのエンタープライズAI(2024年10月29日開催)
oracle4engineer
PRO
0
29
[OCI Technical Deep Dive] OCIで始めるCloud Nativeアプリケーション(2024年10月29日開催)
oracle4engineer
PRO
0
25
[OCI Technical Deep Dive] デモで解説!セキュリティと利便性を両立させる認証基盤の構成(2024年10月29日開催)
oracle4engineer
PRO
0
29
[OCI Technical Deep Dive] OCIセキュリティ・サービスによる効果的な不正アクセス監視(2024年10月29日開催)
oracle4engineer
PRO
0
40
[OCI Technical Deep Dive] Autonomous Database 技術アップデート(2024年10月29日開催)
oracle4engineer
PRO
0
38
[OCI Technical Deep Dive] AI時代のデータ民主化を実現するOracle Analytics Cloud(2024年10月29日開催)
oracle4engineer
PRO
0
37
Exadata Database Service on Cloud@Customer セキュリティ、ネットワーク、および管理について
oracle4engineer
PRO
0
1.1k
Oracle Cloud Infrastructureデータベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
12k
Other Decks in Technology
See All in Technology
データ活用促進のためのデータ分析基盤の進化
takumakouno
2
120
マイベストのデータ基盤の現在と未来 / mybest-data-infra-asis-tobe
mybestinc
2
1.7k
dev 補講: プロダクトセキュリティ / Product security overview
wa6sn
0
1k
SREの前に
nwiizo
11
2.5k
運用イベント対応への生成AIの活用 with Failure Analysis Assistant
suzukyz
0
190
GraphRAGを用いたLLMによるパーソナライズド推薦の生成
naveed92
0
190
Intuneお役立ちツールのご紹介
sukank
3
700
オーティファイ会社紹介資料 / Autify Company Deck
autifyhq
9
120k
Railsで4GBのデカ動画ファイルのアップロードと配信、どう実現する?
asflash8
1
130
3次元点群データ「VIRTUAL SHIZUOKA』のオープンデータ化による恩恵と協働の未来/FOSS4G Japan 2024
kazz24s
0
110
今、始める、第一歩。 / Your first step
yahonda
2
660
株式会社ドクターズプライム 会社紹介資料 - エンジニア向け
drsprime
0
270
Featured
See All Featured
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
The World Runs on Bad Software
bkeepers
PRO
65
11k
Done Done
chrislema
181
16k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
810
Testing 201, or: Great Expectations
jmmastey
38
7.1k
The Invisible Side of Design
smashingmag
297
50k
Ruby is Unlike a Banana
tanoku
96
11k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
92
16k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
GraphQLとの向き合い方2022年版
quramy
43
13k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
Transcript
OCI Security 概要 2024年2月 日本オラクル株式会社
Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 2
Copyright © 2024, Oracle and/or its affiliates. All rights reserved
オラクルが実現する堅牢なセキュリティ データ中心の セキュリティ 自動化された セキュリティ 管理 セキュリティ ・バイ・デザイン SECURITY OF
THE CLOUD SECURITY ON THE CLOUD + 強力、完全なテナント分離 強制的な暗号化 (Database/Storage/Network) 階層型権限管理 リスクのある設定・行動を自動検知 3 * WAF: Web Application Firewall 脆弱性スキャン セキュリティポリシーの自動有効 特権ユーザーのアクセス制御 ボット対策とWAF/ 次世代ファイアウォール 多要素認証とリスクベース認証 重要情報の隠蔽 セキュリティ構成 機密データ発見 アクティビティ監査 DBセキュリティ対策の自動化 脆弱性自動修復 青字:他社にないもの バックアップ保護と確実なデータ復旧 3 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
クラウドプラットフォームレベルでの環境隔離と暗号化 階層型権限管理 ✓ 部署ごとの権限設定を実現 ✓ コンパートメント間のリソースアクセ スが可能、部署を跨いだシステム 構築も容易 ✓ コンパートメント毎のクオータ設定に
より 使い過ぎを抑止 強制的な暗号化 ✓ すべてのデータ・サービスはOracle がフルマネージドで暗号化 ✓ データベースファイル,ストレージ Block Volume, Boot Volume ✓ すべてのネットワーク通信も暗号化 強力、完全なテナント分離 ✓ 分離された仮想ネットワークにより 情報漏洩のリスクを最小化 4 セキュリティ ・バイ・デザイン AD2 リージョン1 AD2 リージョン2 MACSec 高速・スケーラブルな Layer2 暗号化 部署ごとにCompartment(サブアカウント)を作成 「コンパートメント」モデル テナント コンパートメント A コンパートメントB ユーザー グループ ポリシー ポリシー ポリシー 部署-A 部署-B Hypervisor VM VM VM VM VM VM ホストOS / カーネル ネットワーク仮想化 物理サーバー すべてのデータ を暗号化 4 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
リスクのある設定を自動検知 • 構成とアクティビティを監視 • 問題の特定、脅威を検出 • 問題の是正、顧客通知 セキュリティポリシーの自動有効 • ベスト・プラクティスを強制的に適用
• 初期段階からリソースの セキュリティを確保 バックアップ保護と確実なデータ復旧 • ファイルを不可視化し、盗難を防止 • リアルタイムバックアップにより、感染直前 までのリカバリーを可能 • 完全性が担保されたバックアップにより、 確実に復旧可能 自動化されたEnd-to-Endのセキュリティで人的ミスを排除 パブリックアクセス不可 Oracle Cloud Guard Oracle Security Zones 5 自動化された セキュリティ 管理 Zero Data Loss Autonomous Recovery Service 5 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
多層防御によるデータ中心のセキュリティ 外部からの攻撃 » ボットによる攻撃 » 標的型攻撃 » ランサムウェア » DDoS
内部からの攻撃 » バックドア » 内部不正 » 不正アクセス 特権ユーザー 管理 ネットワーク IDアクセス 管理 インフラ ストラクチャ データベース 6 データ 強制的な 暗号化 監査証跡 行列レベルの アクセス制御 データ中心の セキュリティ 設定ミスの 検知・是正 多要素認証 強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理 データ中心の セキュリティ Web Application Firewall IAM Identity Domains Security Zones Data Safe Observability and Management Threat Intelligence Autonomous Database OCI Network Firewall Cloud Guard Database Vault Zero Data Loss Autonomous Recovery Service Vulnerability Scanning 6 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Oracle Cloud のセキュリティの強み 7 設計から組み込まれ セキュリティ不備を最小化 標準機能で提供 データ中心のセキュリティ • 全リージョン、全インスタンスがセキュリ
ティ・バイ・デザインされた環境 • デフォルトがセキュアな設定で安全側に 倒されている (Default Deny) • データの暗号化はデフォルトで実施、 ユーザーが解除できない • 自動化されたセキュリティ管理を標 準・無償で提供されている • 他社では複数サービスが必要で、開 発工数とサブスクリプション価格で高コ ストになる • データベースのセキュリティ対策まできちん と取り組んでいるのは、Oracleぐらい • 重要データの所在・リスク評価・監査する データ・セキュリティ監視を無償で利用できる • データを中心に多層で保護するための構築 済みセキュリティサービスを提供している お客様からの評価から “最新のセキュリティ機能を積極的に無償で機能追加しているOCIも高く評価しています。私たちは これら新機能をいち早く利用し、セキュリティ強化に役立てています。” 株式会社マイネット 技術統括部 セキュリティグループ長, 前田 高宏 氏 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Cloud Guard, Vulnerability Scanning, Data Safe, IAM, Logging Analytics 必須となる基本のセキュリティ・サービス
8 Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN OCI全体の脆弱性を監視 クラウド内の脆弱な設定やユーザーの アクティビティを追跡しリスクをスコアリング アラートや是正処理を自動化 VMの脆弱性を監視 パッケージの脆弱性やオープンポート などVMを定期的にスキャン Vulnerability Scanning Cloud Guard IAM 認証強化・アクセス制御 多要素による認証強化・連携 ポリシーによるアクセス制御 認証ログ 権限管理 ログ 操作 アクセスログ Logging Analytics Auditログの可視化・長期保存 Auditログから不正ログインや疑わしい 操作を監視し、セキュリティ・インシデント を速やかに検知する Audit Data Safe データベースのセキュリティ強化 Oracle Databaseの脆弱な設定や 不正と疑わしいアクセスを検出 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Web Application Firewall, Network Firewall, Security Zones, 追加検討サービス① - アクセス制御を強化するセキュリティ・サービス
- 9 Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN with Security Zones WEBアプリケーションを保護 多種多様なサイバー攻撃から WEBサイトを保護する Network Firewall Web Application Firewall 不正なネットワーク通信を監視 インターネットやVCN内の相互通信 から不正なトラフィックを検知し遮断 Security Zones セキュアに保護されたコンパートメント コンパートメントには、セキュリティポリシーの 要件に満たしたリソースしか作成させない Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Vault 追加検討サービス② - 電子・暗号署名を強化するセキュリティ・サービス - 10 Tokyo Region Compartment /
VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN 暗号化 Vault ユーザー自身による暗号鍵管理 ストレージ、データベースの暗号化をユーザー 自身が持ち込んだ暗号鍵を使用し管理する 各ストレージサービスはOracle管理に によりデフォルト暗号化されている Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Tokyo Region 各種ログ (Audit, サービス, OS) + Logging Analytics 追加検討サービス③
- ログ取得・管理及び監視を強化する統合ログ分析 - 11 Logging Analytics 認証ログ OS Network Firewall Load Balancer VCN Flow Logs Object Storage等 WAF Middleware Database Application 権限管理 ログ 操作 アクセスログ Tokyo Region Compartment / VCN Public Subnet Load Balancer Internet Gateway Customers Private Subnet Virtual Machine Virtual Machine Web/App Tier Private Subnet Database Compartment / VCN with Security Zones Management Agent for LA Audit サービス・ログ OS内のログ 統合ログ分析基盤 OCIの様々なログを一元的に集約 セキュリティの観点で不正なアクティビティを 横断的に分析するSIEM的なログ分析基盤 セキュアにログを長期保管 Logging Analyticsに ログをアップロードする エージェンド Logging ログ出力管理 ネットワークやFirewallのログなど 様々なサービスログの出力管理 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
各サービスの価格 12 サービス 機能 無償枠 価格 (※詳しくは各サービス価格にて) Cloud Guard OCI全体の脆弱性を監視
完全無償 N/A Vulnerability Scanning VMの脆弱性を監視 完全無償 N/A Data Safe データベースのセキュリティ強化 Autonomous Database BaseDB, ExaDB-Dは無償 オンプレミス、DB on IaaSの場合: 1DBあたり¥28000/月 Identity and Access Management 認証強化・連携及びアクセス制御 2000ユーザー、多要素認証、 SSO(Oracle以外2つ)など幅広く無償 アプリケーション認証基盤として大規模 ユーザー管理の場合は有償になる場合あり Logging Analytics Auditログの可視化・長期保存 統合ログ分析基盤 10GB/月まで無償 300GB単位でおよそ¥52000/月 Security Zones セキュアに保護されたコンパートメント 完全無償 N/A Web Application Firewall WEBアプリケーションを保護 最初の1インスタンスと 1000万リクエスト/月まで無償 1インスタンスあたり ¥84/月 100万リクエストごとに¥700/月 Network Firewall 不正なネットワーク通信を監視 10TBまでトラフィック処理が無償 1インスタンスあたり ¥385/時間 1GBごとに1.4/円 Logging サービスログの出力管理 10GB/月まで無償 1GBあたり¥7/月 Vault ユーザー自身による暗号鍵管理 Default Vault: 20キーバージョンまで Software: 制限なし Default Vault: 1キーあたり¥74/月 Virtual Private Vault: 1Vaultあたり¥521 /時間 基 本 追 加 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Cloud Guard 13 Copyright © 2024, Oracle and/or its affiliates.
