Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI Security サービス 技術概要

OCI Security サービス 技術概要

2022年1月時点での、OCI Security の各サービスの特徴を網羅的に紹介する資料です

140494d272a4d89883a94fdfdb29dea2?s=128

oracle4engineer
PRO

January 18, 2022
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. OCI Security Technical Overview 2022年01月18日 日本オラクル株式会社 v. 2.0

  2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 2

    Copyright © 2022, Oracle and/or its affiliates. All rights reserved.
  3. オラクルが実現する堅牢なセキュリティ データ中心の セキュリティ 自動化された セキュリティ 管理 セキュリティ ・バイ・デザイン SECURITY ON

    THE CLOUD SECURITY OF THE CLOUD + 強力、完全なテナント分離 強制的な暗号化 (DB/Storage/Network) 階層型権限管理 特権ユーザーのアクセス制御 ボット対策とWAF(*) セキュリティポリシーの自動有効 リスクのある設定を自動検知 Copyright © 2022, Oracle and/or its affiliates 3 Defense In Depth * WAF: Web Application Firewall 脆弱性スキャン 自動化されたログ分析 脆弱性自動修復 多要素認証とリスクベース認証 重要情報の隠蔽 セキュリティ構成 機密データ発見 アクティビティ監査 DBセキュリティ対策の自動化
  4. クラウドプラットフォームレベルでの環境隔離と暗号化 階層型権限管理 ✓ 部署ごとの権限設定を実現 ✓ コンパートメント間のリソースアクセ スが可能、部署を跨いだシステム 構築も容易 ✓ コンパートメント毎のクオータ設定に

    より使い過ぎを抑止 強制的な暗号化 ✓ すべてのデータ・サービスはOracle がフルマネージドで暗号化 ✓ データベースファイル,ストレージ Block Volume, Boot Volume ✓ すべてのネットワーク通信も暗号化 強力、完全なテナント分離 ✓ 分離された仮想ネットワークにより 情報漏洩のリスクを最小化 AD2 リージョン1 AD2 リージョン2 MACSec 高速・スケーラブルな Layer2 暗号化 部署ごとにCompartment(サブアカウント)を作成 「コンパートメント」モデル テナント コンパートメント A コンパートメントB ユーザー グループ ポリシー ポリシー ポリシー 部署-A 部署-B Hypervisor VM VM VM VM VM VM ホストOS / カーネル ネットワーク仮想化 物理サーバー Copyright © 2022, Oracle and/or its affiliates 4 セキュリティ ・バイ・デザイン すべてのデータ を暗号化
  5. リスクのある設定を自動検知 • 構成とアクティビティを監視 • 問題の特定、脅威を検出 • 問題の是正、顧客通知 セキュリティポリシーの自動有効 • ベスト・プラクティスを強制的に適用

    • 初期段階からリソースの セキュリティを確保 脆弱性自動修復 • Oracle Autonomous Databaseに おける脆弱性自動修復 • Oracle Data Safeによる セキュリティ・リスク軽減 自動化されたEnd-to-Endのセキュリティで人的ミスを排除 パブリックアクセス不可 自動パッチ適用 アップグレード Oracle Cloud Guard Oracle Security Zone Oracle Autonomous Database Oracle Data Safe Copyright © 2022, Oracle and/or its affiliates 5 •セキュリティ構成評価 •ユーザーのリスク評価 •アクティビティの監査 •機密データの発見 •データ・マスキング 自動化された セキュリティ 管理
  6. 多層防御によるデータ中心のセキュリティ 外部からの攻撃 » ボットによる攻撃 » 標的型攻撃 » ランサムウェア » DDoS

    内部からの攻撃 » バックドア » 内部不正 » 不正アクセス 特権ユーザー 管理 ネットワーク IDアクセス 管理 インフラ ストラクチャ データベース Web Application Firewall Identity Cloud Service Data Safe 強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理 Copyright © 2022, Oracle and/or its affiliates 6 データ Observability and Management / Management Cloud 強制的な 暗号化 Autonomous Linux Autonomous Database Cloud Guard/ Security Zones 監査証跡 行・列レベルの アクセス制御 データ中心の セキュリティ Vulnerability Scanning
  7. Oracle Cloudを安全にかつ効率的に運用するためのサービス群 OCI Security Copyright © 2022, Oracle and/or its

    affiliates. All rights reserved. 7 VCN Compute (APサーバ) Oracle Cloud Infrastructure Object Storage (バックアップ用) 強制的な暗号化 階層型権限管理 完全テナント分離 VPN FastConnect Database Cloud Autonomous Database Exadata Cloud セキュリティ・ファーストで設計されたOracle Cloudは、クラウドの認証からネットワーク、アプリケーション、データベース といった様々なレイヤーを強固に保護し、安全にかつ運用効率の向上を実現 Internet Gateway
  8. Copyright © 2022, Oracle and/or its affiliates. All rights reserved.

    8 VCN Compute (APサーバ) Oracle Cloud Infrastructure Object Storage (バックアップ用) 強制的な暗号化 階層型権限管理 完全テナント分離 リスクのある設定を検知 Cloud Guard Security Zons 強力な保護エリア Security Zones VMの脆弱性を検知 Vulnerability Scanning OCI運用・ログ監視 O&M 認証・アクセス管理 IDCS VPN FastConnect Database Cloud Autonomous Database Exadata Cloud Security Zons 機密データを安全に保護 Database Security 安全な暗号鍵の管理 Vault セキュリティ・ファーストで設計されたOracle Cloudは、クラウドの認証からネットワーク、アプリケーション、データベース といった様々なレイヤーを強固に保護し、安全にかつ運用効率の向上を実現 Internet Gateway Security Zons DB Securityを補完 Data Safe Webアプリの保護 WAF 限定したSSHセッション Bastion Oracle Cloudを安全にかつ効率的に運用するためのサービス群 OCI Security
  9. Cloud Guard Copyright © 2022, Oracle and/or its affiliates. All

    rights reserved. 9
  10. Oracle Cloud Infrastructureの様々なサービスの設定や アクティビティを継続的に監視し、即座に通知・アクションを実行 することで、安全なクラウドの利用を促進 認証やネットワーク、ストレージ等の脆弱な設定を自動的に検出 検出ルールはOracle管理で提供され、ユーザーがメンテナンスする 必要はなし 疑わしいIPアドレスからの接続やセキュリティポリシーの変更と いったリスクの高いユーザー・アクティビティも常時監視

    問題を是正するための具体的なアクションを自動実行 検出された問題はリスクレベルで評価し、テナント全体を スコアリング 基本機能として無償 OCI Cloud Guard Copyright © 2021, Oracle and/or its affiliates 10 Cloud Guard Vault Scanning VCN, Load Balancer Compute, Storages Databases IAM 問題の検知 アクション実行 リスク評価
  11. OCIのセキュリティの状態をスコアリングし、問題を可視化 Copyright © 2021, Oracle and/or its affiliates 11 Cloud

    Guardダッシュボード 検出された問題 クリティカルな問題への推奨事項
  12. Cloud Guardの動作フロー Copyright © 2021, Oracle and/or its affiliates 12

    Detectors Public Instance TOR log-in Public Bucket ディテクタは、監視対象と なる各サービスリソースの 設定やユーザーアクテビティ について、不備な点がない かどうかを用意されたレシピ に基づいて検出する Responders Stop Instance Suspend User Disable Bucket レスポンダは、ユーザーへの 通知し、問題に対しての対応 方法を提供し、実行する Targets ターゲットは、CGが監視対象 にするコンパートメント 指定されたコンパートメント下 のサブコンパートメントも対象 となる。例えば、 rootを指定時は、コンパート メント全てが対象になる Problems 潜在的なセキュリティ課題 や不審なアクテビティがあっ た場合、CGは問題として 認識し、リスクレベルを分類 する
  13. Cloud Guardのディテクタは、OCIの監査イベントや 各サービスの様々なシグナルに適用されるベースライン 2種類のディテクタ - 構成ディテクタ - アクティビティ・ディテクタ それぞれのディテクタには、Oracle管理のレシピ(検出 ルール)が適用され、レシピに基づいて問題が検出される

