Exadata Database Service on Cloud@Customer セキュリティ、ネットワーク、および管理について

Transcript

1. Oracle Exadata Database Service on Cloud@Customer (ExaDB-C@C) セキュリティ、ネットワーク、および管理について 日本オラクル株式会社 2024

   年 9 月 06 日

2. 2 Copyright © 2024, Oracle and/or its affiliates 1. コンプライアンス

   2. Oracleセキュリティポリシー 3. 役割と責任 4. カスタマーテナンシーセキュリティ 5. ネットワークアーキテクチャと実装 6. リモートオペレーターアクセスセキュリティ 7. 顧客のセキュリティ管理 8. ライフサイクル管理のためのクラウド自動化 アジェンダ

3. 3 Copyright © 2024, Oracle and/or its affiliates • ExaDB-C@C

   は下記の「準拠証明書」(AoC (Attestations of Compliance) ) を取得しています • ISO 27001 • HIPAA • PCI DSS • SOC 1 • SOC 2 • SOC 3 • 認証はOCI webインターフェースからリクエストベースで提供されます コンプライアンス

4. 4 Copyright © 2024, Oracle and/or its affiliates • お客様データの

   機密性 (confidentiality)、完全性 (integrity)、可用性 (availability) を保護 • 下記のセキュリティを含む • 人的資源、ネットワークとシステムへのアクセス制御、データ、 • サプライ・チェーン・マネージメント、ラップトップ、モバイル機器 • 下記のセキュリティ基準に準拠 • ISO/IEC 27002:2013 (以前のISO/IEC 17799:2005) • ISO/IEC 27001:2013 • NIST • お客様はオラクル社のポリシーとお客様のポリシーを以下から比較可能 • https://www.oracle.com/corporate/security-practices/corporate/ Oracle セキュリティ・ポリシー

5. Oracle Exadata Database Service on Cloud@Customer 役割と責任 Copyright © 2024,

   Oracle and/or its affiliates 5 オラクル・クラウド・プラットフォーム お客様 / テナント・インスタンス オラクルクラウド オペレーション お客様 オラクルクラウド オペレーション お客様 監視 インフラストラクチャ, コント ロール・プレーン, Database Server の障害, 可用性, 容量 オラクル・インフラストラクチャ・ マネジメント・メトリックをオラク ルへ送信するためのネット ワーク・アクセスを提供 お客様サービスのお客様モニタリ ングのためのインフラストラクチャの 可用性 お客様の OS, データベース、 アプリケーションの監視 インシデント管理、 解決 インシデント管理と改善 スペア・パーツとエンジニアの ディスパッチ オンサイトの切り分けのアシス タント（例；ネットワーク・ト ラブルシューティング） プラットフォームに関連のある インシデントのサポート お客様アプリケーションの インシデント管理と解決 パッチ管理 ハードウエア、IaaS/PaaS コ ントロール・スタックへのプロア クティブ・パッチ適用 オラクル・インフラストラクチャ へのパッチ提供のためのネット ワーク・アクセスを提供 適用可能なパッチのステージング (例；Oracle DB パッチセット) テナント・インスタンスへの パッチ適用/テスト バックアップと リストア インフラストラクチャ、コント ロール・プレーン、Exadata Database Server のバック アップとリカバリ お客様はインフラストラク チャ・コンポーネントのバック アップ・リストアの責任は無い 稼働していて、お客様アクセス可 能な VM の提供 オラクルまたはサード・パーティのツー ルを用いた、お客様の IaaS および PaaS データのスナップショット/バッ クアップ・リカバリ クラウド・サポート オラクルが管理するインフラス トラクチャに関する事象の対 応と解決 お客様はオラクルが管理する インフラストラクチャ・レイヤー については責任が無い お客様がアクセス可能なサービス の SR への対応と解決 お客様がアクセス可能なサービスの、 サポート・ポータルを通じた SR の ファイル