All rights reserved
クラウド全体の脆弱性を監視 OCIの様々なリソース設定やユーザー操作を 監査ログや設定情報から読み取り、脆弱性を検出し是正する - 各サービスの設定に関連するリスクを診断 - ユーザーやネットワークに関する設定変更など、構築・運用で 発生する様々なアクティビティに対するリスクを診断 - 脅威インテリジェンスと連携し、ユーザーのふるまいを学習し診断
検出された問題へのリスク評価と推奨事項をガイド アラートによる通知だけでなく、自動的に修正するレスポンダ処理 リスク検出ポリシーは、Oracleが提供しメンテナンス テナント内の全リージョン・リソースを評価しスコアリング 基本機能として無償、設定も非常に簡単 Cloud Guard 14 Cloud Guard Vault Scanning VCN, Load Balancer Compute, Storages Databases IAM 問題の検知 アクション実行 リスク評価 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
OCIのセキュリティ状況をスコアリングし、問題を可視化 Cloud Guard 15 Cloud Guardダッシュボード 検出された問題 クリティカルな問題への推奨事項 Copyright ©
2024, Oracle and/or its affiliates. All rights reserved
動作フロー Cloud Guard 16 Detectors Configuration Activity Threat 脆弱性を検出するディテクタは 構成、アクティビティ、脅威の
3タイプで構成され、それぞれに レシピと呼ばれるポリシーに基づき チェックする レシピは、Oracleマネージドにより メンテナンスされる Responders Stop Instance Suspend User Disable Bucket レスポンダは、検出された問題を ユーザーに通知する または、対応する是正処理を自動 実行し、問題を自己解決する Targets ターゲットは、Cloud Guardが 監視対象にするコンパートメント 指定されたコンパートメント下の サブコンパートメントも対象となり rootを指定時は、コンパートメント 全てが対象になる Problems リソースの設定に不備や疑わしい アクセスが発生した場合、 Cloud Guardは、問題として 検出し、レシピ内容に応じた リスクレベルに分類する Copyright © 2024, Oracle and/or its affiliates. All rights reserved
構成ディテクタ・レシピ Cloud Guard 17 ディテクタ・ルール 推奨事項 デフォルト リスク・レベル インスタンスにパブリックIPアドレスがあります すべてのインスタンスへのインターネット・アクセスを許可することは慎重
に検討してください クリティカル データベース・システムにパブリックIPアドレスがあります データベース・システムにパブリックIPアドレスが割り当てられていないこと を確認します クリティカル ユーザーがMFAを有効にしていません Oracle Mobile Authenticatorやワンタイム・パスコード等を使用 して、すべてのユーザーに対してMFAを有効にします クリティカル バケットがパブリックです バケットのパブリック・アクセスが容認されていることを確認し、ポリシーで 制限してアクセスを特定のユーザーのみに許可させます クリティカル スキャンされたホストには脆弱性があります OSパッチを適用するなど、脆弱性ごとにドキュメントに記載されている 推奨アクションを実行します クリティカル VCNセキュリティ・リストでは、すべてのソース(0.0.0.0/0)からの 非パブリック・ポートへのトラフィックが許可されます。 VCNセキュリティ・リストを使用して、サブネット内のインスタンスへの ネットワーク・アクセスを制限します。例えば、コンピュート・インスタンス をインターネット(0.0.0.0/0)に対して公開しない クリティカル VCNセキュリティ・リストにより、制限されたポートへのトラフィックが 許可されます 制限ポートへのアクセス許可がないかセキュリティ・リストを確認します 例) TCP (11,17-19,21,23-25,43,49,53,70-74,79- 81,88,111,123,389,636,445,500,3306,3389,5901,5985,5986,70 01,8000,8080,8443,8888) クリティカル Copyright © 2024, Oracle and/or its affiliates. All rights reserved
アクティビティ・ディテクタ・レシピ Cloud Guard 18 ディテクタ・ルール 推奨事項 デフォルト リスク・レベル 疑わしいIPアクティビティ マルチファクタ認証(MFA)を有効にして、ユーザーがログインしている
ユーザー本人であり、資格証明が侵害されていないことを確認します クリティカル VCNネットワーク・セキュリティ・グループが削除されました NSGの削除が、このVCNと関連リソースで許可されていることを確認し ます 高 インスタンスが終了しました IAMポリシーを使用してインスタンスの終了操作を制限します 高 データベース・システムが終了しました 許可された管理者がデータベース・システムおよび関連データベースの 終了を認可して実行していることを確認します 高 中間認証局(CA)が取り消されました 権限のあるユーザーのみがCAバンドルの中間証明書を取り消すことを 確認します。ユーザーに権限がない場合は、取消しを取り消します 高 VCNセキュリティ・リストが削除されました このセキュリティ・リストの削除が、このVCNと関連リソースで許可されて いることを確認します 中 VCNネットワーク・セキュリティ・グループのイングレス・ルールが 変更されました 新しいイングレス・ルールが、このNSGと関連リソースで許可されている ことを確認します 中 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
脅威モニタリング Cloud Guard 19 OCIの脅威インテリジェンス・サービスと連携し 疑わしいIPアドレスやドメインなど最新の脅威情報を更新 ユーザーのアクティビティ・パターンを機械学習し、ユーザーの リスク・スコアに反映 - 権限が過剰に付与されていないか
- セキュリティを低下させる設定をしていないか - 普段とは異なる地域からアクセスしていないか - パスワードを突破しようとする行動をしないか リスクの高いユーザーは、悪質なユーザーとしてマークされ レスポンダの対応する問題として認識される アクセス元のIPアドレスと影響を受けるサービスが明確に なり、何を目的としたアクティビティだったのかトレース可能 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
レスポンダ レスポンダは、Cloud Guardが検出した問題に対するアクションを実行する 2種類のレスポンダ・タイプ Notification : 検出した問題をイベント・サービスと連携。問題検出のイベント発生時に 通知サービスと連携しメール通知やファンクションによるカスタム・スクリプトを実行 Remediation :
検出した問題を手動または自動でCloud Guardが修正実行 Remediationで実行可能なレスポンダ・レシピ - IAMユーザー・ポリシーの削除、コンピュートインスタンスの停止・削除 Internet Gatewayの削除、Public IPの削除、バケットをプライベートに変更 DBバックアップの有効化, キーのローテーション 検出された問題は、Notificationがデフォルトとして動作 Remediationによる自動実行はユーザー自身で明示的な設定が必要 レスポンダの実行対象を条件で限定することが可能 レスポンダの実行した結果は、Auditに記録される Cloud Guard 20 Cloud Guard イベント サービス ファンクション サービス 通知サービス Notification 問題 Remediation レスポンダ・レシピを 実行 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
例) オブジェクト・ストレージのバケットがパブリックに設定変更された場合 Cloud Guard 21 ディテクター 検知ルールのトリガーとして、“バケットがパブリックに変更”された 際に問題として認識(重大度:クリティカル) “バケットがパブリック” (重大度:クリティカル)
プログラム 「クラウドイベント」は有効か? => Yes レスポンダー Cloud Guard オペレーター 問題を修正するか? => Yes レスポンダー レスポンダがバケットを プライベートに設定変更 重大なリスク ユーザーがバケットを パブリックに設定 バケット OCI Events OCI Functions OCI Notifications 「バケットをプライベートにする」が有効か? => Yes バケット Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Vulnerability Scanning 22 Copyright © 2024, Oracle and/or its affiliates.