    Oracle管理のレシピに含まれる様々なルールに対して 検出条件の変更など一部のカスタマイズすることで 独自のユーザーレシピを作成することが可能 Cloud Guardの検出アーキテクチャ Copyright © 2021, Oracle and/or its affiliates 13 Audit Event Compute Object Storage Networking …etc. Cloud Guard detectors Activityのシグナルを 監視 Configurationのシグナル を監視 Configuration Detector Recipe Activity Detector Recipe
  14. 構成ディテクタ・レシピ (クリティカル~高) Copyright © 2021, Oracle and/or its affiliates 14

    ディテクタ・ルール リスク・レベル 1 Instance is publicly accessible クリティカル 2 Database System version is not sanctioned クリティカル 3 Bucket is public クリティカル 4 VCN Security list allows traffic to non-public port from all sources (0.0.0.0/0) クリティカル 5 VCN Security list allows traffic to restricted port クリティカル 6 Load balancer SSL certificate expiring soon クリティカル 7 Database version is not sanctioned クリティカル 8 Scanned host has open ports クリティカル 9 Scanned host has vulnerabilities クリティカル 10 Instance has a public IP address 高 11 Database System has public IP address 高 12 Database is not backed up automatically 高 13 NSG ingress rule contains disallowed IP/port 高 14 Load balancer allows weak SSL communication 高
  15. アクティビティ・ディテクタ・レシピ (クリティカル~中) Copyright © 2021, Oracle and/or its affiliates 15

    ディテクタ・ルール リスク・レベル 1 Suspicious Ip Activity クリティカル 2 VCN Network Security Group Deleted 高 3 Instance terminated 高 4 Database System terminated 高 5 VCN Local Peering Gateway changed 中 6 VCN Route Table changed 中 7 VCN DHCP Option changed 中 8 VCN Security List deleted 中 9 VCN Internet Gateway created 中 10 VCN deleted 中 11 VCN Network Security Group ingress rule changed 中 12 VCN Network Security Group egress rule changed 中 13 VCN Security List ingress rules changed 中 14 VCN Security List egress rules changed 中
  16. レスポンダは、Cloud Guardが検出した問題に対するアクションを実行する 2種類のレスポンダ Notification : 検出した問題をEventsサービスに送信。Eventsで、FunctionsやNotificationsと連携し問題をハンドリング Remediation :検出した問題を手動または自動での修復を実行 Oracle管理で提供されているレスポンダ・レシピ IAMユーザーの削除、

    IAMポリシーの削除、 Internet Gatewayの削除、 Public IPの削除 コンピュートインスタンスの停止・削除、 バケットをプライベートに変更、DBバックアップの有効化, キーのローテーション レスポンダのデフォルトは、検知した問題に対しての手動実行。自動実行は明示的に指定が必要 レスポンダの実行対象は条件で限定することが可能 レスポンダーの実行した結果は、Auditイベントとして記録される レスポンダ Copyright © 2021, Oracle and/or its affiliates 16
  17. 例)オブジェクト・ストレージのバケットがパブリックに設定変更された場合 Copyright © 2021, Oracle and/or its affiliates 17 ディテクター

    検知ルールのトリガーとして、“バケットがパブリックに変更”された 際に問題として認識(重大度:クリティカル) “バケットがパブリック” (重大度:クリティカル) プログラム 「クラウドイベント」は有効か? => Yes レスポンダー Cloud Guard オペレーター 問題を修正するか? => Yes レスポンダー レスポンダがバケットを プライベートに設定変更 重大なリスク ユーザーがバケットを パブリックに設定 バケット OCI Events OCI Functions OCI Notifications 「バケットをプライベートにする」が有効か? => Yes バケット
  18. Vault Copyright © 2022, Oracle and/or its affiliates. All rights

    reserved. 18
  19. ユーザーの暗号鍵・シークレットをセキュアに集中管理 OCIのストレージサービスはデフォルト暗号化 Vaultを利用することにより、暗号鍵の管理をデフォルトのOracle管理から ユーザー自身で管理することが可能 • 対応する暗号鍵: AES, RSA, ECDSA •

    暗号鍵の作成・削除・ローテーション、バージョン管理、バックアップ、モニタリング • OCIサービスの各サービスとシームレスに連携 • 鍵のインポート(BYOK)も可能 • クロスリージョン・レプリケーションによるDR対応 FIPS 140-2 Security Level 3 に準拠したHSMを利用 2種類の格納先 • Default Vault : 共有パーティション内で仮想的にユーザーのVaultを提供 • Virtual Private Vault : ユーザー専用に完全分離された専用パーティションとして提供 暗号鍵だけでなく、シークレット (パスワード、証明書、SSHキー、認証トークン)など もVault内で管理可能 Vault Copyright © 2021, Oracle and/or its affiliates | 19 Block Volume Object Storage Key A Key B 暗号化 暗号化 ユーザー File Storage Secret A コード Vault
  20. Vault の基本要素 Copyright © 2021, Oracle and/or its affiliates |

    20 Vault 暗号鍵 シークレット Virtual Private Vault 専用HSM パーティション Default Vault 共有HSM パーティション • ユーザー自身による暗号鍵の管理 (AES, RSA, ECDSA) • BYOKのサポート • 高い信頼性と冗長化 • HSMまたはソフトウェアによるマスター暗号鍵の保護 • シークレットの安全な格納と取り出し • OCI CLI, REST API, 各種SDK, Terraformの幅広い利用 Block Storage Object Storage File Storage Streaming Kubernetes Database System HSM HSM Keys Software Keys HSM Keys Software Keys HSM ※ Databaseは、ExaCSとADB-Dのみ ※2021/10時点
  21. HSM • FIPS140-2 Level 3に準拠したHSMに格納 • 暗号化・復号はHSM内で処理実行される • マスター暗号鍵をエクスポートすることはできない •

    Default Vault (共有HSMパーティション) • 各テナントで共有され、トランザクションを最適化 • 無償、10Vaultまで、キーの制限なし • Virtual Private Vault (専用HSMパーティション) • 高い独立性と高速なトランザクションを保証(3K-5K) • 有償、1Vaultあたり最大3000キーの格納を保証 • バックアップ、クロスリージョン・レプリケーションのサポート ソフトウェア • サーバー内に暗号化され保管 • 暗号化・復号はサーバーメモリ内で処理実行される • マスター暗号鍵をエクスポートできる • 無償、キーの制限なし マスター暗号鍵の格納場所 Copyright © 2021, Oracle and/or its affiliates 21 Native OCI Storage Database Data Key1 TDE Data Key マスター 暗号鍵 Secrets Encrypts/ Decrypts Encrypts/ Decrypts Protected
  22. サポートする暗号アルゴリズム Copyright © 2021, Oracle and/or its affiliates 22 共通鍵暗号:

    AES 128/196/256 公開鍵暗号: RSA 2048/3072/4096, ECDSA NIST P-256/NIST P-384/NIST P-521 暗号アルゴリズム 暗号 デジタル署名 AES Yes No RSA Yes Yes ECDSA No Yes
  23. ユーザー自身で用意したマスター暗号鍵をインポート インポートする暗号鍵は、VaultのRSA鍵で暗号ラッピングが必要 Oracleは、インポートされた暗号鍵にアクセスできない 新たな暗号鍵を使用して鍵のローテーションが可能 マスター暗号鍵のインポート: BYOK (Bring Your Own Key)

