Upgrade to Pro — share decks privately, control downloads, hide ads and more …

クラウドセキュリティで Oracle が大切にしていること

oracle4engineer
PRO
July 27, 2022
Technology
1
590

クラウドセキュリティで Oracle が大切にしていること

OCIjp #32 セキュリティ会での登壇資料です。
URL: https://fullenergy-oci.connpass.com/event/252123/

■ クラウドセキュリティで Oracleが大切にしていること

最近よく聞く“ゼロトラスト”“ランサムウェア”。
2021年には内部不正事案が多く発生し、今一度性悪説に基づいたセキュリティ対策が求められます。
オラクルには、『Security is not optional, it is foundation』 (セキュリティは追加されるものではなく、基礎である)という考え方があり、それに基づきOracle Cloud Infrastructureのセキュリティ機能を実装・提供しています。

ネットワーク中心の対策だけでは防げない内部からの攻撃の脅威に対して、クラウドならではのセキュリティ対策を進めるための最適なアプローチをご紹介します。

oracle4engineer
PRO

July 27, 2022
Tweet

More Decks by oracle4engineer

See All by oracle4engineer
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
12k
【Oracle Cloud ウェビナー】生成AI対応のデータベースが変える、業務アプリケーション構築のこれから
oracle4engineer
PRO
2
18
OCI Vault 概要
oracle4engineer
PRO
0
9.7k
Data Safeの機能詳細
oracle4engineer
PRO
0
4.8k
OCI Security サービス 概要
oracle4engineer
PRO
0
6.5k
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.1k
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k

Other Decks in Technology

See All in Technology
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
780
強いチームと開発生産性
onk
PRO
34
11k
RubyのWebアプリケーションを50倍速くする方法 / How to Make a Ruby Web Application 50 Times Faster
hogelog
3
940
SREが投資するAIOps ~ペアーズにおけるLLM for Developerへの取り組み~
takumiogawa
1
220
Amplify Gen2 Deep Dive / バックエンドの型をいかにしてフロントエンドへ伝えるか #TSKaigi #TSKaigiKansai #AWSAmplifyJP
tacck
PRO
0
380
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
8
870
Terraform Stacks入門 #HashiTalks
msato
0
350
【Pycon mini 東海 2024】Google Colaboratoryで試すVLM
kazuhitotakahashi
2
500
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
190
Amazon Personalizeの レコメンドシステム構築、実際何するの? 〜大体10分で具体的なイメージをつかむ〜
kniino
1
100
社内で最大の技術的負債のリファクタリングに取り組んだお話し
kidooonn
1
550
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
0
110

Featured

See All Featured
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Bash Introduction
62gerente
608
210k
Designing for humans not robots
tammielis
250
25k
It's Worth the Effort
3n
183
27k
Being A Developer After 40
akosma
86
590k
Designing the Hi-DPI Web
ddemaree
280
34k
Making the Leap to Tech Lead
cromwellryan
133
8.9k
Making Projects Easy
brettharned
115
5.9k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.7k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
Six Lessons from altMBA
skipperchong
27
3.5k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k

Transcript

  1. クラウドセキュリティでOracleが大切にしていること 2022年7月19日 日本オラクル株式会社 事業戦略統括 事業開発本部 大澤 清吾, CISSP OCIjp #32

  2. 境界突破、内部不正を想定した対策が必要です 従来の単層式境界防御 ネットワーク中心型セキュリティモデル リソース防護重点型ゼロトラスト防御 データ中心型セキュリティモデル 守るべき経営資源(リソース)に焦点をあてセキュリティ対策を実施することが肝要です Copyright © 2022, Oracle

    and/or its affiliates 2 セキュリティ ポリシー ID管理 Detection & Response データ アプリ N/W 分析・可視化 自動化 Security Enforcement Endpoint(端末) データ アプリケーション ユーザ ネットワーク

  3. Oracle Corporationの生い立ち SECURITY PART OF OUR DNA Security is not

    Optional, it is FOUNDATION. 設立前 AMPEX社に勤務していたLarry Ellisonが、CIAのプロ ジェクトOracleに参画 1977年 Software Development Labs設立 1978年 CIA が世界初の顧客となる。 採用されたデータベースは商用化前のもの。 1979年 世界で初めてリレーショナル・データベースを 商用化(Oracle Version 2) Wright-Patterson空軍基地が採用 1982年 企業名を “Oracle Corporation” に改名。 1994年 データベースベンダーとして初めて、ITSECとTCSECの 検証完了 1998年 データベースベンダーとして初めて、 Common Criteria EAL4 を取得 Copyright © 2022, Oracle and/or its affiliates 3