All rights reserved
OCI Compute OCI Container Engine Vulnerability DB’s Vulnerability Scanning Cloud
Guard Problems VMやコンテナの脆弱性を監視 Vulnerability Scanning (脆弱性スキャン) 23 コンピュート・インスタンスやコンテナ・イメージの潜在的な脆弱性を検出しリスクレベルを評価 3つの観点での脆弱性診断 - CVE(共通脆弱性識別子)に基づくインストールされたパッケージの脆弱性を検出 - オープン・ポートのチェック - CISベンチマーク(セキュリティの標準ベストプラクティス)への対応状況 特定のインスタンスや、指定したコンパートメント内のすべての インスタンスに対して実行 VMインスタンスにインストールされているCloud Agentがスキャンを実行 対応するOS (※コンピュートサービスが対応するプラットフォームイメージ) - Oracle Linux, CentOS, Ubuntu, Windows 検出されたリスクは、Cloud Guardと連携 基本機能として無償 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
スキャン・レポート Vulnerability Scanning (脆弱性スキャン) コンピュート・インスタンスのリスク評価 検出されたCVEのリスク オープン・ポート 24 Copyright ©
2024, Oracle and/or its affiliates. All rights reserved
Data Safe 25 Copyright © 2024, Oracle and/or its affiliates.
All rights reserved
データベースの脆弱性を監視 Oracle Databaseをより安全に利用するためのクラウドベースの データベース・セキュリティ・サービス Data SafeとターゲットとなるDBを接続し、以下のセキュリティ機能を提供 - セキュリティ・アセスメント(Security Assessment) -
ユーザー・アセスメント (User Assessment) - 機密データ検出(Sensitive Data Discovery ) - データ・マスキング(Data Masking) - アクティビティ監査(Activity Auditing) Autonomous Database、Base-DB、ExaDB-Dは無償 (※一部有償) SE、EEどちらのエディションでも使用可能 BYOLや他社クラウドのOracle Database、またオンプレミスの Oracle Databaseに対しても有償にして使用可能 Data Safe 26 Oracle Cloud上の データベース 監査 ユーザー 発見 アセス マスク オンプレミス のデータベース Data Safe AWS, Azure上の オラクルデータベース Copyright © 2024, Oracle and/or its affiliates. All rights reserved
セキュリティ・アセスメント データベースの構成をスキャンし、STIG, CIS Benchmarkなどのベストプラクティス要件と比較してセキュリティ・リスクを評価 基本構成、ユーザーアカウント、権限・ロール、アクセス制御、監査、暗号化等のカテゴリで評価 データ・ディクショナリから必要な情報を収集するため、DBのパフォーマンスには影響なし アセスメントは、定期的なスケジュール実行が可能 アセスメント結果は、ベースラインとして登録することができ、比較分析や過去の実行結果履歴が参照可能 Data Safe
27 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
ユーザー・アセスメント ユーザー・アカウントをスキャンし、アカウントの使用状況や付与された権限・ロールからリスクを分析 DBAやDatabase Vault、Auditなどの管理者権限の付与状況を一括で可視化 アカウントに付与された不要になる可能性があるシステム権限やロールを識別 休眠アカウントやパスワードが失効しているユーザーを特定 セキュリティアセスメントど同様に、スケジュール実行、ベースラインとの比較分析、実行履歴の参照が可能 Data Safe 28
Copyright © 2024, Oracle and/or its affiliates. All rights reserved
データ・マスキング 機密性の高いデータを不可逆な形式にてマスキング データベースの特性を考慮したアーキテクチャ - 表の制約や表と表の関係性を認識した一貫性のあるマスキング - 列データの要素数、分布、件数など、本番データの特性を維持したマスキング環境の作成 GUIで自由に定義できる様々なデータマスキング・タイプを提供 60を超える定義済みのマスキング・テンプレート -
クレジット・カード番号, Eメール, URL, 血液型, 郵便番号, 社会保障番号(US, Canada).. ユーザー独自のマスキング定義を追加設定可能 - 携帯番号, 社員番号, 郵便番号, マイナンバー, パスポート番号など日本固有のデータフォーマット RDMSの特性とカーディナリティを保持したままマスキング 条件分岐を含む複雑なマスキング定義は、PL/SQLでファンクションとして作成 Data Safe 29 Database Cloud Data Safe Copyright © 2024, Oracle and/or its affiliates. All rights reserved
様々なマスキング形式を提供 Data Safe 30 固定数値 固定文字列 ランダム桁数 ランダム数値 ランダム文字列 配列リスト
シャッフル 置換 SQL式 NULL値 切り捨て 部分文字列 表の列の値 ユーザ定義関数 正規表現 暗号化 ランダム文字 ランダム数値+固定文字列 シャッフル ID NAME 1 SMITH 2 ALLEN 3 JONES 4 CLARK 5 ADAMS : : ID NAME 1 akeskaf 2 oweiks 3 daikels 4 ilekdik 5 oetdjgqk : : ID CARDNUMBER 1 7488-2984-1736-7400 2 4033-6177-0089-6401 3 6141-5126-0475-8802 4 1139-4145-6222-3703 5 8337-6263-1608-0104 : : ID CARDNUMBER 1 5870-2967-9149-5700 2 9634-7334-4874-2301 3 8430-8214-6445-1102 4 1573-9537-1503-5503 5 0606-3321-6271-8304 : : ID COUNTRY 1 US 2 JP 3 US 4 UK 5 FR : : ID COUNTRY 1 US 2 FR 3 UK 4 FR 5 JP : : Copyright © 2024, Oracle and/or its affiliates. All rights reserved
主キー / 一意 / 参照整合性制約を自動検知 Data Safe 31 ID NAME
CID 1 SMITH 1 2 ALLEN 4 3 JONES 1 4 CLARK 2 5 ADAMS 3 : : : CID COUNTRY_NAME 1 UNITED_KINGDOM 2 UNITED_STATES 3 AUSTRALIA 4 IRELAND 5 CANADA : : ID NAME CID 1 Aaafeh 83 2 Aafhed 65 3 Aaaafhe 83 4 Bodofa 39 5 aaahfied 9 : : : CID COUNTRY_NAME 83 UNITED_KINGDOM 39 UNITED_STATES 9 AUSTRALIA 65 IRELAND 7 CANADA : : 参照整合性を維持したマスキング (ランダム文字列+ランダム数値) 外部キー制約を自動的に 検知し、整合性を維持 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
アクティビティ監査 Oracle Databaseの監査ログを定期的に取得し、ログ分析やレポートを提供 対象は、Databaseに格納されている監査表のみ (Unified_Audit_Trail, FGA_LOG$, AUD$, DVSYS.AUDIT_TRAIL$) Data Safeまたはオンプレミス・コネクターがターゲットDBに直接SQLアクセスして監査ログを取得
監査データのオンライン保持期間は1~12カ月 (デフォルト 6カ月) オンラインを超える監査ログの保存は、アーカイブとしてオフラインで保持可能 (最大6年) CISベンチマークやSTIGといったコンプラインス対応の独自の監査ポリシーを適用可能 目的ごとに定型化されたレポート分析画面 監査ログは100万レコード/DB/月までは無料 - 以降、1万レコード単位で課金(¥12) プリセットされたアクティビティ・レポート(PDF, XLS) Logging Analyticsサービスにログを集約する方法も効果的 Data Safe 32 Data Safe Oracle Database AUD$ FGA_LOG$ Unified Audit Copyright © 2024, Oracle and/or its affiliates. All rights reserved
サポートされるターゲット・データベース Data Safe 33 Oracle Cloud Database Versions Autonomous Data
(Shared Exadata Infrastructure) latest version Autonomous Data (Dedicated Exadata Infrastructure) latest version Database System - Bare Metal, VM, Exadata - Oracle Database Edition(SE, EE, EEHP, EEEP) 11.2.0.4*, 12.1*, 12.2.0.1 or later Oracle Database on Compute instance - Oracle Database Edition (Standard, Enterprise) 11.2.0.4*, 12.1*, 12.2.0.1 or later On-Premises Oracle Database - Oracle Database Edition (Standard, Enterprise) 11.2.0.4*, 12.1*, 12.2.0.1 or later Copyright © 2024, Oracle and/or its affiliates. All rights reserved
価格 Data Safe 34 サービス名 単価 単位 1 Data Safe
for Database Cloud Service (*) 無償 2 Data Safe for Database Cloud Service – Audit Record Collection Over 1 Million Records ¥14.0 1万レコード/ターゲット/月 3 Oracle Cloud Infrastructure - Data Safe for On-Premises Databases (**) ¥28,000 1DB 4 Oracle Cloud Infrastructure - Data Safe for On-Premises Databases – 10,000 Audit Records Per Target Per Month ¥14.0 1万レコード/ターゲット/月 * 監査機能は、 100万レコード/ターゲット/月まで無償、その他の機能は無償 **監査機能は、 100万レコード/ターゲット/月まで利用可能、その他の機能は追加コストなく利用可能 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Identity and Access Management 35 Copyright © 2024, Oracle and/or
