Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Oracle Data Safeの機能概要と特徴

3115a782126be714b5f94d24073c957d?s=47 oracle4engineer
February 15, 2021
120

Oracle Data Safeの機能概要と特徴

Oracle Databaseをよりセキュアにするクラウドサービス。Oracle Database Cloud だけでなくオンプレミスのデータベースも同様にセキュアに。

3115a782126be714b5f94d24073c957d?s=128

oracle4engineer

February 15, 2021
Tweet

Transcript

  1. Oracle Data Safe 概要 機能のご紹介 (2021年2月更新) 日本オラクル株式会社 テクノロジー事業戦略統括 テクノロジー・クラウド・エンジニアリング本部 セキュリティ&マネジメントソリューション部

  2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とする ものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約 するものではないため、購買決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変 更される可能性があります。 2 Copyright

    © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]
  3. Oracle Data Safe 統合されたOracle Databaseのセキュリティ管理サービス • Sensitive Data Discovery (機密データの発見)

    • Data Masking (データ・マスキング) • Activity Auditing (アクティビティの監査) • Security Assessment (セキュリティ構成の評価) • User Assessment (ユーザーのリスク評価) 多層防御の最も重要なデータ・セキュリティ対策に 短時間でセキュリティ・リスクを軽減 セキュリティの専門知識は不要 3 Copyright © 2020 Oracle and/or its affiliates. Oracle Cloud Database 監査 ….. ユーザー 発見 アセス マスク 追加費用なしで、Oracle Cloud のDatabase で利用可能(*) *: 監査機能は100万レコード/月まで無償、その他の機能は無償
  4. Sensitive Data Discovery (機密データの発見) データベースに格納されている機密データの列を検出する 検出方法は、以下の2パータン • NAME, ID, PASSWORDといった機密データを表す

    キーワードを含んでいる列 • Eメールやクレジット番号といったデータ形式が一般的に 固定化されており、かつ推測できる列 120以上の定義済みの機密データ・タイプ ユーザー独自のタイプ定義を追加可能 • マイナンバー, 携帯電話番号, 社員番号 発見した機密列は、任意の値にマスキング 一部日本語対応 • ユーザ独自のタイプ定義のみ 4 Copyright © 2020 Oracle and/or its affiliates. Table XYZ Name Candy Column 2 xxxxxxx Column 3 xxxxxxx Email candy@oracle.com Column 5 xxxxxxx Column 6 xxxxxxx Bank Name Mizuho Bank Acc No 2891721 Column 9 xxxxxxx Column 10 xxxxxxx Card No 4123123488990121
  5. Sensitive Data Discovery (機密データの発見) 120以上の定義済みのSensitive Type 氏名, 住所, 電話番号, EMAIL,

    性別, 銀行口座, ID, 生年月日, 学歴, 職歴, パスポート番号, 社会保障番号 (US), 社員番号, ユーザーID等 5 Copyright © 2020 Oracle and/or its affiliates. Identification Biographic IT Financial Healthcare Employment Academic SSN Name Email Phone Passport DL Tax ID … Age Gender Race Citizenship Address Family Data Date of Birth Place of Birth … IP Address User ID Password Hostname GPS location … Credit Card CC Security PIN Bank Name Bank Account IBAN Swift Code … Provider Insurance Height Blood Type Disability Pregnancy Test Results ICD Code … Employee ID Job Title Department Hire Date Salary Stock … College Name Grade Student ID Financial Aid Admission Date Graduation Date Attendance …
  6. Sensitive Data Discovery (機密データの発見) 機密データ・タイプの設定例 6 Copyright © 2020 Oracle

    and/or its affiliates. Sensitive Type Name: Card Number Column Name Pattern: 列名に含まれるキーワードを特定する正規表現 Column Comment Pattern: コメントに含まれるキーワードを特定する正規表現 Column Data Pattern: データのフォーマットを特定する正規表現 ※ Column Data Patternはすべてのデータが対象でなく、 5行フェッチし4/5(80%)が正規表現とマッチする場合に機密 データとして検出する
  7. Data Masking (データ・マスキング) 様々なデータ・マスキング方式を提供 • ランダム文字列, ランダム数字, ランダム日付, シャッフル, リスト,

    ユーザー関数 固定文字, 正規表現.. 60の定義済みのマスキング・テンプレート • クレジット・カード番号, Eメール, URL, 血液型, 郵便番号,社会保障番号(US,Canada).. ユーザー独自のマスキング定義を追加設定可能 • 携帯番号, 社員番号, 郵便番号, パスポート番号など日本固有のデータフォーマット 表の整合性とカーディナリティを保持したままマスキング 条件分岐を含む複雑なマスキング定義は、 PL/SQLで作成し関数化 日本語を含むデータへのマスキング 7 Copyright © 2020 Oracle and/or its affiliates. Database Cloud Data Safe
  8. Data Masking (データ・マスキング) 主キー / 一意 / 参照整合性制約を自動検知 8 Copyright