    Copyright © 2021, Oracle and/or its affiliates 23 Block Volume Object Storage Vault User Private Vault Key A Key B File Storage BYOK
  24. Oracle Databaseの暗号化(TDE)のマスター暗号鍵のデフォルトは PKCS#12形式のキーストア・ファイルとしてストレージに格納されている キーストアからVaultに格納先を変更することが可能 Exadata Cloud Service、Autonomous Databases Dedicatedに対応 (2021/10現在)

    Vault管理にすることのメリット - マスター暗号鍵の運用管理をオラクル管理からユーザー管理に - FIP140-2 Level3に準拠したセキュアな鍵管理 - コンプライアンス要件対応 ExaCSの場合、PDB単位でマスター暗号鍵が異なる ADB-Dの場合、AD単位でマスター暗号鍵が異なる データベース暗号化(TDE)のマスター暗号鍵を保管 Copyright © 2021, Oracle and/or its affiliates 24 マスター暗号鍵 表領域 表領域暗号鍵 Oracle Keystore 各表領域暗号鍵を 暗号化/復号 Vault
  25. シークレットとは、ユーザー名やパスワード、APIに アクセスするためのAPIキー、証明書、SSHキーといった 各リソースにアクセスするための機密情報 多くのサービス = 多くの認証情報 = 多くのシークレット 人は安全ではないショートカットの手段をとりがち ソースコードや設定ファイル、コンテナイメージ等に

    認証情報をハードコーディング 認証情報をパスワードやSlack等で共有 シークレットとは? Copyright © 2021, Oracle and/or its affiliates 25 シークレットの管理は、最も手軽で効果的な セキュリティ対策
  26. アプリケーションでのシークレット利用例 Copyright © 2021, Oracle and/or its affiliates 26 Application

    Secrets Database 1. Secret OCIDからシークレットを取得 2. データベースの認証情報 3. 取得した認証情報を使って接続し、クエリー実行 4. クエリーの結果 アプリケーションは、Vaultに アクセスし、シークレットID(Secret OCID)からシー クレットを取得 シークレット(例えば、ユーザ名・パスワード・接続文 字列等)を使い、データベースにアクセスする いつ・だれが・どこからシークレットにアクセスしたかは、 OCI Monitoringで モニタリング可能 DBのパスワードを変更する場合、シークレットの値 も変更が必要 (シェルスクリプト、Functions、SDK 等で自動化可)
  27. ユース・ケース Copyright © 2021, Oracle and/or its affiliates 27 暗号鍵

    シークレット • コンプライアンス要件上、データ暗号化の暗号鍵の管理 をサービスベンダーでなく、ユーザー自身で管理することが 必須、または推奨されている • コンプライアンス要件上、定期的な暗号鍵の変更が求め られている • コンプライアンス要件上、暗号鍵はHSMに格納 することを推奨事項として明記されている • HSMの利用の場合、FIPS140-2 Level3準拠することが 金融や公共・ヘルスケアといったシステムではデファクトスタ ンダートとして求められる • データの暗号化やデジタル署名のクラウド基盤 • バッチやアプリケーション内でデータベースの ユーザー名・パスワード、接続文字列といった 接続情報を直接ハードコーディングすることを 禁止したい • クラウドリソースのユーザー名やパスワード、 SSHキーなどをメールやチャットツールなどで 気軽に共有してしまう運用を辞めたい • Terraformやコンテナ等のインフラの自動化管理ジョブの中 にできる限り機微な情報を含めたくない • だれが、いつ、どこからシークレットにアクセスしたのか、特定す るための監視手段が必要 • シークレットの有効期限を設定したい
  28. 価格 Copyright © 2021, Oracle and/or its affiliates 28 暗号鍵

    シークレット Default Vault デフォルト 共有パーティションとして提供 10Vaultまで使用可 基本無料だが、キーのローテーションが20回を超えると課金 1ローションごとに (¥64) Virtual Private Vault HSM内にユーザー専用のパーティションを提供し、仮想HSM と同等の分離レベルを提供 1 Vaultあたり最大 3000キーまで格納可能 1 Vaultあたり: (¥447/hour) ※ソフトウェア保護キーは無償 無償 5,000 シークレット 1シークレット 最大50バージョン 1シークレット 最大25KB 100000 Write APIコール/月 無制限 Read APIコール/月
  29. Web Application Firewall Copyright © 2022, Oracle and/or its affiliates.

    All rights reserved. 29
  30. Webアプリケーションの保護をクラウド型で提供するOCIのマネージドサービス OWASP Top10に代表される様々なサイバー攻撃のトラフィックを解析し、Webアプリケーションを保護 Webアプリケーションのプロキシとして動作し、多層的に不正なアクセスを検出・遮断 Oracle Cloudだけでなくオンプレミスや他クラウド上にあるWebアプリケーションも同等の保護が可能 Web Application Firewall Copyright

    © 2021, Oracle and/or its affiliates 30 WAF and Anti-Bot Protection クラウドベース Web APP オンプレミス Web APP Oracle Cloud Web APP 悪意のボット ハッカー ユーザー 善良なボット スパムメール アクセス制御 脅威 インテリジェンス ボット対策 保護ルール すぐにデプロイできる俊敏性 マネージドサービスによる設定・運用管理の容易性 特定の国, URL IP, ユーザー エージェント等の 制限 最新の脅威情 報を基に脆弱 性をつく攻撃を 防御 悪意のボットを ブロックさせるた めのトラフィック 行動分析 サイバー攻撃を 遮断する600を 超えるルール およびOWASP トップ10への対応 専門 チーム 極度な状況の 場 合 に動員 さ れる専門家
  31. エンタープライズ・クラスの保護とクラウドの簡便さを併せ持つサービス 誰でも簡単に最先端の保護ロジックが利用可能 • 600を超える保護ルールが基本機能に同梱、チェックボックスをつけるだけで有効化 • 最新の脅威情報データベースを反映し保護ルールを自動更新 • AI & 機械学習によるアクセス解析とレコメンデーションを搭載

    • インテリジェントな対ボット防御ロジックを複数実装、選択するのみで利用可能 • OCI、オンプレミス、他クラウド問わずDNSの設定変更のみで既存Webアプリケーションを保護 • OCI Flexible Load Balancerに直接デプロイし、Public及びPrivateネットワーク上のWEBアプリケーションも同様に保護 高性能、高可用性 • エニーキャストIPにより、世界中のデータセンターのリソースを同時に利用できるグローバルWAFと、ロードバランサに統合された リージョン内WAFの2つのデプロイタイプを用意 • 大規模DoS攻撃時には自動で経路を大規模スクラビングセンターに瞬時に変更しサービスを保護 • 専門のITセキュリティチームがインターネットの脅威を24x365で監視、対応 シンプルで安価な価格体系 • 無償: 1インスタンス、1000万リクエストまで • 有償: 1インスタンス 600円/月、100万リクエスト 72円/月 Web Application Firewall の特長 Copyright © 2021, Oracle and/or its affiliates 31
  32. WAFで作成できる2種類のポリシー Copyright © 2021, Oracle and/or its affiliates 32 エッジ