its affiliates. All rights reserved
柔軟なアクセス制御 Identity and Access Management Copyright © 2024, Oracle and/or
its affiliates. All rights reserved 36 OCIアカウント内のセキュリティ IAMユーザーの認証 ポリシー設定によるアクセス制御 ポリシーの設定により複雑なルールも簡単に定義可能 誰がOCIアカウントにアクセス可能か、どのクラウド・リ ソースへのアクセス権を持つか、どのようにサービスやリ ソースを利用可能か 組織構造にも対応 コンパートメント Tenancy CompartmentA CompartmentB Groups GroupX Users User1 User2 Policies PolicyA: allow group GroupX to manage all- resources in compartment CompartmentA PolicyB: allow group GroupY to manage all- resources in compartment CompartmentB PolicyA PolicyB Block Storage Object Storage Virtual Machine VPN/ FastConnect DRG
二要素認証 サインオンポリシーで指定可能な複数の認証手段を提供 Copyright © 2023, Oracle and/or its affiliates 37
◆ 管理者は任意の二要素認証の手段を選択して有効化することが可能 ◆ モバイルアプリケーション:Oracle Mobile AuthenticatorはApp StoreやGoogle Playから入手が可能 ◆ 二要素認証をパスすると、指定した日数の間同一のWebブラウザからのアクセスでは二要素認証を免除するオプションを提供 メール SMS モバイル アプリケーション 【二要素認証の要素】 モバイル アプリケーション FIDO2 ワンタイム・パスコード 通知 秘密の質問 生体認証 ※Oracle Mobile Authenticatorのみ利用可 ※RFC 6238に準拠している Authenticatorを利用可能 ※SMSの数量により 別途追加費用が発生
リスク・ベース認証 ユーザーの行動分析に応じた認証強化 Copyright © 2023, Oracle and/or its affiliates 38
◆ ユーザーの疑わしい行動履歴(下記項目)から、リスク・スコアを算出 ✓ ログインの失敗 ✓ MFAの試行 ✓ 未知の端末からのアクセス ◆ リスク・スコアに応じて二要素認証の要求やログインの禁止などの措置を指定可能 ◆ 増加したリスク・スコアは、ユーザーが異常な行動をしなければ、時間の経過に応じて減少 評価項目毎のリスク値の定義 ✓ 疑わしいIPからのアクセス ✓ 通常とは異なる場所からのアクセス ✓ 一定時間内の移動距離 ユーザー毎のリスク値の推移確認
認証ポリシー アプリケーションへの認証強化・アクセス制御のルールを定義するサインオン・ポリシー機能 Copyright © 2023, Oracle and/or its affiliates 39
サインオン・ポリシー インターネット 社内 ネットワーク サインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 社外からのアクセス + 管理者権限 ログイン拒否 社外からのアクセス 二要素認証 Web業務アプリケーション 社内からのアクセス パスワード認証 サインオン・ルールの例 ◆ サインオン・ポリシーにより、ログインが完了したユーザーへの認可処理として許可/拒否/再認証の要求/多要素認証の要求 のいずれかの対応を設定することが可能 ◆ サインオン・ポリシーはアプリケーション個別または全体(すべてのアプリケーション)に適用することが可能 ◆ サインオン・ポリシーの要素であるサインオン・ルールにより、ルール適用の条件や条件が当てはまる場合のアクションを指定 条件 • リスクスコアの値 • 端末のIPアドレス(ネットワーク・ペリメータ) • 所属グループ • 管理者権限の有無 アクション • アクセス許可 • アクセス拒否 • 再認証の強制 • 二要素認証の強制 条件 アクション 他社クラウドサービス Oracle PaaS/SaaS
フェデレーション技術による認証連携 Oracle Public Cloud、他社SaaS、オンプレミスシステムに対するシングル・サインオン Copyright © 2023, Oracle and/or its
affiliates 40 ◆ SAMLやOAuth、OpenID Connectのようなフェデレーションの標準技術を利用して、 Oracle Public Cloudや 他社SaaSやオンプレミスアプリケーションにシングル・サインオン ◆ 事前設定定義カタログに用意されているアプリケーションは、簡単なウィザードによって登録が可能 ✓ 他社SaaSやOracle Public Cloudなど数百種類のアプリケーションをカタログで提供 ◆ アプリケーションごとに、ユーザーのアクセスの可否を設定可能 ECサイト Web業務 アプリケーション オンプレミス・on IaaS 他社SaaS Oracle Public Cloud フェデレーション技術による 認証情報連携 シ ン グ ル サ イ ン オ ン SAML OAuth OpenID Connect OCI IAM Identity Domain
OCI IAM Identity Domain 外部認証基盤(外部IdP)との認証連携 Azure ADなど既存の認証基盤をマスターとする認証連携 Copyright © 2023,
Oracle and/or its affiliates 41 ◆ Azure AD、ADFS(Active Directory Federation Service)など、SAMLのIdPをマスターとする認証連携が可能 SP クラウドサービス OCIコンソール SP SP アプリケーション 各アプリケーション(フェデレーション対応) IdP(アイデンティティ・プロバイダ):クラウドサービスとの認証連携において認証行為を行う側 SP(サービス・プロバイダ):クラウドサービスとの認証連携においてIdPへ認証を委託する側 IdP Azure AD その他IDaaS 社内 ADFS (オンプレミス) SP IdP IdP 既存認証基盤(マスタ) シ ン グ ル サ イ ン オ ン IdP SAML 外 部 IdP 連 携 IdPポリシー 複数のIdPと連携が可能 IdP利用ルールを定義可能
ソーシャル・ログイン SNSなどの外部サービスをマスターとする認証連携 Copyright © 2023, Oracle and/or its affiliates 42
◆ FacebookやTwitterなどのSNSを認証マスターとして、それらのアカウントを利用してOCI IAMにログイン ◆ SNSとOCI IAMはOpenID Connect(一部OAuth)を利用してフェデレーション ◆ SNS(一部)との連携設定は事前定義済み ◆ 事前定義がないSNSも定義をインポートすることで連携可能 ◆ SNSのアカウントとの紐付け方法 ✓既存OCI IAMアカウントとソーシャル・アカウントとの紐づけ(1:Nの紐づけが可能) ✓OCI IAMへのソーシャル・アカウントの新規自己登録 SNS OCI IAM Identity Domain SP アプリケーション アプリケーション SP SP アプリケーション 各アプリケーション(フェデレーション対応) IdP シ ン グ ル サ イ ン オ ン ログイン連携 OpenID Connect (一部OAuth) 認証マスタ Aさん ログインID:Facebook ID パスワード:なし Bさん ログインID:ローカルのID パスワード:あり Facebook ID Twitter ID SNSアカウント
IAM with Identity Domains Copyright © 2023, Oracle and/or its
affiliates 43 •認証連携 •認可制御 •多要素認証 •ユーザー管理 等 オンプレミス OCI IAM Identity Domains 認証連携(シングルサインオン) 認証強化 管理 • モバイルやEmail、SMSを利用したワンタイムパスコード • 利用者情報(IPアドレス,所属グループ)に応じた認証制御 • ユーザー行動分析によるリスク評価 • 標準技術/標準規格による認証連携 (SAML, OAuth2.0, OpenID Connect, SCIM) • Gatewayモジュールによるオンプレミスアプリとの認証連携 • Azure ADなどの外部IdPとの認証連携 • 様々な方式によるユーザーやグループの管理 • Active Directoryを利用したユーザー管理 • アクセス証跡の管理と確認 他社クラウド Webシステム クラウド イントラ インターネット 利用者 WebアプリケーションやECサイトの認証統合・認証強化を実現するクラウド型認証基盤(IDaaS) Oracle SaaS/PaaS 開発 • REST APIによる操作 • ログイン画面等の開発 認証強化 認 証 連 携 認 証 連 携 認 証 連 携
IAM with Identity Domains ユースケース Copyright © 2023, Oracle and/or
its affiliates 44 OCI IAM Identity Domains 1 従業員向け統合認証基盤 従業員が業務で利用するオンスレミスのWebアプリケーションや SaaSを中心としたクラウドサービス等の認証管理・認証強化を 実現したエンタープライズレベルの認証基盤を構築 2 従業員向けSaaSの認証基盤 従業員が業務で利用するSaaSを中心としたクラウドサービスの 認証管理・認証強化を実現したクラウド向け認証管理基盤を構築 利用者 :従業員(正社員、契約、業務委託) 対象アプリケーション:オンプレミスWebアプリ、クラウドサービス(SaaS等) 利用者 :従業員(正社員、契約、業務委託) 対象アプリケーション:クラウドサービス(SaaS等) 3 外部ビジネスユーザー向け認証基盤 取引先・サプライヤ・仕入先向けのWebアプリケーションや 企業向け自社開発のパッケージの認証管理や認証強化を実現 利用者 :取引先、サプライヤ、パッケージ契約者(企業または消費者) 対象アプリケーション:Webアプリ、パッケージ(オンプレミスまたはSaaS) 4 会員(コンシューマ)向けの認証基盤 会員向けECサイトやモバイルアプリの認証強化やソーシャル認証連携、 複数ECサイトの認証連携を実現することで、会員IDの統合による UX向上とマーケティングを促進 利用者 :会員(サイト利用者) 対象アプリケーション:ECサイト、モバイルアプリケーション
Identity and Access Managementの課金タイプ Copyright © 2023, Oracle and/or its
