セキュリティは、あらゆるアーキテクチャにとって非常に重要です。 Azure には、Oracle ワークロードを効果的にセキュリティで保護するための包括的なツールが用意されています。 この記事では、Azure 上の仮想マシン (VM) にデプロイされる Oracle アプリケーション ワークロードに関連する Azure コントロール プレーンのセキュリティに関する推奨事項について説明します。 Oracle Database のセキュリティ機能の詳細については、 Oracle Database のセキュリティ ガイドを参照してください。
ほとんどのデータベースには機密データが格納されます。 データベース レベルでのみセキュリティ対策を行うだけでは、これらのワークロードを適用するアーキテクチャ全体をセキュリティで保護するには十分ではありません。 多層防御は、データを保護するために複数の多層防御メカニズムを実装する、セキュリティに対する包括的なアプローチです。 ネットワーク セキュリティ メカニズムなど、特定のレベルで 1 つのセキュリティ対策に依存することはありません。 多層防御戦略を使用して、さまざまなレイヤー セキュリティ対策を組み合わせて使用し、堅牢なセキュリティ体制を作成します。
強力な認証と承認フレームワーク、強化されたネットワーク セキュリティ、保存データと転送中のデータの暗号化を使用して、Oracle ワークロードの多層防御アプローチを設計できます。 Oracle ワークロードは、サービスとしてのインフラストラクチャ (IaaS) クラウド モデルとして Azure にデプロイできます。 共有責任マトリックスを見直して、クラウド プロバイダーと顧客に割り当てられている特定のタスクと責任について理解を深めます。
採用しているサービスやテクノロジーを定期的に評価し、セキュリティ対策が変化する脅威の状況に合っていることを確認する必要があります。
一元化された ID 管理を使用する
ID 管理は、重要なリソースへのアクセスを管理する基本的なフレームワークです。 一時的なインターン、パートタイムの従業員、フルタイムの従業員など、さまざまな担当者と連携すると、ID 管理が重要になります。 これらの個人には、必要に応じて監視、保守、および迅速に取り消す必要があるさまざまなレベルのアクセス権が必要です。
組織は、フル マネージド ID およびアクセス管理サービスである Microsoft Entra ID と統合することで、Azure の Windows VM と Linux VM のセキュリティを強化できます。
Windows または Linux オペレーティング システムにワークロードをデプロイする
シングル サインオン (SSO) で Microsoft Entra ID を使用すると、Oracle アプリケーションにアクセスし、 Linux オペレーティング システム と Windows オペレーティング システムに Oracle データベースをデプロイできます。 オペレーティング システムを Microsoft Entra ID と統合して、セキュリティ体制を強化します。
攻撃者が Oracle データベースに損害を与える可能性のある脆弱性を排除するためにオペレーティング システムを強化することで、Azure IaaS での Oracle ワークロードのセキュリティを強化します。
Oracle データベースのセキュリティを強化する方法の詳細については、 Azure Virtual Machines ランディング ゾーン アクセラレータでの Oracle ワークロードのセキュリティ ガイドラインに関するページを参照してください。
推奨事項
パスワードの代わりに、Linux アカウント アクセスに Secure Shell (SSH) キー ペアを使用します。
パスワードで保護された Linux アカウントを無効にし、要求に応じて短期間だけ有効にします。
root アカウントや oracle アカウントなど、特権を持つ Linux アカウントのサインイン アクセスを無効にします。これにより、個人用アカウントへのサインイン アクセスのみが許可されます。
sudoコマンドを使用して、直接サインインではなく、個人用アカウントから、ルート アカウントや Oracle アカウントなどの特権 Linux アカウントへのアクセス権を付与します。Linux syslog ユーティリティを使用して、Linux 監査証跡ログと
sudoアクセス ログが Azure Monitor ログにキャプチャされるようにします。セキュリティ パッチとオペレーティング システムのパッチと更新プログラムは、信頼できるソースからのみ定期的に適用します。
オペレーティング システムへのアクセスを制限する制限を実装します。
サーバーへの未承認のアクセスを制限します。
全体的なセキュリティを強化するために、ネットワーク レベルでサーバー アクセスを制御します。
Azure ネットワーク セキュリティ グループ (NSG) に加えて、Linux ファイアウォール デーモンを保護の追加レイヤーとして使用することを検討してください。
起動時に自動的に実行されるように Linux ファイアウォール デーモンを構成してください。
ネットワーク リッスン ポートをスキャンして、潜在的なアクセス ポイントを特定します。 Linux
netstat –lコマンドを使用して、これらのポートを一覧表示します。 Azure NSG または Linux ファイアウォール デーモンがそれらのポートへのアクセスを制御していることを確認します。元に戻せないコマンドが実行される前に少なくとも 1 回プロンプトが表示されるように、
rmやmvなどの破壊的な Linux コマンドのエイリアスを設定して、対話モードで強制的に実行するようにします。 上級ユーザーは、必要に応じてエイリアスを削除する方法を知っています。Linux syslog ユーティリティを使用して Oracle 監査ログのコピーを Azure Monitor ログに送信するように Oracle データベース統合システム ログを構成します。