  4. オラクルのセキュリティへの取り組み ~ Corporate Security Practices Copyright © 2022, Oracle and/or

    its affiliates 4 人的資源の セキュリティ ソフトウェア セキュリティ 運用管理 物理 セキュリティ インシデント レスポンス アクセス 制御 顧客情報 保護 Oracle 組織の セキュリティ 「組織・人」としてセキュリティ CTOを含めたオラクル全体のセキュリティ・プログラムの実施・推進 1700人以上のエンジニアがセキュリティ実装の責任を持つ クラウドもふくむ製品開発ライフサイクルでのセキュリティの担保 ・製品の設計、構築、テスト、保守にセキュリティを組み込み ・顧客のセキュリティ要件を満たし、最もコスト効率の高い製品・サービスを提供 ソフトウェアとクラウドのセキュリティ担保 オラクルのソースコードやその他の機密データの盗難や悪意のある 改ざんからの保護 顧客データの機密性、完全性、可用性を保護

  5. セキュリティ統制を実現 オラクル クラウドの共同セキュリティ・モデル Copyright © 2022, Oracle and/or its affiliates

    5

  6. セキュリティ統制を実現 オラクル クラウドの共同セキュリティ・モデル Copyright © 2022, Oracle and/or its affiliates

    6 お客様側でツールの活用や セキュリティ構成の管理を実施 SECURITY OF THE CLOUD Oracle が力を入れて 取り組んでいるところ SECURITY ON THE CLOUD オラクルはセキュアなクラウド・インフラ とサービスを提供

  7. オラクルが実現する堅牢なセキュリティ データ中心の セキュリティ 自動化された セキュリティ 管理 セキュリティ ・バイ・デザイン SECURITY ON

    THE CLOUD SECURITY OF THE CLOUD + 強力、完全なテナント分離 強制的な暗号化 (Database/Storage/Network) 階層型権限管理 リスクのある設定・行動を自動検知 Copyright © 2022, Oracle and/or its affiliates 7 * WAF: Web Application Firewall 脆弱性スキャン 脅威インテリジェンス情報の集約 セキュリティポリシーの自動有効 特権ユーザーのアクセス制御 ボット対策とWAF /次世代ファイアウォール 多要素認証とリスクベース認証 重要情報の隠蔽 セキュリティ構成 機密データ発見 アクティビティ監査 DBセキュリティ対策の自動化 脆弱性自動修復 自動化されたログ分析

  8. クラウドプラットフォームレベルでの環境隔離と暗号化 階層型権限管理 ✓ 部署ごとの権限設定を実現 ✓ コンパートメント間のリソースアクセ スが可能、部署を跨いだシステム 構築も容易 ✓ コンパートメント毎のクオータ設定に

    より 使い過ぎを抑止 強制的な暗号化 ✓ すべてのデータ・サービスはOracle がフルマネージドで暗号化 ✓ データベースファイル,ストレージ Block Volume, Boot Volume ✓ すべてのネットワーク通信も暗号化 強力、完全なテナント分離 ✓ 分離された仮想ネットワークにより 情報漏洩のリスクを最小化 AD2 リージョン1 AD2 リージョン2 すべてのデータ を暗号化 MACSec 高速・スケーラブルな Layer2 暗号化 部署ごとにCompartment(サブアカウント)を作成 「コンパートメント」モデル テナント コンパートメント A コンパートメントB ユーザー グループ ポリシー ポリシー ポリシー 部署-A 部署-B Hypervisor VM VM VM VM VM VM ホストOS / カーネル ネットワーク仮想化 物理サーバー Copyright © 2022, Oracle and/or its affiliates 8 セキュリティ ・バイ・デザイン

  9. リスクのある設定を自動検知 • 構成とアクティビティを監視 • 問題の特定、脅威を検出 • 問題の是正、顧客通知 セキュリティポリシーの自動有効 • ベスト・プラクティスを強制的に適用

