Oracle ワークロードのセキュリティを最適化する

セキュリティは、どのアーキテクチャでも重要です。 Azure には、Oracle ワークロードを効果的にセキュリティで保護するための包括的なツールが用意されています。 この記事では、Azure 上の仮想マシン (VM) にデプロイされる Oracle アプリケーション ワークロードに関連する Azure コントロール プレーンのセキュリティに関する推奨事項について説明します。 Oracle Database のセキュリティ機能の詳細については、「 Oracle Database セキュリティ ガイド」を参照してください。

ほとんどのデータベースには機密データが格納されます。 データベース レベルでのみセキュリティ対策を行うだけでは、これらのワークロードをデプロイするアーキテクチャ全体をセキュリティで保護することはできません。 多層防御は、データを保護するために複数の防御メカニズムを実装する、セキュリティに対する包括的なアプローチです。 ネットワーク セキュリティ メカニズムなど、特定のレベルで 1 つのセキュリティ対策に依存することはありません。 多層防御戦略を使用して、さまざまなレイヤー セキュリティ対策を組み合わせて使用して、堅牢なセキュリティ体制を作成します。

強力な認証と承認フレームワーク、強化されたネットワーク セキュリティ、保存データと転送中のデータの暗号化を使用して、Oracle ワークロードの多層防御アプローチを設計できます。 Oracle ワークロードは、サービスとしてのインフラストラクチャ (IaaS) クラウド モデルとして Azure にデプロイできます。 クラウド プロバイダーと顧客に割り当てられている特定のタスクと責任について理解を深めるために、 共有責任マトリックス を見直します。

セキュリティ対策が変化する脅威の状況と一致していることを確認するために、使用するサービスとテクノロジを定期的に評価する必要があります。

一元化された ID 管理を使用する

ID 管理は、重要なリソースへのアクセスを制御する基本的なフレームワークです。 一時的なインターン、パートタイムの従業員、フルタイムの従業員など、さまざまな担当者と一緒に働くと、ID 管理が重要になります。 これらの個人には、必要に応じて監視、保守、および迅速に取り消すために必要なさまざまなレベルのアクセス権が必要です。

organizationは、フル マネージド ID およびアクセス管理サービスである Microsoft Entra ID と統合することで、Azure の Windows VM と Linux VM のセキュリティを向上させることができます。

Windows または Linux オペレーティング システムにワークロードをデプロイする

シングル サインオン (SSO) でMicrosoft Entra IDを使用して、Oracle アプリケーションにアクセスし、Linux オペレーティング システムと Windows オペレーティング システムに Oracle データベースをデプロイできます。 オペレーティング システムをMicrosoft Entra IDと統合して、セキュリティ体制を強化します。

攻撃者が Oracle データベースに損害を与える可能性のある脆弱性を排除するためにオペレーティング システムを強化することで、Azure IaaS での Oracle ワークロードのセキュリティを強化します。

Oracle Database のセキュリティを向上させる方法の詳細については、「Azure Virtual Machines ランディング ゾーン アクセラレータでの Oracle ワークロードのセキュリティ ガイドライン」を参照してください。

Recommendations

• パスワードの代わりに、Linux アカウント アクセスに Secure Shell (SSH) キー ペアを使用します。

• パスワードで保護された Linux アカウントを無効にし、要求時にのみ短期間有効にします。

• root アカウントや Oracle アカウントなどの特権 Linux アカウントのサインイン アクセスを無効にします。これにより、個人用アカウントへのサインイン アクセスのみが許可されます。

• コマンドを sudo 使用して、直接サインインではなく、パーソナライズされたアカウントから、ルート アカウントや Oracle アカウントなどの特権 Linux アカウントへのアクセス権を付与します。

• Linux syslog ユーティリティを使用して、Linux 監査証跡ログをキャプチャし、 sudo Azure Monitor ログにログにアクセスすることを確認します。

• セキュリティ パッチとオペレーティング システムのパッチと更新プログラムを、信頼できるソースからのみ定期的に適用します。

• オペレーティング システムへのアクセスを制限する制限を実装します。

• サーバーへの未承認のアクセスを制限します。

• 全体的なセキュリティを強化するために、ネットワーク レベルでサーバー アクセスを制御します。

• Azure ネットワーク セキュリティ グループ (NSG) に加えて、Linux ファイアウォール デーモンを追加の保護レイヤーとして使用することを検討してください。

• 起動時に自動的に実行されるように Linux ファイアウォール デーモンを構成していることを確認します。

• ネットワーク リッスン ポートをスキャンして、潜在的なアクセス ポイントを特定します。 Linux netstat –l コマンドを使用して、これらのポートを一覧表示します。 Azure NSG または Linux ファイアウォール デーモンがこれらのポートへのアクセスを制御していることを確認します。

• 破壊的な Linux コマンド (や mvなどrm) のエイリアスを設定して、元に戻せないコマンドが実行される前に少なくとも 1 回プロンプトが表示されるように、それらを強制的に対話型モードで実行するようにします。 上級ユーザーは、必要に応じてエイリアスを削除する方法を知っています。