affiliates 45 • OCI IAM Identity Domainsに4つのタイプ(課金タイプ)を用意 ※Oracle SaaSテナンシでのみ利用可能なタイプも用意 • 1つのIdentity Domainには1つの課金タイプを設定 タイプ Free Oracle Apps Premium Premium External User 概要 (Usecase) • テナンシ作成時にデフォルト・ドメインとして 作成されるタイプ • OCI IaaSおよびPaaSのリソースへのアクセ ス管理 • Oracle SaaS、PaaS、 GBUアプリケーションへの アクセス管理 • 加えてオンプレミスやOCI IaaS上のOracle アプリケーション(Oracle EBS、PeopleSoft等) のアクセス管理 • 完全なIAM機能を提供し、 すべてのOracleアプリケーションおよび Oracle以外のアプリケーションに対するアク セス管理 • 完全なIAM機能を提供しコンシューマ向けの アプリケーションに対するアクセス管理 機能制限 あり あり なし あり オブジェクト制 限 あり あり あり あり 利用条件 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • Oracle SaaSまたはOracleアプリケーション のアクセス管理 • 機能/オブジェクト制限範囲内 • 機能/オブジェクト制限範囲内 • コンシューマ向けの認証 価格 無償 ¥35(User Per Month) Oracle Cloud Infrastructure Identity and Access Management – Oracle Apps Premium ¥448(User Per Month) Oracle Cloud Infrastructure Identity and Access Management – Premium ¥2.24(User Per Month) Oracle Cloud Infrastructure Identity and Access Management – External User 注意事項 ーー • OCI IAM Identity Domainが必須となる 「お客様の開発が入らないPaaSサービス (OCMやOAC等)」のみでも利用可 ーー • デフォルトドメインを本タイプにすることは不可 • OCIリソース(OACやOCM等のPaaS含む) へのアクセス不可
Identity and Access Managementタイプ毎の機能制限 (一部) Copyright © 2023, Oracle and/or
its affiliates 46 タイプ 機能 Free Oracle Apps Premium Premium External User Oracle CloudサービスのSSO • • • • 現在のOCI IAMの機能 • • • ーー OCIリソースへのアクセス管理 • • • ーー 動的グループ(OCI用) • • • ーー OCI固有の資格証明タイプ • • • ーー サードパーティ・アプリへのアウトバウンドSSO 外部アプリ:2つまで 外部アプリ:10つまで • • サードパーティ・アプリのOAuth/トークン管理 • • 汎用SCIMアプリ・テンプレート • • 外部IdPsおよびソーシャル・ログイン 外部IdP:5つまで • • • 柔軟なIdPルーティング・ポリシー • • • • ADからIdentity Domainへの同期 (単方向Active Directory同期) • • • ーー MFAとアダプティブ・セキュリティ SMSは利用不可 • • • サインオン・ポリシー 5つまで • • • App Gatewayの利用 ーー Oracle Applicationsのみに 制限 • • 詳細:https://docs.oracle.com/ja-jp/iaas/Content/Identity/sku/overview.htm ※外部またはサードパーティ・アプリケーションは、Oracle以外のプロバイダが提供する商用アプリケーション、 またはカスタム開発のアプリケーション(Visual Builder Cloud Serviceを使用してOCIで構築されたアプリケーションなど)として定義されます。
ログ管理 47 Copyright © 2024, Oracle and/or its affiliates. All
rights reserved
Logging 48 Copyright © 2024, Oracle and/or its affiliates. All
rights reserved
OCI内のログ出力を管理し、ログの簡易的な分析と連携管理を提供 Auditログ - デフォルトで有効化されているOCIコンソールやAPIの操作ログ サービス・ログ - 各OCIサービスを利用時に発生するログ - VCN Flow
Logs, Load Balancers, Object Storage, Functionsなど Auditログは最大365日、サービスログは最大6カ月保持 Logging AnalyticsやObject Storageにログデータを移動することで 永続的な保管が可能 ログの分析やレポーティングは、操作性が高いLogging Analytics に集約して使用するのが効果的 Logging 49 Logging Auditing Object Storage VCN Flow Logs Auditログ サービス・ログ etc Service Connector Hub Logging Analytics Copyright © 2023, Oracle and/or its affiliates
Auditログ OCIの全てのアクティビティログを記録するサービス • コンソール、CLI、SDKを含む すべてのAPIコール を自動的に記録 • 一部の例外を除く全サービスが対応 • コンソール、APIから閲覧・検索可能
• テナンシー単位で365日分保持 • 利用料は無料 • SR申請によりオブジェクト・ストレージに一括エクスポート設定も可能 • ロギング・サービスとの連携 • ロギング・サービスの仕組みを使って監査ログを検索、管理することも可能 • サービス・コネクタ・ハブを利用してログデータを他のサービスに連携 Logging 50 Copyright © 2023, Oracle and/or its affiliates
Logging Analytics 51 Copyright © 2024, Oracle and/or its affiliates.
All rights reserved
機械学習のテクノロジーを活用した高度なログ分析・サービス基盤 - 200種類以上のログに対応した事前定義済みパーサー - OCIやオンプレミスにある様々なOSやミドルウェアのログに対応 - 未サポートのログにはガイド付きカスタムパーサーで簡単作成 直感的な操作で分析可能できるログ・エクスプローラー 大量のログを高速にビジュアライズするクラスタ分析 ログ・データの値に応じた自動ラベリング
様々な分析軸を保存したダッシュボード ラベルやログ・データに応じたアラート通知 アーカイブ機能によりTBを超えるログ保存のコストを削減 Loggingサービスとの連携しログ分析基盤として活用 インストールした管理エージェントが、自動的にアップロード Logging Analytics 52 Logging Analytics Logging Compute Instance Service Connector Hub 管理エージェント 連携 Syslog、セキュアログ Windowイベントログ ミドルウェア、アプリケーションログ ネットワーク、データベースログ etc.. Database System 他社クラウド 管理エージェント 連携 管理エージェント 連携 サービス連携 オンプレミス Copyright © 2024, Oracle and/or its affiliates. All rights reserved
ログ・エクスプローラ ドラッグ&ドロップ、クリックなどの直感的な操作でログを検索、分析 Logging Analytics 53 検索クエリー GUI操作に連動して自動生成 直接コマンド編集も可能 フィールド ログパーサーによって解析され
たフィールドと関連付いた値 フィールドを用いたフィルタ 処理や検索、複数のフィード を組み合わせたグループ化 など柔軟な分析ができる ビジュアライゼーション 分析結果を様々な形式でグラフ化 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
機械学習を用いたログ分析 「無視してよい大量のログ」「大切な一行のログ」を効率的に探索 類似したパターンを持つログを自動的に認識しグルーピング 膨大な量のログイベントを少量のパターン情報 (クラスタ)へと集約 - 例外的パターンや断続的に発生するイベントを素早く検知することで 迅速なトラブルシューティングや、異常の検出を可能に Logging Analytics
54 クラスター: ログ・レコードのパターンを識別し、類似した パターンを持つログをグループ化 潜在的な問題: Error, Fatal(致命的), Exception(例外) などのキーワードを含むログ・レコードのクラスタ 外れ値: 特定の期間中に一度のみ発生し、クラスタに 含まれなかったログ・レコード トレンド: クラスタのトレンド。類似した傾向を持つクラスタ同士 をトレンドとして表示 Aug 18 11:00:57 Unable to create file ABC.txt for user root Aug 18 23:07:26 Unable to create file DEF.txt for user larry Aug 18 23:08:30 Unable to create file XYZ.ppt for user moe 上記ログエントリを、1つのパターンおよび1つの例外に集約 ID パターン 件数 1 <Date> Unable to create file <File> for user <User> 1000 2 Aug 18 23:08:01 Succeeded authorizing right 'system.priv.admin' 1 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
クラスタ分析によるパターン検出例① Logging Analytics 55 テスト環境でアプリケーションからDBへの接続 エラーのトラブルシュート中、同時間帯にリスナー ログが大幅増加していることを確認 クラスタリング結果から、接続要求自体は届いて いるものの、接続記述子に問題があることを即座に確認 Copyright
© 2024, Oracle and/or its affiliates. All rights reserved
ラベル Logging Analytics 56 ラベル機能 • 特定の値を持つログエントリに「ラベル」=「わかりやすいキーワード」を付与 • 人間にわかりやすい言葉でログを検索することが可能 事前定義済ラベル
• ラベルとラベル付与ルールを事前定義済で提供 • ユーザー自身がカスタムで作成することも可能 Tue Feb 14 22:24:23 2017 … Errors in file … (PDBNAME=CDB$ROOT): ORA-04031: unable to allocate 512 bytes of shared memory Exception in thread "Thread-4" java.lang.OutOfMemoryError: Java heap space at org.apache….. 「メモリエラー」 Oracle Database アラートログ WebLogic Server サーバーログ ラベル ラベルの付与 ラベルによる検索 「メモリエラー」に関する ログを教えて! Copyright © 2024, Oracle and/or its affiliates. All rights reserved