    • 初期段階からリソースの セキュリティを確保 脆弱性自動修復 • Oracle Autonomous Databaseに おける脆弱性自動修復 • Oracle Data Safeによる セキュリティ・リスク軽減 自動化されたEnd-to-Endのセキュリティで人的ミスを排除 パブリックアクセス不可 自動パッチ適用 アップグレード Oracle Cloud Guard Oracle Security Zones Oracle Autonomous Database Oracle Data Safe Copyright © 2022, Oracle and/or its affiliates 9 •セキュリティ構成評価 •ユーザーのリスク評価 •アクティビティの監査 •機密データの発見 •データ・マスキング 自動化された セキュリティ 管理

  10. セキュリティポリシーの自動有効 • ベスト・プラクティスを強制的に適用 • ユーザーが適用ポリシーを定義できるCustom Security Zonesを新たに提供 • 既存のリソースに適用するゾーンポリシーの適用 •

    Cloud Guardと組みあわせでリスクを未然に防止 リスクにつながる振る舞いを検出 • 機械学習、データサイエンス、脅威インテリジェンスを用 いて行動を自動的にトリアージ、アラートノイズを排除 • MITRE ATT&CK® 準拠のユーザーの振る舞い分析 • 最新の脅威に対する可視性が向上 自動化されたEnd-to-Endのセキュリティで人的ミスを排除 Oracle Security Zones Oracle Cloud Guard Threat Detector Copyright © 2022, Oracle and/or its affiliates 10 自動化された セキュリティ 管理 NEW UPDATE 5/25に実施したプレスリリースで発表したサービス (一部)

  11. 多層防御によるデータ中心のセキュリティ 外部からの攻撃 » ボットによる攻撃 » 標的型攻撃 » ランサムウェア » DDoS

    内部からの攻撃 » バックドア » 内部不正 » 不正アクセス 特権ユーザー 管理 ネットワーク IDアクセス 管理 インフラ ストラクチャ データベース Copyright © 2022, Oracle and/or its affiliates 11 データ 強制的な 暗号化 監査証跡 行列レベルの アクセス制御 データ中心の セキュリティ 設定ミスの 検知・是正 多要素認証 Web Application Firewall IAM Identity Domains/ Identity Cloud Service Data Safe 強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理 Observability and Management Autonomous Linux Autonomous Database Cloud Guard/ Security Zones Vulnerability Scanning データ中心の セキュリティ OCI Network Firewall

  12. セキュリティ価格概要 ~ クラウド編 カテゴリ 機能 機能名 単価 セキュリティ・ バイ・デザイン 強力、完全なテナント分離

    Isolated Network Virtualization / Bare Meta 標準機能 強制的な暗号化 Encryption by Default 標準機能 階層型権限管理 Compartment 標準機能 自動化された セキュリティ管理 リスクのある設定を自動検知 Cloud Guard 無償 ユーザーの振る舞い検知 Oracle Cloud Guard Threat Detector 無償 SaaSユーザーの利用状況の監視 Oracle Cloud Guard Fusion Applications Detector 無償 脅威インテリジェンスの集約・管理 Oracle Threat Intelligence Service 無償 ポリシーの自動適用 Security Zones 無償 脆弱性スキャン Vulnerability Scanning 無償 オンラインでのパッチ適用 Autonomous Database 無償 (*1) 自動化されたログ分析 Logging Analytics 10GBまで無償 データ中心の 多層防御 DBセキュリティ対策の自動化 Data Safe 無償~ (*2) 特権ユーザー管理 Database Vault DBCS HP ~ (*3) 多要素認証、リスクベース認証 IAM Identity Domains 無償~ (*4) ボット対策とWAF Web Application Firewall 無償~ (*5) 次世代ファイアウォール (NGFW) OCI Network Firewall 有償 *1 Autonomous Database 利用時に無償で利用可能 *2 Oracle Cloud Databaseの利用でサービスを無償提供。監査記録の蓄積は100万レコード/ターゲット/月まで無償 *3 DBCS High Performance以上で利用可能 *4 無償で利用できるユーザー数や機能に制限あり *5 1インスタンス、1000万インカミングリクエスト/月まで無償。価格単位 : ¥72 [1,000,000インカミングリクエスト/月]、¥600[インスタンス/月] 12 Copyright © 2022, Oracle and/or its affiliates 太字: 5/25に発表したサービス
  13. None