    ポリシー (WAF v1) WAF ポリシー (WAF v2) 機能提供開始 2019年2月~ 2021年10月~ 特徴 ドメインのDNSレコード更新を用いて フルスタックのWAF機能を使用できる OCI Flexible Load Balancerに直接デプロイし 従来よりも簡単でシンプルな設定・構成 対象アプリケーション すべてのパブリックのアプリケーション OCIのVNC内アプリケーションのみ アプリケーション・エンドポイント パブリックのみ パブリック及びプライベート アクセス制御 〇 〇 脅威インテリジェンス 〇 × (対応予定) WAF保護ルール 〇 〇 BOT対策 〇 × (対応予定) レート制限 〇 〇 キャッシュ 〇 × (対応予定) アクセス・ログ WAF Service内 Logging Service連携 ポリシーの反映 10分~1時間 10秒~1分 従来からのポリシーはエッジポリシーとして、新しくリリースされたFlexible Load Balancerにデプロイできるポリシーは WAFポリシーとして再定義されたため、それぞれの特徴を比較 (※2021年12月時点)
  33. OCI Web Application Firewallのグローバル・アーキテクチャ Copyright © 2021, Oracle and/or its

    affiliates 33 Web Server 攻撃者 攻撃者 攻撃者 リージョン内WAF Edge PoP Edge PoP • Webサーバー(オリジンサーバー)の前段にリバースプロキシとして配置 • 実際のWAFリバースプロキシサーバーは、世界中のOCIリージョンとエッジPoPに分散配置 • IPエニキャストによりクライアントに最も近いWAFにルーティングされ、フィルタリングされたトラフィックのみバックエンドに転送 • 設定(WAFポリシー)はOCIのグローバルリソースとして一括管理、「反映」ボタンを押すと世界中のWAFにキャスト OCI REGION VCN WAF Policy Internet Gateway Customer Premises Equipment 他クラウド / オンプレミス も保護可能
  34. 1. クライアントはDNSに www.example.com の名前解決を依頼、CNAME(別名)のwww-example- com.o.waas.oci.oraclecloud.net を取得 2. クライアントは www-example-com.o.waas.oci.oraclecloud.net にリクエストを送出

    3. クライアントに最も近いWAFに到達、フィルタリングし、オリジン(lb.examples.com)に転送 4. 良好なトラフィックのみがインターネットでオリジンサーバーに到達 従来のエッジポリシーを使用した場合のトラフィックの流れ DNS WAF オリジン OCI/他クラウド/オンプレ ミス OCIリージョン / エッジPoP Welcomed Users / Good Bots Bad Actors / Bad Bots DNSレコード www.example.com CNAME www-example-com.o.waas.oci.oraclecloud.net SSL/TLS証明書 Copyright © 2021, Oracle and/or its affiliates 34 www-example-com.o.waas.oci.oraclecloud.net lb.example.com
  35. FLB上でWAF保護ポリシーを適用し、 VCN内アプリケーションを保護 VCN内のフレキシブル・ロード・バランサー(パブリック/プライベート)に対してWAF保護ポリシーを適用 - インターネット・アプリケーションだけではなく、VCN内部のプライベートなアクセスに対してもWAFでの保護が可能に DNSには、ロードバランサーのIPアドレスを登録することで、クライアントはWAFを経由したアクセスになる WAFのバックエンドサーバーとして保護できるのは、VNCインスタンスのみ フレキシブル・ロード・バランサーに直接デプロイするWAFポリシー Copyright –

    © 2021 Oracle and/or its affiliates. All rights reserved. 35 OCI パブリック・サブネット プライベート・サブネット VCN DRG パブリック・ ロード・バランサ インターネット・ ゲートウェイ インスタンス インスタンス プライベート・ ロード・バランサ WAFポリシー WAFポリシー オンプレミス 保護 保護 インターネット
  36. 保護ルール 事前定義済のルールに基づいて悪 意のあるトラフィックからアプリケーショ ンを保護 アクセス制御 ユーザーの要件に応じた条件を設 定し、一致した場合の挙動を制御 する 脅威インテリジェンス 外部機関から提供を受け日々更

    新されるBad IPリストを使ったフィル タリング Bot管理 状況に応じインテリジェントに判断し てアプリケーションを保護するWAFの 応用機能 OCI Web Application Firewall 4つの保護機能 Copyright © 2021, Oracle and/or its affiliates 36
  37. アクセス・ルール (Access Rules) トラフィック制御の条件に設定できるパラメータ アクセス制御 (Access Control) Copyright © 2021,

    Oracle and/or its affiliates 37 評価基準 内容 備考 URL • URL is • URL is not • URL starts with • URL ends with • URL contains • URL regex URL正規表現マッチングはPerl互換の正規表現 IPアドレス • Client IP Address is • Client IP Address is not IPv6未対応 地域 / 国 • Country is • Country is not APIには、2文字の国別コードを使用 UserAgent • User Agent is • User Agent is not HTTPヘッダ • HTTP Header contains 値は、コロンで区切った<name>:<value>で入力する必要がある エッジポリシー WAFポリシー
  38. アクセス・ルール (Access Rules) 条件に一致するトラフィックに対する操作を定義 • ログに記録し許可 • 検出のみ • ブロック

    • 別のURLにリダイレクト • バイパス(他の保護を適用外にする) • CAPTCHAを表示 アクセス制御 (Access Control) Copyright © 2021, Oracle and/or its affiliates 38 エッジポリシー WAFポリシー
  39. 外部機関から提供を受けた悪意のあるIPリストを使ったフィルタリング 脅威インテリジェンス(Threat Intelligence)とは「IPアドレスをキーとした脅威情報のデータベース」のようなもの OCI Web Application Firewallでは、複数の外部機関を通じて収集したBad IPリストを日々更新して提供 • 2021年現在19の異なるリストを提供中

    • 最新のソース一覧は以下参照 • https://docs.cloud.oracle.com/iaas/Content/WAF/Tasks/threatintel.htm 有効化作業にはCLI/APIを通じた操作が必要(コンソールでは有効化できない) 脅威インテリジェンス (Threat Intelligence) Copyright © 2021, Oracle and/or its affiliates 39 エッジポリシー
  40. ルールに基づいて悪意のあるトラフィックからアプリケーションを保護 保護ルール (Protection Rules) Copyright © 2021, Oracle and/or its

    affiliates 40 事前定義済ルールがサービスに同梱 • 現時点で600以上のルールが定義済 • 最新の脅威情報を元に随時アップデート ユーザーがルールの適用可否をカスタマイズ • Block(ブロック)、Detect(検知のみ) 、Off(無効) • mod_security フォーマットによるカスタム・ルールの登録 AI機能による運用サポート • 一定期間のトラフィックを機械学習(ML)で自動的に分析し、 推奨アクションを提示 (右画面) • OWASPの推奨事項などをタグでフィルタリング ブロック時のアクション指定 • レスポンスコード • エラーページ エッジポリシー WAFポリシー
  41. フォームに入力された値をチェックし、アプリケーションへの不正な操作をブロック 保護ルール (Protection Rules) Copyright © 2021, Oracle and/or its

    affiliates 41 クロスサイトスクリプティング PHPインジェクション SQLインジェクション OSインジェクション ファイル・インクルージョン ディレクトリ・トラバーサル etc.. アプリケーションの脆弱性を突いた攻撃 ブロック時には、レスポンスコード 403 、指定したメッセージを表示させる <script>-----</script> ' OR 1=1 # エッジポリシー WAFポリシー
  42. レイヤー7 DDoS攻撃やブルートフォース攻撃に対して 受け付けるリクエスト数を制限することでWEBアプリケー ションを保護する 期間(秒)あたりのリクエストに達した場合にブロック IPアドレスや国コードといった条件と組み合わせたレート 制限の指定も可能 レート制限管理 Copyright ©

    2021, Oracle and/or its affiliates 42 WAFポリシー
  43. 状況に応じインテリジェントに判断してアプリケーションを保護するWAFの応用機能 ボット管理 (Bot Management) Copyright © 2021, Oracle and/or its

    affiliates 43 単純なルールでは判別不可能なBotを、複雑なロジック を用いアダプティブに判断して検知、ブロックを行う 5種類の保護をサポート • JavaScriptチャレンジ • ヒューマン・インタラクション・チャレンジ • デバイスのフィンガープリント・チャレンジ • アクセス・レート制限 (API経由で設定可能) • CAPCHAチャレンジ 良好なBotホワイトリスト機能で、サーチエンジンなどにも 対応 エッジポリシー
  44. オブジェクト・ストレージに格納してあるエッジポリシーのログや LoggingサービスからService Connector Hub経由で送信 されたWAFポリシーのログをLogging Analyticsで分析 Logging Analyticsは、機械学習のテクノロジーを活用した 高度なログ分析を提供 -