事前定義済みのログ・パーサー 200を超える事前定義済みのログ・パーサーを提供 例:Windowsイベント, Linux/Solaris等のOS関連ログ Oracle Database, MySQL, SQL Server等のDB関連ログ WebLogic
Server, Tomcat, JBoss, IIS等のAP関連ログ Palo Alto, Bluecoat,F5等のネットワーク機器関連ログ OCI Audit, VPN Flow Logなどクラウドサービス関連ログ テキスト、XML、JSON、データベース表のログにも対応 マルチライン対応 事前定義済みのパーサーにない未対応のミドルウェアや アプリケーションのログには、ガイド付きパーサー・ビルダーで 簡単に正規表現のパーサー作成が可能 Logging Analytics 57 フィールド分割の作業や場所の指定なしで すぐに分析に取りかかることが可能 ログ・パーサー ログレコードの解析定義(正規表現) ログ・ソース ログの場所やログに対する前処理の設定 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
ガイド付きパーサー・ビルダー Logging Analytics 58 ①対象のログファイルの選択 ②サンプル・ログレコードの入力 ③ログレコードとフィールドの紐づけ ④生成された正規表現で サンプルログレコードのテスト 実際のログからGUI操作で
解析定義を生成 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
ログのアーカイブ・パージ Logging Analyticsの2つのストレージ領域 - アクティブ・ストレージ (デフォルト) - アーカイブ・ストレージ アクティブに参照する必要のないログは、アーカイブ ストレージに移動し、ストレージコストを抑えることが可能
アーカイブは、アクティブストレージに30日以上経過し、 1TBを超えるデータが対象となる リコールにてデータをアーカイブからアクティブストレージに いつでも呼び戻すことも可能 古いログは、パージによってログを削除 パージ・ポリシーを設定することで、1カ月以上前のログや 特定のシステムのログだけを削除するなど、定期的なログ 削除のジョブを実行 Logging Analytics 59 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
検出ルールとアラート 2種類の検出ルール - 検出したいログの検索クエリーをスケジュール化して定期的に 実行(最小5分間隔)、結果をメトリックとして更新 - ログ取り込み時にラベルの有無をチェックし、結果をメトリック として更新 メトリックは、モニタリングの独自メトリックとして定義される メトリックには、しきい値を設定したアラートの実行
- モニタリングのアラート機能を使用 アラートの通知先には、通知サービスを使用した メール, Slack, SMS, Webhook, Functionsと連携した コードの自動実行など、しきい値を検知した際の アクションの設定が可能 OCI上のリソースが削除された内容のログを検索する 検索クエリーを定期的に実行し、1件でも一致するログがあれば アラームを受け取る Logging Analytics 60 OCI上のリソースが削除された ログを検索する検索クエリーを 5分毎に実行 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
脅威インテリジェンスと連携し高リスクのIPアドレスを検出 OCIの脅威インテリジェンス・サービスと連携し ログ内に含まれているIPアドレスを評価しリスクを検出 脅威データベースに該当する場合は、Threat IPの フィールドとして出力される 脅威となるIPアドレスの主なタイプ -Bruteforce, Criminal, Botnets,
Sqlinjectionattack Mobilemalware, Banking, Targetedcrimewareなど IPアドレスは、脅威タイプと信頼度が定義されており 常に最新の動向を反映したリストに保たれる Logging Analyticsには、IPアドレスからジオロケーション を抽出する機能があるが、その設定の一部として チェックするだけ有効になるので設定も簡単 機能を有効化した後のログからチェックが開始され 既に格納されているログは対象外 Logging Analytics 61 Threat Intelligence Logging Analytics ログに含まれるIPアドレスを 分析しThreat IPとして評価 最新の脅威情報 を同期 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
ダッシュボード ログ・エクスプローラーで検索した条件を保存し、一目で ユーザーの参照したい画面をダッシュボードにして作成 日付に応じた画面のリフレッシュ OCI AuditやVNC Flow Logsなどのビルドインされた ダッシュボードの提供 ログ・エクスプローラーの画面に遷移し、さらに詳細な
分析を行うことも可能 ダッシュボードをクローンすることで、事前定義済み ダッシュボードのカスタマイズ ダッシュボードの定義をエクスポートし、別のテナントに インポート可能 Logging Analytics 62 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
サービス価格 63 【Logging Analytics】 サービス 価格 メトリック Logging Analytics: Active
Storage (最初の35Unitまで)※ ¥52,080 1Unit/月 Logging Analytics: Active Storage (36~103Unitまで) ¥36,456 1Unit/月 Logging Analytics: Active Storage (104Unit以降) ¥31,248 1Unit/月 Logging Analytics: Archive Storage ¥2.8 1Unit/時間 ※Logging, Logging Analyticsは、最初の10GBまで無償 LAは、11~300GBが1unit、以降 300GB単位で1Unit換算 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Security Zones 64 Copyright © 2024, Oracle and/or its affiliates.
All rights reserved
脆弱な設定を防止するために、強固なセキュリティ・ポリシーが強制されたコンパートメント コンピュート・インスタンス、ネットワーク、ストレージ、データベースなどのリソースに対する 30を超えるポリシーがOracle管理で提供される ポリシーの一例: - セキュリティゾーン内のリソースを標準コンパートメントに移動することはできない - パブリック・アクセスに関するリソースはすべて作成できず、プライベート・サブネットのみ許可される - ストレージ・ボリュームはVaultによる暗号鍵管理が必要
- データベースのバックアップは必須、バックアップはセキュリティゾーン以外では使用できない - カスタム・イメージは作成できない すべてのポリシーを強制させる最大セキュリティ方式、ユーザー自身で必要な ポリシーのみを選択する方式の2種類のSecurity Zonesが作成可能 基本機能として無償 セキュアに保護されたコンパートメント Security Zones VM Database Security Zones Admin 65 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Web Application Firewall 66 Copyright © 2024, Oracle and/or its
affiliates. All rights reserved
Webアプリケーションの保護をクラウド型で提供するOCIのマネージドサービス OWASP Top10に代表される様々なサイバー攻撃のトラフィックを解析し、Webアプリケーションを保護 Webアプリケーションのプロキシとして動作し、多層的に不正なアクセスを検出・遮断 Oracle Cloudだけでなくオンプレミスや他クラウド上にあるWebアプリケーションも同等の保護が可能 用途に合わせたGlobal WAFとRegional WAFの2種類のWAFをサポート Web
Application Firewall 67 WAF and Anti-Bot Protection クラウドベース Web APP オンプレミス Web APP Oracle Cloud Web APP 悪意のボット ハッカー ユーザー 善良なボット スパムメール アクセス制御 脅威 インテリジェンス ボット対策 保護ルール すぐにデプロイできる俊敏性 マネージドサービスによる設定・運用管理の容易性 特定の国, URL IP, ユーザー エージェント等の 制限 最新の脅威情 報 を基 に脆 弱 性をつく攻撃を 防御 悪意のボットを ブロックさせるた めのトラフィック 行動分析 サイバー攻撃を 遮断する600を 超えるルール およびOWASP トップ10への対応 専門 チーム 極度な状況の 場 合 に動 員 さ れる専門家 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Global WAF Webサーバー(オリジンサーバー)の前段にリバースプロキシとして配置 実際のWAFリバースプロキシサーバーは、世界中の11拠点に展開するエッジPoPに分散配置 IPエニキャストによりクライアントに最も近いWAFにルーティングされ、フィルタリングされたトラフィックのみバックエンドに転送 設定(WAFポリシー)はOCIのグローバルリソースとして一括管理、「反映」ボタンを押すと世界中のWAFにキャスト Web Application Firewallのグローバル・アーキテクチャ 68
Web Server 攻撃者 攻撃者 攻撃者 リージョン内WAF Edge PoP Edge PoP OCI REGION VCN WAF Policy Internet Gateway Customer Premises Equipment 他クラウド / オンプレミス も保護可能 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Regional WAF VCN内のフレキシブル・ロード・バランサー(パブリック/プライベート)に対してWAF保護ポリシーを適用 - インターネット・アプリケーションだけではなく、VCN内部のプライベートなアクセスに対してもWAFでの保護が可能に DNSには、ロードバランサーのIPアドレスを登録することで、クライアントはWAFを経由したアクセスになる WAFのバックエンドサーバーとして保護できるのは、VNCインスタンスのみ フレキシブル・ロード・バランサーに直接デプロイするWeb Application Firewall