    © 2020 Oracle and/or its affiliates. ID NAME CID 1 SMITH 1 2 ALLEN 4 3 JONES 1 4 CLARK 2 5 ADAMS 3 : : : CID COUNTRY_NAME 1 UNITED_KINGDOM 2 UNITED_STATES 3 AUSTRALIA 4 IRELAND 5 CANADA : : ID NAME CID 1 Aaafeh 83 2 Aafhed 65 3 Aaaafhe 83 4 Bodofa 39 5 aaahfied 9 : : : CID COUNTRY_NAME 83 UNITED_KINGDOM 39 UNITED_STATES 9 AUSTRALIA 65 IRELAND 7 CANADA : : 参照整合性を維持したマスキング (ランダム文字列+ランダム数値) 外部キー制約を自動的に 検知し、整合性を維持
  9. Data Masking (データ・マスキング) 独自マスキング・フォーマットの設定例 9 Copyright © 2020 Oracle and/or

    its affiliates. 作成する携帯番号のマスキング形式 070 – 1234 - 6789 Random List [070-, 080-, 090-] Random Number [4 digit] Fixed String [-] Random Number [4 digit]
  10. Data Masking (データ・マスキング) 正規表現でのマスキング例 10 Copyright © 2020 Oracle and/or

    its affiliates. 正規表現 置換 する値 意味 対象データ マスキング結果 ¥d * すべての数字を *で置換 東京都港区1-992 Oracleビル103号室 東京都港区*-*** Oracleビル***号室 ¥d{4} * 連続した4桁の数字を *で置換 080-1234-5678 080-****-**** ¥d{4}/¥d{2}/¥d{2} ¥1/**/** 西暦はそのままで 年月日を*で置換 1975/10/12 1975/**/** ¥w+@(¥w) ****@¥1 @より前方は *で置換 candy1020@oracle.co m ****@oracle.com
  11. Activity Auditing (アクティビティの監査) Oracle Database Cloudの監査ログを定期的に取得し分析レポートやアラートを提供 エージェントレス Data SafeがターゲットのDBにSQLアクセスし監査ログを取得 監査データの保持期間は1~12カ月

    (デフォルト 6カ月) 監査ログの自動パージ 監査ログは100万レコード/DB/月までは無料、最大2TBまで • 以降、1万レコード単位で課金。詳細は価格資料にて プリセットされたアクティビティ・レポート(PDF, XLS) データベースの監査表はすべて対応 • Unified Audit • ファイングレイン監査 • Database Vaultの監査データ 11 Copyright © 2020 Oracle and/or its affiliates. Database Cloud Data Safe AUD$ FGA_LOG$ Unified Audit
  12. Activity Auditing (アクティビティの監査) 監査ログの分析レポート 12 Copyright © 2020 Oracle and/or

    its affiliates. 監査ログの分析レポート 監査ポリシーの設定・反映などの機能を提供
  13. Security Assessment (セキュリティ構成の評価) データベースをスキャンし、セキュリティのリスクとギャップをレポート 基本構成、ユーザアカウント、権限管理、監査設定等のカテゴリで評価 データディクショナリおよびOS構成ファイル情報の参照処理のみ • データの変更処理・業務データの参照処理は実施しない STIG、CIS Benchmarkの要件とのギャップを可視化

    • CIS(Center for Internet Security)が作成した 安全なOracle Database構成のベストプラクティス 一貫したセキュリティ対策の基準として活用 13 Copyright © 2020 Oracle and/or its affiliates.
  14. User Assessment (ユーザーのリスク評価) データベース・ユーザーの情報をスキャンして分析 DBAやAdminといった管理者権限の付与状況が可視化 パスワード変更や最後にログインした日など、ユーザの使用状況を把握 Activity Auditing機能と連携し、ユーザが実行したデータベース操作の監査ログも連携して表示可能 14 Copyright