    250種類以上のログに対応した事前定義済みパーサー - OCIやオンプレミスにある様々なOSやミドルウェアのログに対応し ログの取り込みからビジュアライズまでをサポート - ユーザー独自のアプリケーションや未サポートのログに対応する カスタム・パーサを簡単に手動作成 異常値の検出、クラスタ分析、トレンド分析など、経験やスキル を問わず誰でも高度な分析手法が可能 ログデータに応じたアラート通知 WAFのログ分析用に開発されたダッシュボードが ログ監視の効率化と自動化をサポート (2022年予定) Logging Analyticsを組み合わせたログのビジュアライズ Copyright © 2021, Oracle and/or its affiliates 44 アクセス急増によるDDoS攻撃の検出 アクセスログを包括的に監視するダッシュボード
  45. 価格 Copyright © 2021, Oracle and/or its affiliates 45 SKU

    メトリック 単価 Web Application Firewall – Instance 1インスタンス ¥0 2インスタンスからは、1インスタンスごとに ¥600/月 Web Application Firewall - Requests 1000万リクエスト/月 ¥0 1000万リクエストからは、100万リクエストごとに ¥72/月 WAFの課金体系は、インスタンスとリクエストのメトリックで構成される インスタンスは、WAFのポリシー、リクエストは実際にWAFが処理するHTTPリクエストを意味する ひとつめのWAFポリシーで1000万リクエスト/月までは、無償として提供される
  46. Vulnerability Scanning Security Zones Bastion Copyright © 2022, Oracle and/or

    its affiliates. All rights reserved. 46
  47. OCI Compute OCI Container Engine Vulnerability DB’s Vulnerability Scanning Cloud

    Guard Problems ホストの脆弱性を詳細に診断 Vulnerability Scanning Copyright © 2022, Oracle and/or its affiliates. All rights reserved. 47 コンピュート・インスタンスやコンテナ・イメージの潜在的な脆弱性を検出しリスクレベルを評価 3つの観点での脆弱性診断 - CVE(共通脆弱性識別子)に基づくインストールされたパッケージの脆弱性を検出 - オープン・ポートのチェック - CISベンチマーク(セキュリティの標準ベストプラクティス)への対応状況 特定のインスタンスや、指定したコンパートメント内のすべての インスタンスに対して実行 インスタンスにプリインストールされているCloudエージェントがスキャンを 実行するので、特別な設定は必要は無く、OCIコンソールから簡単に実行 対応するOSターゲット - Oracle Linux, CentOS, Ubuntu, Windows 検出されたリスクは、Cloud Guardに問題として通知 基本機能として無償
  48. スキャン・レポート Vulnerability Scanning Copyright © 2022, Oracle and/or its affiliates.

    All rights reserved. 48 コンピュート・インスタンスのリスク評価 検出されたCVEのリスク オープン・ポート
  49. データ漏洩に繋がる脆弱な設定を防止するために、強固なセキュリティ・ポリシーが強制されたコンパートメント コンピュート・インスタンス、ネットワーク、ストレージ、データベースなどのリソースをセキュアにするための 40を超えるポリシーがオラクル管理で提供される ポリシーの一例: - セキュリティゾーン内のリソースを標準コンパートメントに移動することはできない - パブリックアクセスに関するリソースはすべて作成できず、プライベート・サブネットのみ許可される - ストレージ・ボリュームはVaultによる暗号鍵管理が必要

    - データベースのバックアップは必須、バックアップはセキュリティゾーン以外では使用できない - カスタム・イメージは作成できない より高いセキュリティで保護しなければならないシステムに対して 可用性をトレードオフしつつ、安全なクラウド環境を実現 基本機能として無償 強固なポリシーで保護されたコンパートメント Security Zones Copyright © 2022, Oracle and/or its affiliates. All rights reserved. 49 VM Database Security Zones Admin
  50. パブリック・エンドポイントを持たないリソースへのセキュアな限定アクセス Bastion Copyright © 2022, Oracle and/or its affiliates. All

    rights reserved. 50 コンピュート・インスタンスやDatabase Cloud、Autonomous Databaseといったプライベート・サブネットの リソースにアクセスするための限定的なSSHセッションを提供 踏み台サーバーの代わりとしてターゲット・リソースにSSH接続、 Windowsインスタンスへの接続に3389(RDP) や データベースの接続に1521(Oracle Net Service)をポートフォワーディング 2種類のSSHセッションを提供 - 管理対象SSHセッション : エージェントが実行されているコンピュートへのSSH接続 - ポート転送SSHセッション : 対象リソースのポートに対応したポートフォーワーデイング SSHセッションは、最小 30分 ~ 最大 3時間までの有効期限 接続元をIPアドレスで制限することが可能 OCIのID認証によるセッションの作成や削除、またセッション管理の 操作はAuditに記録 基本機能として無償 VCN Bastion クライアント インスタンス sshクライアント sshトンネル データベース セッション セッション DBクライアント Private Subnet Port 22 Port 1521 Public Access
  51. IAM Identity Domains Copyright © 2022, Oracle and/or its affiliates.

    All rights reserved. 51
  52. OCI IAM Identity Domains Copyright © 2022, Oracle and/or its

    affiliates 52 •認証連携 •認可制御 •多要素認証 •ユーザー管理 等 オンプレミス OCI IAM Identity Domains 認証連携(シングルサイオン) 認証強化 管理機能 • モバイルアプリを利用したワンタイムパスワードや 秘密の質問/回答などの多要素認証 • 利用者情報(IPアドレスや所属グループ)に 応じた認証制御 • 標準技術/標準規格による認証連携 (SAML, OAuth2.0, OpenID Connect, SCIM) • ハイブリッド環境のシングルサインオンを実現 • 事前定義済み設定を利用した連携設定 • AD連携を利用したユーザー管理 • 認証に関する監査証跡管理 など 他社クラウド Webシステム クラウド イントラ インターネット 認 証 連 携 /SSO 認 証 連 携 /SSO 利用者 2要素認証 リスクベース認証 認 証 連 携 /SSO ECサイトやWebアプリケーションの認証統合・認証強化を実現するクラウド型認証基盤(IDaaS) Oracle SaaS/PaaS
  53. シングル・サインオン(認証連携) Oracle Public Cloud、他社SaaS、オンプレミスシステムに対するシングル・サインオン Copyright © 2022, Oracle and/or its

    affiliates 53 ◆ SAMLやOAuth、OpenID Connectのようなフェデレーションの標準技術を利用して、 Oracle Public Cloudや 他社SaaSやオンプレミスアプリケーションにシングル・サインオン ◆ 事前設定定義カタログに用意されているアプリケーションは、簡単なウィザードによって登録が可能 ✓ 他社SaaSやOracle Public Cloudなど数百種類のアプリケーションをカタログで提供 ◆ アプリケーションごとに、ユーザーのアクセスの可否を設定可能 シングル・サインオン ECサイト Web業務 アプリケーション Webブラウザ モバイルクライアント オンプレミス 他社SaaS Oracle Public Cloud ログイン OCI IAM Identity Domain フェデレーション技術による 認証情報連携 シ ン グ ル サ イ ン オ ン
  54. オンプレミス・システムの保護(認証連携) Oracle Public Cloud、他社SaaS、オンプレミスシステムに対するシングル・サインオン Copyright © 2022, Oracle and/or its