69 OCI パブリック・サブネット プライベート・サブネット VCN DRG パブリック・ ロード・バランサ インターネット・ ゲートウェイ インスタンス インスタンス プライベート・ ロード・バランサ WAFポリシー WAFポリシー オンプレミス 保護 保護 インターネット Copyright © 2024, Oracle and/or its affiliates. All rights reserved
それぞれのWAFの特徴 70 Global WAF (エッジ ポリシー ) Regional WAF (WAF
ポリシー) 機能提供開始 2019年2月~ 2021年10月~ 特徴 ドメインのDNSレコード更新を用いて フルスタックのWAF機能を使用できる OCI Flexible Load Balancerに直接デプロイし 従来よりも簡単でシンプルな設定・構成 対象アプリケーション すべてのパブリックのWEBアプリケーション OCIのVNC内のWEBアプリケーションのみ アプリケーション・エンドポイント パブリックのみ パブリック及びプライベート アクセス制御 〇 〇 脅威インテリジェンス 〇 × (予定) WAF保護ルール 〇 〇 BOT対策 〇 × (予定) レート制限 〇 〇 キャッシュ 〇 × (予定) アクセス・ログ WAF Service内 Logging サービス連携 ポリシーの反映 10分~1時間 10秒~1分 グローバルなエッジPoPに展開する負荷分散型のGlobal WAFは、エッジポリシー Flexible Load Balancerに直接デプロイするOCIネイティブ型のRegional WAFは、WAFポリシーと呼ぶ Copyright © 2024, Oracle and/or its affiliates. All rights reserved
ルールに基づいて悪意のあるトラフィックからアプリケーションを保護 保護ルール (Protection Rules) 71 事前定義済ルールがサービスに同梱 • 現時点で600以上のルールが定義済 • 最新の脅威情報を元に随時アップデート
ユーザーがルールの適用可否をカスタマイズ • Block(ブロック)、Detect(検知のみ) 、Off(無効) • mod_security フォーマットによるカスタム・ルールの登録 AI機能による運用サポート • 一定期間のトラフィックを機械学習(ML)で自動的に分析し、 推奨アクションを提示 (※エッジポリシーの場合) • OWASPの推奨事項などをタグでフィルタリング ブロック時のアクション指定 • レスポンスコード • エラーページ エッジポリシー WAFポリシー Copyright © 2024, Oracle and/or its affiliates. All rights reserved
アクセス・ルール (Access Rules) トラフィック制御の条件に設定できるパラメータ アクセス制御 (Access Control) 72 評価基準 内容
備考 URL • URL is • URL is not • URL starts with • URL ends with • URL contains • URL regex URL正規表現マッチングはPerl互換の正規表現 IPアドレス • Client IP Address is • Client IP Address is not 地域 / 国 • Country is • Country is not APIには、2文字の国別コードを使用 UserAgent • User Agent is • User Agent is not HTTPヘッダ • HTTP Header contains 値は、コロンで区切った<name>:<value>で入力する必要がある エッジポリシー WAFポリシー Copyright © 2024, Oracle and/or its affiliates. All rights reserved
状況に応じインテリジェントに判断してアプリケーションを保護するWAFの応用機能 ボット管理 (Bot Management) 73 単純なルールでは判別不可能なBotを、複雑なロジック を用いアダプティブに判断して検知、ブロックを行う 5種類の保護をサポート • JavaScriptチャレンジ
• ヒューマン・インタラクション・チャレンジ • デバイスのフィンガープリント・チャレンジ • アクセス・レート制限 (API経由で設定可能) • CAPCHAチャレンジ 良好なBotホワイトリスト機能で、サーチエンジンなどにも 対応 エッジポリシー Copyright © 2024, Oracle and/or its affiliates. All rights reserved
エッジポリシーのアクセスログは、WAFサービス内で独自管理される WAFサービスのコンソール内に簡易的なログ表示機能 ログの最大保持期間は7日間, SRリクエストでログを定期的に オブジェクト・ストレージにアーカイブさせるような設定が可能 WAFポリシーのアクセスログはLoggingサービスで管理される Loggingサービスが提供する簡易的なログ検索とグラフ機能 ログの最大保持期間は6カ月 Service Connector
Hubで、ログをオブジェクト・ストレージや Logging Analyticsなどにアーカイブして長期保管が可能 74 エッジポリシー WAFポリシー Object Storage WAF ログファイルの保存 WAF Logging Service Connector Hub WAFのアクセス・ログ Logging Analytics Object Storage Logging Analytics Copyright © 2024, Oracle and/or its affiliates. All rights reserved
オブジェクト・ストレージに格納されるエッジポリシーのログや LoggingサービスからService Connector Hub経由で送信 されたWAFポリシーのログをLogging Analyticsで分析 Logging Analyticsは、機械学習のテクノロジーを活用した 高度なログ分析を提供 -
250種類以上のログに対応した事前定義済みパーサー - OCIやオンプレミスにある様々なOSやミドルウェアのログに対応し ログの取り込みからビジュアライズまでをサポート - ユーザー独自のアプリケーションや未サポートのログに対応する カスタム・パーサを簡単に手動作成 異常値の検出、クラスタ分析、トレンド分析など、経験やスキル を問わず誰でも高度な分析手法が可能 ログデータに応じたアラート通知 Logging Analyticsを組み合わせたログのビジュアライズ 75 アクセス急増によるDDoS攻撃の検出 アクセスログを包括的に監視するダッシュボード Copyright © 2024, Oracle and/or its affiliates. All rights reserved
価格 76 SKU メトリック 単価 Web Application Firewall – Instance
1インスタンス ¥0 2インスタンスからは、1インスタンスごとに ¥700/月 Web Application Firewall - Requests 1000万リクエスト/月 ¥0 1000万リクエストからは、100万リクエストごとに ¥84/月 WAFの課金体系は、インスタンスとリクエストのメトリックで構成される インスタンスは、WAFのポリシー、リクエストは実際にWAFが処理するHTTPリクエストを意味する ひとつめのWAFポリシーで1000万リクエスト/月までは、無償として提供される Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Network Firewall 77 Copyright © 2024, Oracle and/or its affiliates.
All rights reserved
OCIネイティブの次世代ファイアーウォール Network Firewall 78 不正なトラフィックやマルウェアからOCIネットワークを保護するファイアーウォール・サービス Palo Alto Networksの最先端のテクノロジーを活用した脅威検出インテリジェンスを搭載 高可用性を考慮したデプロイメントを数ステップで作成可能 -
8Gbps(デフォルト)から最大25Gbpまで拡張可能なネットワーク帯域 - Active-ActiveのHA構成、それぞれ別のADにデプロイ Oracleマネージドで提供されるメンテナンスフリーの脅威検出シグネチャ ユーザー要件に応じた様々なファイアーウォール・ポリシーの作成 インターネット、閉域網、OCIリージョン間など様々なネットワーク構成に適用が可能 主なセキュリティ機能 - ステートフル・ネットワーク・フィルタリング : IPv4/IPv6, ポート, プロトコルに基づくアクセス制御 - URLフィルタリング: ドメインやURLを用いたインバウンド・アウトバウンド通信制限 - 不正侵入検知・防止(IPS/IDS): 最新の脅威インテリジェンスで不正なトラフィックを検出し遮断 - SSLインスペクション: クライアントとサーバー間のHTTPS通信を復号しトラフィックを検査 Network Firewall ✓ ステートフル・ネットワーク・フィルタリング ✓ URLフィルタリング ✓ 不正侵入検知・防止 (IPS/IDS) ✓ SSLインスペクション ✓ ✕ Copyright © 2024, Oracle and/or its affiliates. All rights reserved
ステートフル・ネットワーク・フィルタリング 送信元および宛先のIPアドレス、ポート、プロトコルに基づいて トラフィックを許可または拒否する ポリシーに使用できるルール要素 - 送信元IPアドレス (IPv4/IPv6) - 送信元ポート番号 -
宛先IPアドレス - 宛先ポート番号 (IPv4/IPv6) - プロトコル 例) SSH: TCP/22, HTTPS: TCP/443 範囲指定: TCP/5901-5910 デフォルトの動作を下記選択することが可能 - ホワイトリスト: デフォルト拒否、許可するルールを指定 - ブラックリスト: デフォルト許可、拒否するルールを指定 VCNのセキュリティリスト、セキュリティグループとは共存 79 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
インバウンドおよびアウトバウンドのHTTP/HTTPSトラフィックを FQDNやワイルドカードを用いたURL指定などで制限 ファイアウォール・ポリシーのルール要素として使用することができ 条件に合致したURLへの接続を許可・拒否する URL例) *.example.com - www.docs.example.comや www.example.com.uaはマッチする *.example.com/
- www.docs.example.comはマッチするが www.example.com.uaはマッチしない mail.^.com - mail.example.com はマッチするが mail.example.sso.comはマッチしない 80 URLフィルタリング Copyright © 2024, Oracle and/or its affiliates. All rights reserved
不正侵入検知・防止(IDS・IPS) 81 Palo Alto Networksの脅威分析エンジンとUnit42 (セキュリティ研究チーム)で構築されたIDS・IPSソリューション 最新の脅威シグネチャと検知メカニズムで脅威を識別 既知の脆弱性の悪用、マルウェア、悪意のあるURL、 スパイウェア、C&C攻撃に対する検知やブロックを行う App-IDテクノロジーを使用してアプリケーション層に対する
