|
|
前回は、クラウド環境でのデータベースセキュリティについて、Oracle Cloud Infrastructureで提供される統合データベースセキュリティ管理サービス Oracle Data Safeについて解説しました。今回は、データベースを稼働させるインフラストラクチャ、すなわちテナントを保護するための機能であるOracle Cloud Guardの概要と初期設定を行う方法をご案内します。
※前回までの記事はこちらから
・クラウドでのデータセキュリティはオンプレとどう違う?~Oracle Data Safe概要~
・マルチクラウド環境やオンプレミスのOracle DBも同じツールで一括管理!~Oracle Data Safeの設定方法~
・統合DBセキュリティサービス「Oracle Data Safe」でワンランク上のデータセキュリティを実現!~Oracle Data Safeの主要機能~
Index
Oracle Cloud Guard は、セキュリティの問題を監視・検出するのに役立つ Oracle Cloud Infrastructure が提供する無料のサービスです。 Oracle Cloud Guard は、セキュリティの問題を検出するだけではなく、特定された問題を修正するために設定変更の提案を表示できます。また、ユーザーに代わって設定変更を実行することもできます。
Oracle Cloud Guard を有効化して利用する前に、まず Oracle Cloud Guard で使用される基本的な用語を紹介します。
Oracle Cloud Guard がチェックする対象のコンパートメントの範囲を指します。チェックする対象の全ての子コンパートメントは、親コンパートメントに割り当てられた構成を継承します。
コンパートメントごとに異なる検出ルールを構成するには、それらに対して個別にターゲットを定義する必要があります。
コンパートメントの詳細については、次の URL を参照ください。
https://www.ashisuto.co.jp/db_blog/article/N0023_OracleCloud_20200710.html
アクティビティまたは構成に基づいて、潜在的なセキュリティの問題を特定するためのチェックを実行します。
ディテクターが問題を特定したときに Oracle Cloud Guard が実行できるアクションを指定します。(手動または自動)
レポート・リージョンを選択すると、ホストされている国の全ての法的要件に準拠することになります。そのため、レポート・リージョンの選択は慎重に行ってください。
Oracle Cloud Guard を有効にすると、Oracle Cloud Guard を無効にして再度有効化しない限り、レポート ・リージョンを変更できません。
Oracle Cloud Guard を無効化すると、全てのカスタマイズ設定と既存の問題(履歴を含む)が失われます。そのため、カスタマイズ設定は手動で復元する必要があります。また、Oracle Cloud Guard は、レポート・リージョンからのみ無効にできる点も留意ください。
1.ユーザーが Oracle Cloud Guard を使用できるようにするには、管理者権限を持つユーザーグループ (CloudGuardUsers)を作成します。
2.Oracle Cloud Guard リソースを管理するには、次のステートメントにポリシーを追加して、CloudGuardUsers グループ内の全てのユーザーを有効にします。
allow group CloudGuardUsers to manage cloud-guard-family in tenancy
注: 「管理者」グループのメンバーである場合は、上記「1.」 「 2.」 をスキップして以下のポリシーを使用してください。
allow group Administrators to manage cloud-guard-family in tenancy
ポリシーの詳細な設定については、次の URL を参照ください。
https://docs.oracle.com/en-us/iaas/cloud-guard/using/prerequisites.htm
1.ナビゲーション メニューを開き、「アイデンティティとセキュリティ」をクリックします。 「クラウド・ガード」セクションの「概要」をクリックします。
|
|
2.表示されるクラウド・ ガードのページで、「クラウド・ ガードの有効化」ボタンをクリックします。
|
|
3.「クラウド・ガードの有効化」ダイアログ ボックスで「ポリシーの作成」をクリックすることで、Oracle Cloud Guard がテナントのリソースを管理できるようにするポリシー「CloudGuardPolicies」をポリシーグループに追加できるようにします。
|
|
以下のポリシーが追加されます。
allow service cloudguard to manage cloudevents-rules in tenancy where target.rule.type='managed' allow service cloudguard to read vaults in tenancy allow service cloudguard to read keys in tenancy allow service cloudguard to read compartments in tenancy allow service cloudguard to read tenancies in tenancy allow service cloudguard to read audit-events in tenancy allow service cloudguard to read compute-management-family in tenancy allow service cloudguard to read instance-family in tenancy allow service cloudguard to read virtual-network-family in tenancy allow service cloudguard to read volume-family in tenancy allow service cloudguard to read database-family in tenancy allow service cloudguard to read object-family in tenancy allow service cloudguard to read load-balancers in tenancy allow service cloudguard to read users in tenancy allow service cloudguard to read groups in tenancy allow service cloudguard to read policies in tenancy allow service cloudguard to read dynamic-groups in tenancy allow service cloudguard to read authentication-policies in tenancy allow service cloudguard to use network-security-groups in tenancy allow service cloudguard to read data-safe-family in tenancy allow service cloudguard to read autonomous-database-family in tenancy
全てのポリシーが正常に作成されたら、「次へ」 をクリックします。
|
|
4.表示される画面で、レポート・リージョンとコンパートメントを選択します。
さらに、構成ディテクタ・レシピに「OCI Configuration Detector Recipe (Oracle管理) 」を選択、アクティビティ・ディテクタ・レシピに「OCI Activity Detector Recipe (Oracle管理) 」を選択、脅威ディテクタ・レシピに「OCI Threat Detector Recipe (Oracle管理)」を選択します。最後に「有効化」をクリックします。
|
|
5.有効化が完了したら、クラウド・ガード画面で「クラウド・ガードに移動」をクリックします。
|
|
クラウド・ガードの「概要」ページが次のように表示されます。「概要」ページでは、セキュリティ・スコアの評価、リスク・スコア、問題、推奨事項などの詳細を取得できます。
|
|
Oracle Cloud Guardが有効化されると、「クラウド・ガード」セクションの下の「問題」リンクをクリックして、ターゲットとなるコンパートメントでこれまでに検出された問題のリストを一覧表示できます。
|
|
本記事では、Oracle Cloud Infrastructure全体の構成・操作を監視し、セキュリティ上の問題を検知可能なOracle Cloud Guardの概要を解説しました。次回は、Oracle Cloud Guardによって検出された問題の解決方法を解説します。お楽しみに。
■本記事の内容について
本記事に記載されている製品およびサービス、定義及び条件は、特段の記載のない限り本記事執筆時点のものであり、予告なく変更になる可能性があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java及びMySQLは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
本記事では、従来のON COMMIT MViewが抱えてきたこのようなスループット低下や待機イベントのボトルネックを振り返りつつ、Oracle AI Database 26aiが提供する「同時リフレッシュ(Concurrent Refresh)」によって、OLTP/DWHそれぞれのユースケースでどのような改善が見込めるのかを検証していきます。
BaseDBの運用でData Pump用の領域が不足した際、外部ストレージの活用が有効です。本記事では3つのストレージについて1TB利用時のコスト目安や性能、運用負荷を徹底比較します。自社環境に最適な外部ストレージ選びのポイントが分かります。
Oracle Trace File Analyzer(TFA)は、障害時のログ収集を効率化するツールです。複数ログの一括取得や時間指定、シングル環境での導入手順まで、現場目線でわかりやすく解説します。
![[260424T]脱・PostgreSQL運用の不安!EDBのPEM管理術:GUIでの障害特定から監視まで](/db_blog/__icsFiles/afieldfile/2026/03/23/EDB_mail-bannar-260424a_176x250px.png)