    © 2020 Oracle and/or its affiliates.
  15. OCIにあるOracle Databaseへの接続 (Public) 15 Copyright © 2020, Oracle and/or its

    affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Autonomous DB, Cloud Database System Oracle Cloud Infrastructure Customer VCN Public Subnet Oracle Data Safe • Data Safeは、Publicなインターネットを経由してクラウド・データベースに接続する • ターゲットDBのPublicサブネットは、Data Safeからのinbound/outbound通信の許可が必要 • Data SafeとターゲットDB間の通信は、TLSで暗号化可能
  16. OCIにあるOracle Databaseへの接続 (Private Endpoint) 16 Copyright © 2020, Oracle and/or

    its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] Autonomous DB, Cloud Database System, Database on Compute Oracle Cloud Infrastructure Customer VCN Private Subnet Oracle Data Safe Private Endpoint • Data Safeは、Private Endpointを経由して使ってターゲットDBに接続する • Oracle Cloud内のクローズドなアクセス • ターゲットDBのPrivateサブネットは、 Data Safeからのinbound/outbound通信の許可が必要
  17. オンプレミスにあるOracle Databaseへの接続 (Private Endpoint) 17 Copyright © 2020, Oracle and/or

    its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] On-premises, Cloud@Customer Oracle Cloud Infrastructure Customer VCN Private Subnet Private Endpoint FastConnect / VPN Connect Oracle Data Safe • FastConnectまたはVPN接続で、オンプレミス上にあるデータベースはOCIのPrivateサブネットの 延長線上にあるという構成 • Data Safeは、Private Endpointを経由して使ってターゲットDBに直接接続する • ターゲットDBのネットワークは、 Data Safeからのinbound/outbound通信の許可が必要
  18. オンプレミスにあるOracle Databaseへの接続 (On-Premises Connector) 18 Copyright © 2020, Oracle and/or

    its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date] On-premises, Cloud@Customer Oracle Cloud Infrastructure Oracle Data Safe Data Safe On- Premises Connector TLS Tunnel Data Safe On- Premises Connector • On-Premises Connectorをインターネット通信が可能なサーバにインストールする • On-Premises Connectorは、オンプレミス上のターゲットDBにアクセスし、その情報をData Safeに アップロードする。(TLSトンネルを使用したインターネット経由) • 通信はOn-Premises Connectorが起点となるため、Data SafeからのInbound通信は発生しない • ターゲットDBのネットワークは、 Data Safeへのoutbound通信の許可が必要
  19. On-Premises Connectorのインストール要件 • Oracle Linux 7以上 • Python 3.5以上 •

    Java 7以上 インストール手順 1. On-Premises ConnectorをData Safeコンソールからダウンロード 2. zipファイルを解凍 3. 以下コマンドを実行 $ python setup.py install --connector-port=<port> [--https-proxy=<proxy:port>] 例) $ python setup.py install --connector-port=1560 --https-proxy=https://www-proxy.domain.com:80 19 Copyright © 2020, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted [Date]
  20. Data Safe : サポートされているターゲット・データベース 20 Copyright © 2020 Oracle and/or

    its affiliates. Oracle Cloud Database Versions Autonomous Data (Shared Exadata Infrastructure) latest version Autonomous Data (Dedicated Exadata Infrastructure) latest version Database System - Bare Metal, VM, Exadata - Oracle Database Edition(SE, EE, EEHP, EEEP) 11.2.0.4*, 12.1*, 12.2.0.1 or later Oracle Database on Compute instance - Oracle Database Edition (Standard, Enterprise) 11.2.0.4*, 12.1*, 12.2.0.1 or later On-Premises Oracle Database - Oracle Database Edition (Standard, Enterprise) 11.2.0.4*, 12.1*, 12.2.0.1 or later 2021年2月時点
  21. Data Safe : 価格について 21 Copyright © 2020 Oracle and/or

    its affiliates. サービス名 単価 単位 1 Data Safe for Database Cloud Service (*) 無償 2 Data Safe for Database Cloud Service – Audit Record Collection Over 1 Million Records ¥9.60 1万レコード/ターゲット/月 3 Oracle Cloud Infrastructure - Data Safe for On-Premises Databases (**) ¥24,000 1DB 4 Oracle Cloud Infrastructure - Data Safe for On-Premises Databases – 10,000 Audit Records Per Target Per Month ¥9.60 1万レコード/ターゲット/月 * 監査機能は、 100万レコード/ターゲット/月まで無償、その他の機能は無償 **監査機能は、 100万レコード/ターゲット/月まで利用可能、その他の機能は追加コストなく利用可能 税抜き価格
  22. TIPS Oracle Data Safeを有効化する https://qiita.com/western24/items/ce12012acfc429b363a7 Data Safeのデータ・マスキングを試してみる https://qiita.com/western24/items/3fb5bfd0515864b06b22 Data Safeのアクティビティ監査で操作ログを記録する

    https://qiita.com/western24/items/ca090b9b40509e7449ba プライベートIPアドレスでData SafeにDBを登録する https://qiita.com/western24/items/d3b10acf3fcb15b8687c Oracle Data SafeでオンプレミスのOracle DBを管理する https://qiita.com/western24/items/7b9a43a5bf63f5590403 22 Copyright © 2020 Oracle and/or its affiliates.
  23. None