不正アクセスから正確に保護 - App-IDは、ポート、プロトコル、暗号化または回避技術に関係なく アプリケーションを正確に識別するPalo Alto独自のトラフィック分類 テクノロジー IDS(不正侵入検知)は、脅威を検出しログ出力のみ IPS(不正侵入防止)は、検知だけでなくトラフィックを切断する Copyright © 2024, Oracle and/or its affiliates. All rights reserved
TLSで暗号化されたHTTPS通信をNetwork Firewallが 復号し、本来は暗号化されて可視化できない通信内容に 対する検査が可能に 2つのSSL復号方式をサポート - SSLフォワード・プロキシ - SSLインバウンド・インスペクション 暗号化・復号に使用なシークレット情報(秘密鍵と証明書)は
OCI Vaultでセキュアに管理 SSL証明書やSSL暗号プロトコルの検証も実施 復号後のトラフィック検査には、侵入検知・防止の脅威分析 エンジンにより、マルウェアや不正なアクテビティを検出・遮断 82 SSLインスペクション Copyright © 2024, Oracle and/or its affiliates. All rights reserved
IDS・IPSルールで不正なトラフィックを検出・遮断 83 VCN Firewall Subnet Subnet Instance Network Firewall Internet
Subnet Instance Database インターネットや専用線との境界にNetwork Firewallを 配置し、VNC内のリソースをサイバー攻撃から保護する 同様にマルウェア感染等よるVNC内部からの外向きの 不正なアクセスを未然に防止する VCN Firewall Subnet Subnet Instance Network Firewall Instance Subnet Database VCN Firewall Subnet Network Firewall VNC内のサブネット間やVCN間の通信の保護を目的と した構成など、Network Firewallの配置位置によって 対象のリソースを限定することもできる VCN内の疑わしいアクティビティの監視や情報漏洩対策 としても有用 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
インターネットアクセスを監視する基本的な設定例 84 VCN 172.16.0.0/21 Firewall Subnet 172.16.1.0/24 Internet Gateway Secure
Public Subnet 172.16.0.0/24 Instance 172.16.0.1 Network Firewall 172.16.1.100 Destination CIDR Route Target 0.0.0.0/0 172.16.1.100 Internet Destination CIDR Route Target 0.0.0.0/0 IGW ① ② ③ Destination CIDR Route Target 172.16.0.0/24 172.16.1.100 Internet Gateway Route Table Firewall Subnet Route Table Secure Public Route Table ④ ⑤ vNIC0 ① ③ FW ④ ② ⑤ : インバウンド : アウトバウンド FW インバウンド・アウトバウンドのトラフィックを Network Firewallに通過させる Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Network Firewallログのサービス連携 85 Service Connector Hubから直接Logging Analyticsにデータ連携し、詳細なログ分析が可能 Logging Analyticsは、機械学習のテクノロジーを活用した横断的なログ分析やダッシュボードを提供 -
OCIやオンプレミスにある様々なOSやミドルウェアのログに対応しログの取り込みからビジュアライズまでをサポート - 異常値の検出、クラスタ分析、トレンド分析など、経験やスキルを問わず誰でも高度な分析 - ログデータに応じたアラート通知 (Notificationサービス連携) Logging Service Connector Hub Logging Analytics JSON形式の TrafficとThreatログ Network Firewall ログの出力管理 Loggingのログを Logging Analyticに 直接転送する 可読性の高いログのビジュアライズと ダッシュボードによる網羅的なログ分析 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
検出された不正トラフィック例 86 Network Firewallが検知した1週間の不正トラフィック どこの国からのアクセスか? 不正トラフィックのカテゴリと比率 Network Firewallが判別した不正トラフィックの種類 ※これらの画面はLogging Analyticsのものです
Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Network Firewallの課金体系は、Firewall InstanceとData processingの2種類 インスタンスの課金はアクティブなインスタンスの数に基づいており、データ処理の課金はインスタンスによって 処理されるトラフィック量を対象とする 価格 87 SKU PAYG(Pay
As You Go rate) Oracle Cloud Infrastructure - Network Firewall Instance ¥385/時 Oracle Cloud Infrastructure - Network Firewall Data Processing ¥1.4/GB (1ヶ月あたり10TBまで無料) Copyright © 2024, Oracle and/or its affiliates. All rights reserved
Vault 88 Copyright © 2024, Oracle and/or its affiliates. All
rights reserved
ユーザーの暗号鍵・シークレットをセキュアに集中管理 OCIの各ストレージサービスはデフォルト暗号化 Vaultを利用することにより、暗号鍵の管理をデフォルトのOracle管理から ユーザー自身で管理することが可能 • 対応する暗号鍵: AES, RSA, ECDSA •
暗号鍵の作成・削除・ローテーション、バージョン管理、モニタリング • OCIサービスの各サービスとシームレスに連携 • 鍵のインポート (BYOK)も可能 • バックアップ、クロスリージョン・レプリケーションによるDR対応 ※Virtual Private Vaultのみ FIPS 140-2 Security Level 3 に準拠したHSMを利用 2種類の格納先 • Default Vault : 共有パーティション内で仮想的にユーザーのVaultを提供 • Virtual Private Vault : ユーザー専用に完全分離された専用パーティションとして提供 シークレット (パスワード、証明書、SSHキー、認証トークン)なども格納可能 Default Vaultは、10Vault、1テナントあたり最大20暗号キーまで無償 Vault 89 Key A Key B 暗号化 暗号化 Secret A コード ユーザー Block Storage Object Storage File Storage Database Vault Copyright © 2024, Oracle and/or its affiliates. All rights reserved
マスター暗号鍵の格納場所 Vault 90 Native OCI Storage Database Data Key1 TDE
Data Key マスター 暗号鍵 Secrets Encrypts/ Decrypts Encrypts/ Decrypts Protected HSM • FIPS140-2 Level 3に準拠したHSMに格納 • 暗号化・復号はHSM内で処理実行される • マスター暗号鍵をエクスポートすることはできない • Default Vault (共有HSMパーティション) • 各テナントで共有され、トランザクションを最適化 • 無償、10Vaultまで、 1Vaultあたり最大100キー • Virtual Private Vault (専用HSMパーティション) • 高い独立性と高速なトランザクションを保証(3K-5K) • 有償、1Vaultあたり最大1000キーの格納を保証 • バックアップ、クロスリージョン・レプリケーションのサポート ソフトウェア • サーバー内に暗号化され保管 • 暗号化・復号はサーバーメモリ内で処理実行される • マスター暗号鍵をエクスポートできる • 無償、キーの制限なし Copyright © 2024, Oracle and/or its affiliates. All rights reserved
ユース・ケース Vault 91 暗号鍵 シークレット • コンプライアンス要件上、データ暗号化の暗号鍵の管理 をサービスベンダーでなく、ユーザー自身で管理することが 必須、または推奨されている •
コンプライアンス要件上、定期的な暗号鍵の変更が求め られている • コンプライアンス要件上、暗号鍵はHSMに格納 することを推奨事項として明記されている • HSMの利用の場合、FIPS140-2 Level3準拠することが 金融や公共・ヘルスケアといったシステムではデファクトスタ ンダートとして求められる • データの暗号化やデジタル署名のクラウド基盤 • バッチやアプリケーション内でデータベースの ユーザー名・パスワード、接続文字列といった 接続情報を直接ハードコーディングすることを 禁止したい • クラウドリソースのユーザー名やパスワード、 SSHキーなどをメールやチャットツールなどで 気軽に共有してしまう運用を辞めたい • Terraformやコンテナ等のインフラの自動化管理ジョブの中 にできる限り機微な情報を含めたくない • だれが、いつ、どこからシークレットにアクセスしたのか、特定す るための監視手段が必要 • シークレットの有効期限を設定したい Copyright © 2024, Oracle and/or its affiliates. All rights reserved
価格 Vault 92 暗号鍵 シークレット Default Vault デフォルト 共有パーティションとして提供 10Vaultまで使用可
テナントあたり20キー・バージョンまで無償、以降1キー・バージョン ごとに(¥74) ※新規キー作成は、1キー・バージョンとしてカウント キーのローテーションは、1キー・バージョンとしてカウント Virtual Private Vault HSM内にユーザー専用のパーティションを提供し、仮想HSM と同等の分離レベルを提供 1 Vaultあたり最大 3000キーまで格納可能 1 Vaultあたり: (¥521/hour) ※上記のVaultではなく、ソフトウェア保護キーの場合は制限なく無償 無償 5,000 シークレット 1シークレット 最大50バージョン 1シークレット 最大25KB 100000 Write APIコール/月 無制限 Read APIコール/月 Copyright © 2024, Oracle and/or its affiliates. All rights reserved
None