    affiliates 54 シングル・サインオン ◆ HTTPヘッダーやCookieによる認証連携でOCI IAMからシングル・サインオンするための リバース・プロキシ 「Application Gateway」 をVMとして提供 ✓ SAMLやOpenID Connectに非対応なオンプレミスやIaaS上のアプリケーションの保護が可能 ✓ リバース・プロキシのVMを稼働させる環境が必要 ◆ 次のようなORACLEのオンプレミス製品と連携 ✓ Oracle Access ManagementのエージェントWebGateをOCI IAMの保護対象として登録 ✓ E-Business Suiteを保護するEBS Asserterを提供 OCI IAM Identity Domain Application Gateway EBS Asserter OAM WebGate Webアプリケーション Webアプリケーション Oracle Apps (Oracle EBS等) フ ェ デ レ ー シ ョ ン 技 術 認 証 連 携 HTTP ヘ ッ ダ ・ Cookie に よ る 認 証 連 携 SAML,OpenID Connect等の フェデレーション技術を利用できない オンプレミスまたはon IaaS上のWebアプリ
  55. OCI IAM Identity Domain 外部認証基盤との認証連携 Azure ADなど既存の認証基盤をマスターとする認証連携 Copyright © 2022,

    Oracle and/or its affiliates 55 シングル・サインオン ◆ Azure AD、ADFS(Active Directory Federation Service)など、SAMLのIdPをマスターとする認証連携が可能 ✓ OCI IAMがSPとなる、既存の認証基盤をマスターにした2段階の認証連携が可能 SP アプリケーション1 クラウドサービスA SP SP アプリケーション2 各アプリケーション(フェデレーション対応) IdP(アイデンティティ・プロバイダ):クラウドサービスとの認証連携において認証行為を行う側 SP(サービス・プロバイダ):クラウドサービスとの認証連携においてIdPへ認証を委託する側 IdP Azure AD その他IDaaS 社内 ADFS (オンプレミス) SP IdP IdP 認証処理を実施 (認証の親) 既存認証基盤(マスタ) シ ン グ ル サ イ ン オ ン 認 証 連 携 ( 委 託 )
  56. ソーシャル・ログイン SNSなどの外部サービスをマスターとする認証連携 Copyright © 2022, Oracle and/or its affiliates 56

    シングル・サインオン ◆ FacebookやTwitterなどのSNSやSaaSを認証マスターとして、それらのアカウントを利用してOCI IAMにシングル・サインオン ◆ SNSとOCI IAMはOpenID Connectを利用してフェデレーション ◆ SNSのアカウントとの紐付け方法 ✓ソーシャル・アカウントに対応するアカウントをOCI IAMに動的に作成 ✓OCI IAMにログイン後、既存のソーシャル・アカウントを指定して紐付け 動的なユーザーの作成 / OCI IAMへ のフェデレーション OCI IAMのログイン画面で、 SNSのアカウントの利用を選択 ① ② ③ SNSのアカウント情報の取得 OCI IAMによるアカウント情報 の利用に同意 ④ 利用者 OCI IAM Identity Domain IdP SP SNS
  57. 二要素認証 サインオンポリシーで指定可能な複数の認証手段を提供 Copyright © 2022, Oracle and/or its affiliates 57

    認証強化 ◆ 管理者は任意の二要素認証の手段を選択して有効化することが可能 ◆ モバイルアプリケーションはApp StoreやGoogle Playから入手が可能 ◆ 二要素認証をパスすると、指定した日数の間同一のWebブラウザからのアクセスでは二要素認証を免除するオプションを提供 メール SMS モバイル アプリケーション 【二要素認証の要素】 モバイル アプリケーション FIDO2 ワンタイム・パスコード 通知 秘密の質問 生体認証
  58. Active DirectoryとのID情報連携(AD Bridge) Active Directoryをもとにしたユーザー管理の効率化 Copyright © 2022, Oracle and/or

    its affiliates 58 ID管理 ◆ ADからのID情報同期エージェント「AD Bridge」をADドメイン内のWindows端末に配置することで ID情報・グループ情報を同期 ◆ AD BridgeからOCI IAMへの片方向の通信のみ発生 ◆ ID情報/グループの情報を同期頻度に従い定期的にOCI IAMに伝播 ※エージェントとOCI IAM間でHTTPS通信ができる必要があります。 ※パスワードは同期の対象外になります。 AD Bridge ①設定情報の取得 社内ネットワーク ②ID情報・グループ情報の取得 ③ID情報・グループ情報の伝播 プ ロ キ シ ・ サ ー バ LDAPS HTTPS(REST) Active Directory 前回同期から変更のある ID情報のみを伝播 該当ADのドメイン内の Windows端末に配置 同期対象のユーザーやグループ、属性の マッピング、同期頻度などの設定 利用者 OCI IAMの ID/PwDで認証 OCI IAM Identity Domain
  59. 監査・統制情報 レポートによる利用状況の監査 Copyright © 2022, Oracle and/or its affiliates 59

    監査 ◆ レポートの種類 ✓ログインの成功、失敗 ✓アプリケーションへのアクセス ✓アプリケーションのロールの割り当て ✓一定期間ログインしていないユーザー ✓ユーザーへの通知の履歴 ✓操作履歴などの監査情報 ◆ レポートの種類 ✓ Web ✓ PDF、CSV ✓ JSON(監査情報) JSON HTML CSV、PDF 管理者 ダウンロード Web REST API OCI IAM Identity Domain
  60. OCI IAM Identity Domains価格 従業員向け認証管理 Copyright © 2022, Oracle and/or

    its affiliates 60 【ベース価格】 サービス名称 単位 契約タイプ 単価 月額(1人あたり ) 年額(1人あたり) Oracle Cloud Infrastructure Identity and Access Management – Premium User Per Month Annual Flex ¥384 ¥384 ¥4,608 【費用例】 前提: ・従業員数:1000人 サービス名 単位 契約タイプ 単価(¥) ユーザー数 定価 月計(¥) 定価 年計(¥) Oracle Cloud Infrastructure Identity and Access Management – Premium User Per Month Annual Flex 384 1,000 384,000 4,608,000 従業員 クラウドサービス・・・・ Webアプリケーション・・・ 認証 認証連携 従業員:1000名 OCI IAM Identity Domain 登録ユーザー数 1000
  61. OCI IAM Identity Domains価格 コンシューマ向け認証管理 Copyright © 2022, Oracle and/or

    its affiliates 61 【ベース価格】 サービス名称 単位 契約タイプ 単価 月額(1人あたり ) 年額(1人あたり) Oracle Cloud Infrastructure Identity and Access Management – External User User Per Month Annual Flex ¥1.92 ¥1.92 ¥23.04 【費用例】 前提: ・コンシューマ数:100,000人 サービス名 単位 契約タイプ 単価(¥) ユーザー数 定価 月計(¥) 定価 年計(¥) Oracle Cloud Infrastructure Identity and Access Management – External User User Per Month Annual Flex 1.92 100,000 192,000 2,304,000 ECサイト ECサイト 認証 認証連携 OCI IAM Identity Domain 登録ユーザー数 100,000 コンシューマ コンシューマ:100,000名
  62. Data Safe Copyright © 2022, Oracle and/or its affiliates. All

    rights reserved. 62
  63. Oracle Databaseをより安全に利用するためのクラウドベースのデータベース・セキュリティ・サービス データベースとData Safeを接続し、以下のセキュリティ機能を提供 - セキュリティ・アセスメント(Security Assessment) - ユーザー・アセスメント (User