ネットワーク トポロジを設計する
ネットワーク トポロジは、Azure 上の Oracle ワークロードの階層型セキュリティ アプローチの基本的なコンポーネントです。
すべてのクラウド サービスを 1 つの仮想ネットワークに配置し、Azure NSG を使用してトラフィックを監視およびフィルター処理します。 受信トラフィックをセキュリティで保護するファイアウォールを追加します。 データベースをデプロイするサブネットをインターネットとオンプレミス ネットワークから専用かつ安全に分離していることを確認します。 内部および外部からデータベースにアクセスするユーザーを評価して、ネットワーク トポロジが堅牢で安全であることを確認します。
ネットワーク トポロジの詳細については、「 Azure Virtual Machines ランディング ゾーン アクセラレータでの Oracle のネットワーク トポロジと接続」を参照してください。
推奨事項
Azure NSG を使用して、Azure 仮想ネットワーク内の Azure リソース間のネットワーク トラフィックをフィルター処理し、オンプレミス ネットワークと Azure の間のトラフィックをフィルター処理します。
Azure Firewall またはネットワーク仮想アプライアンス (NVA) を使用して、環境をセキュリティで保護します。
Microsoft Defender for Cloud Just-In-Time (JIT) アクセスや Azure Bastion 機能などの Azure が提供する機能を使用して、Oracle Database ワークロードが存在する VM を未承認のアクセスから保護します。
X Windows システムおよび仮想ネットワーク コンピューティング (VNC) ユーティリティの SSH ポートフォワーディングを使用して、SSH 経由で接続をトンネリングします。 詳細については、 VNC クライアントを開き、デプロイをテストする例を参照してください。
インターネットとオンプレミス ネットワークから分離された専用サブネットに VM を配置して、ハブ仮想ネットワークを介してすべてのトラフィックを転送します。
暗号化を使用してデータをセキュリティで保護する
データを保護するためにストレージに書き込まれるときに保存データを暗号化します。 データを暗号化する場合、承認されていないユーザーはデータを公開または変更できません。 データを表示または変更できるのは、承認されたユーザーと認証されたユーザーだけです。 Microsoft Azure では、さまざまなニーズを満たすために、ファイル、ディスク、BLOB ストレージなど、さまざまなデータ ストレージ ソリューションを提供しています。 これらのストレージ ソリューションには、保存データをセキュリティで保護するための暗号化機能があります。
転送中のデータを暗号化して、ある場所から別の場所 (通常はネットワーク接続経由) に移動するデータを保護します。 さまざまな方法を使用して、接続の性質に応じて転送中のデータを暗号化できます。 Azure には、ある場所から別の場所に移動する際に、転送中のデータをプライベートに保つための多くのメカニズムが用意されています。
推奨事項
Microsoft が保存データを暗号化する方法について理解します。
透過的なデータ暗号化 (TDE) やデータの編集など、 Oracle Advanced Security の機能について考えてみましょう。
Oracle Key Vault を使用してキーを管理します。 Oracle TDE を追加の暗号化レイヤーとして実装する場合、Oracle は Azure Key Vault などの Azure キー管理ソリューションや他のクラウド プロバイダーのキー管理ソリューションをサポートしていない点に注意してください。 Oracle ウォレットの既定の場所は、Oracle データベース VM のファイル システムにあります。 ただし、Azure では、Oracle Key Vault をキー管理ソリューションとして使用できます。 詳細については、「 Azure での Oracle Key Vault のプロビジョニング」を参照してください。
Microsoft が 転送中のデータを暗号化する方法について説明します。
Oracle ネイティブ ネットワーク暗号化とデータ整合性機能の使用を検討してください。 詳細については、「 Oracle Database Native Network Encryption と Data Integrity の構成」を参照してください。
Oracle Database 監査証跡を統合する
アプリケーション ログの監視は、アプリケーション レベルでセキュリティの脅威を検出するために不可欠です。 Azure Sentinel は、クラウドネイティブのセキュリティ情報およびイベント管理 (SIEM) ソリューションであり、Oracle ワークロードのセキュリティ イベントを監視するために使用できます。
詳細については、 Microsoft Sentinel の Oracle Database 監査コネクタを参照してください。
推奨事項
Oracle Database ワークロードには Microsoft Sentinel ソリューションを使用します。 Oracle Database 監査コネクタは、業界標準の syslog インターフェイスを使用して Oracle Database 監査レコードを取得し、Azure Monitor ログに取り込みます。
Azure Sentinel を使用して、アプリケーション、Azure インフラストラクチャ、ゲスト オペレーティング システムの監査レコードを確認します。