6. Oracle Exadata Database Service on Cloud@Customer • お客様とオラクルのスタッフは同じ筐体の隔離された環境で作業します • 仮想マシン、仮想ネットワーク、ハイパーバイザー

   • お客様はお客様のサービスを運用管理することが認可されています • VM, データベース, Grid Infrastructure, エージェント, etc. • お客様はお客様のポリシーと手順に従ってサービスをオペレートします • データベース・スキーマ管理、ユーザー管理、鍵管理 • データベースの自動化されたアップデート、バックアップ、リストアの実行 • データベースと OS の監査ログ、OCI の監査サービスの構成 • お客様は Oracle クラウド・オートメーションを起動して、通常の DBA タスクを実行します • データベース作成、TDE(Transparent Data Encryption)、パッチ適用、バックアップ、リストアなど • RAC と ASM の構成、VM 管理など • オラクルのスタッフは Exadata インフラストラクチャの管理のみが認可されています • Exadata Database Server および Storage Server、ストレージ・ソフトウエア、ネットワーク、ファームウエア、 ハイパーバイザーなど セキュアなオペレーションと管理 Copyright © 2024, Oracle and/or its affiliates 6

7. Gen 2 ExaDB-C@C ネットワーク・セキュリティ・アーキテクチャ 7 Oracle Cloud Infrastructure お客様データ・センター Oracle

   Cloud Ops ExaDB- C@C お客様のアクション • データベース/GIライフサイクル・コール • VMライフサイクル・コール • インフラストラクチャ・ライフサイクル・コール • スケール・アップ/スケール・ダウン • トラブルシューティングとインシデント管理 オラクルのアクション • インフラストラクチャの監視 • インフラストラクチャ・メンテナンス アプリケーション・ サーバーによる データベース・ アクセス Intranet Customer Tenancy お客様管理者 Oracle OperationsとService Delivery 個別の一時的なセキュア・トンネルの内部で提供 Local Control Plane Servers (CPS) 多要素認証 Invoke Cloud UI or REST APIs Admin VCN Customer Auditing and Access Controls オラクルによる 監査とアクセス制御 OCI Tenancy 自動デリバリー用の 永続的な TLS 1.2 https セキュア・トンネル Control Plane Connectivity Cloud Ops Access Copyright © 2024, Oracle and/or its affiliates

8. お客様のOCIアイデンティティ • OCI Console と API Access • Service Lifecycle

   Management • ローカルないしはお客様の企業IdP(Identity Provider)との フェデレート • Your usual SSO identity お客様のOracle Linux OSのアイデンティティ • Operating system shell access • Exadata service accounts • お客様が通常利用されているオペレーティングシステムのアイデン ティティ お客様のOracle Database のアイデンティティ • データベースへのSQL アクセス • DBA アカウント • Database ユーザーアカウント • お客様が通常利用されているデータベースのアイデンティティ お客様スタッフのアイデンティティ・アーキテクチャ Copyright © 2024, Oracle and/or its affiliates 8 お客様データセンター Exadata Infrastructure Oracle Cloud Region OCI Identity お客様の OCI Tenancy Oracle Linux VM Database Identity Operating System Identity Oracle DB ssh SQLNet https https

9. Oracle Cloud のアイデンティティ • ExaDB serviceを管理するAPIアクセス • Oracle 社の企業 IdP

   Infrastructure Operating System のアイデンティティ • Operator Access Control無しの場合 • Oracleの企業IdPとフェデレートされた永続ユーザー・アクセス • サービス・アカウントIDを取得するためのアクセス • Operator Access Control有りの場合 • 一時的なローカルのネームド・ユーザー・アクセス • サービス・アカウントへの成業されたアクセス Oracle社スタッフのアイデンティティ・アーキテクチャ Copyright © 2024, Oracle and/or its affiliates 9 Your Data Center Exadata Infrastructure Oracle Cloud Region Cloud Ops Identity Oracle Linux VM Oracle DB Oracle Service Tenancy https API Access ssh https

10. Copyright © 2024, Oracle and/or its affiliates お客様の OCI Tenancy

    概要とセキュリティ・コントロール 16

11. • オラクルは、ExaDB-C@Cを管理するためのテナンシーをお客様に提供 • お客様は、オプションで、テナント内で他のOCIサービスを利用可能 • ExaDB-C@Cリソースは、お客様のテナントから管理可能 • ExaDB-C@Cサービスは他のOCIサービスと同様に管理 • Web

    UI、API / SDK、CLI、およびTerraformインターフェースがサポート • ID管理 • OracleのIAM（IDおよびアクセス管理）サービス • フェデレーションIAM • カスタマーテナンシーアカウントは、OCI API /コンソールインターフェースへのアクセスを提供 • カスタマーVMとカスタマーデータベースへのアクセスで異なるIDが使用することも可能 お客様テナンシー概要 Copyright © 2024, Oracle and/or its affiliates 17