    Assessment) - 機密データ検出(Sensitive Data Discovery ) - データ・マスキング(Data Masking) - アクティビティ監査(Activity Auditing) セキュリティ対策が後手になりがちなデータベースに対して、CISベンチマークを 基準にしたリスク評価やマスキング、監査ログ監視等の運用により データベースをセキュアな状態に保つ Oracle Cloud上のOracle DBだけでなく、オンプレミスや他社クラウドの Oracle DBも同様に管理することが可能 Oracle Cloud Databaseが対象の場合は無償 (※監査ログは100万件/月まで無料) オンプレミス、他社クラウド上のOracle DBの場合は有償 (※1DBあたり24000円/月) Oracle Data Safe Copyright © 2021, Oracle and/or its affiliates 63 Oracle Cloud上の データベース 監査 ユーザー 発見 アセス マスク オンプレミス のデータベース Data Safe AWS, Azure上の オラクルデータベース
  64. データベースの構成をスキャンし、STIG, CIS Benchmarkなどのベストプラクティス要件と比較してセキュリティ・リスクを評価 基本構成、ユーザーアカウント、権限・ロール、アクセス制御、監査、暗号化等のカテゴリで評価 データ・ディクショナリから必要な情報を収集するため、DBのパフォーマンスには影響なし アセスメントは、定期的なスケジュール実行が可能 アセスメント結果は、ベースラインとして登録することができ、比較分析や過去の実行結果履歴が参照可能 セキュリティ・アセスメント Copyright ©

    2021, Oracle and/or its affiliates 64
  65. ユーザー・アカウントをスキャンし、アカウントの使用状況や付与された権限・ロールからリスクを分析 DBAやDatabase Vaut、Auditなどの管理者権限の付与状況を一括で可視化 アカウントに付与された不要になる可能性があるシステム権限やロールを識別 休眠アカウントやパスワードが失効しているユーザーを特定 セキュリティアセスメントど同様に、スケジュール実行、ベースラインとの比較分析、実行履歴の参照が可能 ユーザー・アセスメント Copyright © 2021,

    Oracle and/or its affiliates 65
  66. 機密性の高いデータを不可逆な形式にてマスキング データベースの特性を考慮したアーキテクチャ - 表の制約や表と表の関係性を認識した一貫性のあるマスキング - 列データの要素数、分布、件数など、本番データの特性を維持したマスキング環境の作成 GUIで自由に定義できる様々なデータマスキング・タイプを提供 60を超える定義済みのマスキング・テンプレート - クレジット・カード番号,

    Eメール, URL, 血液型, 郵便番号, 社会保障番号(US,Canada).. ユーザー独自のマスキング定義を追加設定可能 - 携帯番号, 社員番号, 郵便番号, マイナンバー, パスポート番号など日本固有のデータフォーマット RDMSの特性とカーディナリティを保持したままマスキング 条件分岐を含む複雑なマスキング定義は、PL/SQLでファンクションとして作成 データ・マスキング Copyright © 2021, Oracle and/or its affiliates 66 Database Cloud Data Safe
  67. 様々なマスキング形式を提供 データ・マスキング Copyright © 2021, Oracle and/or its affiliates 67

    固定数値 固定文字列 ランダム桁数 ランダム数値 ランダム文字列 配列リスト シャッフル 置換 SQL式 NULL値 切り捨て 部分文字列 表の列の値 ユーザ定義関数 正規表現 暗号化 ランダム文字 ランダム数値+固定文字列 シャッフル ID NAME 1 SMITH 2 ALLEN 3 JONES 4 CLARK 5 ADAMS : : ID NAME 1 akeskaf 2 oweiks 3 daikels 4 ilekdik 5 oetdjgqk : : ID CARDNUMBER 1 7488-2984-1736-7400 2 4033-6177-0089-6401 3 6141-5126-0475-8802 4 1139-4145-6222-3703 5 8337-6263-1608-0104 : : ID CARDNUMBER 1 5870-2967-9149-5700 2 9634-7334-4874-2301 3 8430-8214-6445-1102 4 1573-9537-1503-5503 5 0606-3321-6271-8304 : : ID COUNTRY 1 US 2 JP 3 US 4 UK 5 FR : : ID COUNTRY 1 US 2 FR 3 UK 4 FR 5 JP : :
  68. 主キー / 一意 / 参照整合性制約を自動検知 データ・マスキング Copyright © 2021, Oracle

    and/or its affiliates 68 ID NAME CID 1 SMITH 1 2 ALLEN 4 3 JONES 1 4 CLARK 2 5 ADAMS 3 : : : CID COUNTRY_NAME 1 UNITED_KINGDOM 2 UNITED_STATES 3 AUSTRALIA 4 IRELAND 5 CANADA : : ID NAME CID 1 Aaafeh 83 2 Aafhed 65 3 Aaaafhe 83 4 Bodofa 39 5 aaahfied 9 : : : CID COUNTRY_NAME 83 UNITED_KINGDOM 39 UNITED_STATES 9 AUSTRALIA 65 IRELAND 7 CANADA : : 参照整合性を維持したマスキング (ランダム文字列+ランダム数値) 外部キー制約を自動的に 検知し、整合性を維持
  69. Oracle Databaseの監査ログを定期的に取得し、ログ分析やレポートを提供 対象は、Databaseに格納されている監査表のみ (Unified_Audit_Trail, FGA_LOG$, AUD$, DVSYS.AUDIT_TRAIL$) Data Safeまたはオンプレミス・コネクターがターゲットDBに直接SQLアクセスして監査ログを取得 監査データのオンライン保持期間は1~12カ月

    (デフォルト 6カ月) オンラインを超える監査ログの保存は、アーカイブとしてオフラインで保持可能 (最大6年) CISベンチマークやSTIGといったコンプラインス対応の独自の監査ポリシーを適用可能 目的ごとに定型化されたレポート分析画面 監査ログは100万レコード/DB/月までは無料、最大2TBまで (※拡張リクエスト可能) - 以降、1万レコード単位で課金(¥12) プリセットされたアクティビティ・レポート(PDF, XLS) Logging Analyticsサービスにログを集約する方法も効果的 アクティビティ監査 Copyright © 2021, Oracle and/or its affiliates 69 Data Safe Oracle Database AUD$ FGA_LOG$ Unified Audit
  70. サポートされるターゲット・データベース Copyright © 2021, Oracle and/or its affiliates 70 Oracle

    Cloud Database Versions Autonomous Data (Shared Exadata Infrastructure) latest version Autonomous Data (Dedicated Exadata Infrastructure) latest version Database System - Bare Metal, VM, Exadata - Oracle Database Edition(SE, EE, EEHP, EEEP) 11.2.0.4*, 12.1*, 12.2.0.1 or later Oracle Database on Compute instance - Oracle Database Edition (Standard, Enterprise) 11.2.0.4*, 12.1*, 12.2.0.1 or later On-Premises Oracle Database - Oracle Database Edition (Standard, Enterprise) 11.2.0.4*, 12.1*, 12.2.0.1 or later
  71. 価格 Copyright © 2021, Oracle and/or its affiliates 71 サービス名

    単価 単位 1 Data Safe for Database Cloud Service (*) 無償 2 Data Safe for Database Cloud Service – Audit Record Collection Over 1 Million Records ¥12.0 1万レコード/ターゲット/月 3 Oracle Cloud Infrastructure - Data Safe for On-Premises Databases (**) ¥24,000 1DB 4 Oracle Cloud Infrastructure - Data Safe for On-Premises Databases – 10,000 Audit Records Per Target Per Month ¥12.0 1万レコード/ターゲット/月 * 監査機能は、 100万レコード/ターゲット/月まで無償、その他の機能は無償 **監査機能は、 100万レコード/ターゲット/月まで利用可能、その他の機能は追加コストなく利用可能 税抜き価格
  72. Logging Analytics Copyright © 2022, Oracle and/or its affiliates. All

    rights reserved. 72
  73. 機械学習のテクノロジーを活用した高度なログ分析・サービス基盤 - 200種類以上のログに対応した事前定義済みパーサー - OCIやオンプレミスにある様々なOSやミドルウェアのログに対応し ログの取り込みからビジュアライズまでをサポート - ユーザー独自のアプリケーションや未サポートのログに対応するための カスタム・パーサを簡単に手動作成 異常値の検出、クラスタ分析、トレンド分析など、誰でも簡単に