• Linux syslog ユーティリティを使用して Oracle 監査ログのコピーを Azure Monitor ログに送信するように、Oracle データベース統合システム ログを構成します。

ネットワーク トポロジを設計する

ネットワーク トポロジは、Azure 上の Oracle ワークロードの階層型セキュリティ アプローチの基本的なコンポーネントです。

すべてのクラウド サービスを 1 つの仮想ネットワークに配置し、Azure NSG を使用してトラフィックを監視およびフィルター処理します。 ファイアウォールを追加して、受信トラフィックをセキュリティで保護します。 インターネットとオンプレミス ネットワークからデータベースをデプロイするサブネットを専用にして安全に分離してください。 データベースに内部および外部からアクセスするユーザーを評価して、ネットワーク トポロジが堅牢で安全であることを確認します。

ネットワーク トポロジの詳細については、「Azure Virtual Machines ランディング ゾーン アクセラレータでの Oracle のネットワーク トポロジと接続」を参照してください。

Recommendations

• Azure NSG を使用して、Azure 仮想ネットワーク内の Azure リソース間のネットワーク トラフィックをフィルター処理し、オンプレミス ネットワークと Azure の間のトラフィックをフィルター処理します。

• 環境をセキュリティで保護するには、Azure Firewallまたはネットワーク仮想アプライアンス (NVA) を使用します。

• クラウド Just-In-Time (JIT) アクセスのMicrosoft Defenderや Azure Bastion 機能などの Azure 提供の機能を使用して、Oracle Database ワークロードが存在する VM を不正アクセスから保護します。

• X Windows システムおよび Virtual Network Computing (VNC) ユーティリティの SSH ポート転送を使用して、SSH 経由で接続をトンネリングします。 詳細については、 VNC クライアントを開き、デプロイをテストする例を参照してください。

• インターネットとオンプレミス ネットワークから分離された専用サブネットに VM を配置することで、ハブ仮想ネットワークを介してすべてのトラフィックを転送します。

暗号化を使用してデータをセキュリティで保護する

データを保護するためにストレージに書き込まれるときに保存データを暗号化します。 データを暗号化する場合、承認されていないユーザーはデータを公開または変更できません。 データを表示または変更できるのは、承認されたユーザーと認証されたユーザーのみです。 Microsoft Azure では、さまざまなニーズを満たすために、ファイル、ディスク、BLOB ストレージなど、さまざまなデータ ストレージ ソリューションを提供しています。 これらのストレージ ソリューションには、保存データをセキュリティで保護するための暗号化機能があります。

転送中のデータを暗号化して、ある場所から別の場所 (通常はネットワーク接続経由) に移動するデータを保護します。 さまざまな方法を使用して、接続の性質に応じて転送中のデータを暗号化できます。 Azure には、ある場所から別の場所に移動する際に、転送中のデータをプライベートに保つための多くのメカニズムが用意されています。

Recommendations

• Microsoft が 保存データを暗号化する方法について説明します。

• 透過的なデータ暗号化 (TDE) とデータの編集を含む Oracle Advanced Security の機能について考えてみましょう。

• Oracle Key Vaultを使用してキーを管理します。 Oracle TDE を追加の暗号化レイヤーとして実装する場合、Oracle は Azure Key Vaultなどの Azure キー管理ソリューションや、他のクラウド プロバイダーのキー管理ソリューションをサポートしていない点に注意してください。 Oracle Wallet の既定の場所は、Oracle データベース VM のファイル システムにあります。 ただし、Azure では、Oracle Key Vaultをキー管理ソリューションとして使用できます。 詳細については、「Azure での Oracle Key Vaultのプロビジョニング」を参照してください。

• Microsoft が 転送中のデータを暗号化する方法について説明します。

• Oracle ネイティブ ネットワーク暗号化とデータ整合性機能の使用を検討してください。 詳細については、「 Oracle Database Native Network Encryption と Data Integrity の構成」を参照してください。

Oracle Database 監査証跡を統合する

アプリケーション ログの監視は、アプリケーション レベルでセキュリティの脅威を検出するために不可欠です。 Azure Sentinel は、Oracle ワークロードのセキュリティ イベントを監視するために使用できるクラウドネイティブのセキュリティ情報イベント管理 (SIEM) ソリューションです。

詳細については、「 Microsoft Sentinel 用 Oracle Database 監査コネクタ」を参照してください。

Recommendations

• Oracle Database ワークロードには Microsoft Sentinel ソリューションを使用します。 Oracle Database 監査コネクタでは、業界標準の syslog インターフェイスを使用して Oracle Database 監査レコードを取得し、Azure Monitor ログに取り込みます。

• Azure Sentinel を使用して、アプリケーション、Azure インフラストラクチャ、ゲスト オペレーティング システムの監査レコードを確認します。

次のステップ