    ログを見やすくビジュアライズし、高度な分析を実現 様々な観点からログ分析結果を集約したダッシュボードの提供 ログデータに応じたアラート通知 Service Connector Hub経由でLoggingのログを受信し OCIの各サービスやセキュリティ・ネットワーク関連のログを集約 監視対象ホストにインストールされた管理エージェントは、 OSやミドルウェア等のシステムログを自動的ににアップロード Logging Analytics Copyright © 2022, Oracle and/or its affiliates 73 Logging Analytics Logging Compute Instance Service Connector Hub 管理エージェント 連携 Syslog、セキュアログ Windowイベントログ ミドルウェア、アプリケーションログ ネットワーク、データベースログ etc.. Database System 他社クラウド 管理エージェント 連携 管理エージェント 連携 サービス連携 オンプレミス
  74. ドラッグ&ドロップ、クリックなどの直感的な操作でログを検索、分析 ログ・エクスプローラ Copyright © 2022, Oracle and/or its affiliates 74

    検索クエリー GUI操作に連動して自動生成 直接コマンド編集も可能 フィールド ログパーサーによって解析され たフィールドと関連付いた値 フィールドを用いたフィルタ 処理や検索、複数のフィード を組み合わせたグループ化 など柔軟な分析ができる ビジュアライゼーション 分析結果を様々な形式でグラフ化
  75. 「無視してよい大量のログ」「大切な一行のログ」を効率的に探索 類似したパターンを持つログを自動的に認識しグルーピング 膨大な量のログイベントを少量のパターン情報 (クラスタ)へと集約 - 例外的パターンや断続的に発生するイベントを素早く検知することで 迅速なトラブルシューティングや、異常の検出を可能に 機械学習を用いたログ分析 Copyright ©

    2022, Oracle and/or its affiliates 75 クラスター: ログ・レコードのパターンを識別し、類似した パターンを持つログをグループ化 潜在的な問題: Error, Fatal(致命的), Exception(例外) などのキーワードを含むログ・レコードのクラスタ 外れ値: 特定の期間中に一度のみ発生し、クラスタに 含まれなかったログ・レコード トレンド: クラスタのトレンド。類似した傾向を持つクラスタ同士 をトレンドとして表示 Aug 18 11:00:57 Unable to create file ABC.txt for user root Aug 18 23:07:26 Unable to create file DEF.txt for user larry Aug 18 23:08:30 Unable to create file XYZ.ppt for user moe 上記ログエントリを、1つのパターンおよび1つの例外に集約 ID パターン 件数 1 <Date> Unable to create file <File> for user <User> 1000 2 Aug 18 23:08:01 Succeeded authorizing right 'system.priv.admin' 1
  76. クラスタ分析によるパターン検出・例外検出 Copyright © 2022, Oracle and/or its affiliates 76 76

    2016-02-29 19:23:42,317 [[ACTIVE] ExecuteThread: '6' for queue: 'weblogic.kernel.Default (self-tuning)'] ERROR console.ConsolePerfCollecto r logp.251 - Session Expired while processing page with viewId null,so tracing for the page is not recorded. ConsolePerfTraceData is... 2016-03-11 17:10:08,130 [EMUI_17_10_08_/console/ database/instance/orarep/ sqlmonitor/list] ERROR reports.ReportXmlBean logp.251 - getReportXML SQLException: ORA-31011: XML解析に失敗しました ORA-19213: 行 1 LPX-00118: Warning: エンティ ティ“amp;inst_id=1&amp”が 未定義です ... 2016-04-11 04:30:10,069 [Job Step 19871 Job Long- System Pool:JobWorker] ERROR metadata.TargetMetadataM anager log.? - /u01/app/em/oracle_ 2017-05-16 18:18:04,464 [34:D2D6D9F0:GC.SysExecutor.0 (LogCollector_os_file)] INFO - LS collection_guid: F126306B57BBFBE2FBA56A1A6B0 97576, entity_name: /opt/oracle/admin/db6/adump/d b6_m000_21824_201705161817586 72727143795.aud 2017-05-16 18:18:12,182 [65:A1C89CF] INFO - HasWorkForLamasInvocation -- >req--> https://jpomctest0213.itom.manag ement.us2.oraclecloud.com/static/ workdepot 2017-05-16 18:18:12,795 [65:A1C89CF] INFO - HasWorkForLamasInvocation <-- rsp<-- POST https://jpomctest0213.itom.manag ement.us2.oraclecloud.com/static/ workdepot/queue/hasWork returned a response status of 200 OK 2017-05-16 18:20:12,184 [49:A343CA0E:GC.SysExecutor.4 (SenderManager.ReceiverHeartbea t)] INFO - 400万件以上の 様々なログを・・・ さらに、件数の少ない (例外的な)3パターンを認識 例外的なログを即座に発見 似たようなメッセージを認識し 73のパターンに自動集約 そのうち“Fault”, “Fatal”など問題が 起きていそうな16パターンを自動認識 件数の少ない(Anomalyな) 3パターンを自動認識
  77. 200を超える事前定義済みのログ・パーサーを提供 例:Windowsイベント, Linux/Solaris等のOS関連ログ Oracle Database, MySQL, SQL Server等のDB関連ログ WebLogic Server,

    Tomcat, Jboss,IIS等のAP関連ログ Palo Altto, Bluecoat,F5等のネットワーク機器関連ログ OCI Audit, VPN Flow Logなどクラウドサービス関連ログ テキスト、XML、JSON、データベース表のログにも対応 マルチライン対応 事前定義済みのパーサーにない未対応のミドルウェアや アプリケーションのログには、ガイド付きパーサー・ビルダーで 簡単に正規表現のパーサー作成が可能 Copyright © 2022, Oracle and/or its affiliates 77 フィールド分割の作業や場所の指定なしで すぐに分析に取りかかることが可能 ログ・パーサー ログレコードの解析定義(正規表現) ログ・ソース ログの場所やログに対する前処理の設定
  78. Copyright © 2022, Oracle and/or its affiliates 78 ①対象のログファイルの選択 ②サンプル・ログレコードの入力

    ③ログレコードとフィールドの紐づけ ④生成された正規表現で サンプルログレコードのテスト 実際のログからGUI操作で 解析定義を生成
  79. ダッシュボード Copyright © 2022, Oracle and/or its affiliates 79 ログ・エクスプローラーで検索した条件を保存し、一目で

    ユーザーの参照したい画面をダッシュボードにして作成 日付に応じた画面のリフレッシュ OCI AuditやVNC Flow Logsなどのビルドインされた ダッシュボードの提供 ログ・エクスプローラーの画面に遷移し、さらに詳細な 分析を行うことも可能 ダッシュボードをクローンすることで、事前定義済み ダッシュボードのカスタマイズ ダッシュボードの定義をエクスポートし、別のテナントに インポート可能 OCI Audit Log ダッシュボード
  80. O&M 各サービス価格 Copyright © 2022, Oracle and/or its affiliates 80

    ※1 Active Storageは10GBまで無償 【Logging Analytics】 提供サービス 単位 PAYG (時間単価) Annual Flex (時間単価) 月額概算 ※ Logging Analytics: Active Storage ※1 1Unit(300GB) ¥60 ¥44,640 Logging Analytics: Archive Storage 1Unit (300GB) ¥2.4 ¥1,785