12. • ネットワーク・ソースの制限 • お客様テナンシーへの認証を許可する IP アドレス (レイヤー 3)をコントロール • お客様ユーザ資格証明

    • コンソール・パスワード、API 署名キー、認証トークン、顧客秘密キー、Oauth 2.0、SMTP 資格証明 • 多要素認証(MFA)とフェデレーテッド・アイデンティティ管理 • コンパートメント • OCI リソースに対する論理的なセキュリティ・パーティション • ポリシー・ベースのアクセス制御 • お客様がコンパートメントの特定のリソースを適切な方法で作業するグループを定義 • お客様が職務に必要なグループにユーザーを割り当て • OCI Logging Service と Audit Service • お客様テナントのすべてのアクションの記録、SIEM (Security Information and Event Management) 統合の API サポート お客様テナンシーのアクセスとログのコントロールの概要 Copyright © 2024, Oracle and/or its affiliates 18

13. • Oracle IAM は アイデンティティ・プロバイダとのフェデレーションをサポート • Oracle Identity Cloud Service、Microsoft

    ADSF、その他 SAML 2.0 に準拠するプロバイダ • 監査およびロギング • Oracle Cloud Infrastructure Audit サービスはすべての API コールとログインを記録 • すべてのユーザ・アクティビティが監視可能 • Oracle Cloud Access Security Broker サービスはすべての OCI アクセスに対して AI ベースの 監視を提供 • (参考情報) Oracle Cloud Infrastructure Security Architecture https://www.oracle.com/a/ocom/docs/oci-security.pdf https://www.oracle.com/jp/a/ocom/docs/oracle-cloud-infrastructure-security- architecture-ja.pdf お客様テナンシーのアクセス・セキュリティ Copyright © 2024, Oracle and/or its affiliates 19

14. Copyright © 2024, Oracle and/or its affiliates コントロール・プレーン・ネットワークへの接続 概要とセキュリティ・コントロール 20

15. Customer Managed L2 Connections Exadata Storage Server Exadata Database Server

    DB Control Plane DBaaS UI/API Customer OCI Tenancy Oracle Admin VCN Customer Data Center お客様 ユーザー/ アプリケーション https TCP 443 IMM Feed Automation Access mTLS port 7060 and 7070 Control Plane Server Secure Outgoing Tunnel Client Customer VM DB Agent ssh port 22 SQL*Net port 1521 Customer software Layer 2 VLAN Persistent Automation Secure Tunnel TLS 1.2 TCP 443 Image Server http get port 80 Monitoring Service IMM https TCP 443 Identity Management Object Storage Service Patch Staging https TCP 443 Identity https TCP 443 詳細：Network Ports と Security Guide 参照 Exadata Database Service における ポートとプロトコル Copyright © 2024, Oracle and/or its affiliates 21 port 22 Automation Tunnel Initiation Secure Operator Tunnel Service Secure Operator Tunnel Client Temporary Operator Secure Tunnel TLS 1.2 TCP Port 443 Identity Service Secure Outgoing Tunnel Service Monitoring Agent Logging Agent Identity https TCP 443 Logging Service

16. ネットワークサービスの統合 Copyright © 2024, Oracle and/or its affiliates 23 お客様データセンター

    Control Plane Server (CPS) Infrastructure Exadata Infrastructure お客様のクライアント アプリケーション/管理者 CPE DNS server NTP server Switch/ Router Switch/ Router Oracle Cloud リージョン VM Cluster Database Public Virtual Circuit (optional) Private Subnet (Backup) Private Subnet (Client)

17. ExaDB-C@CとADB-DのWebSocketサービス 目的とデザイン • ExaDB-C@Cインフラストラクチャに 処理のための顧客テナンシAPIを提供 • OracleテナンシAPIをExaDB-C@C に処理のため配信 • ExaDB-C@Cサービスのすべてのコマ

    ンドおよび制御 • ハートビート • REST LIST、REST GET操作によ る最小限のリモート診断 • インフラストラクチャへのシェル・アクセス は含まれない • データベース・データをOCIにコピーして 戻すAPIは含まれない SSL接続で保護されること • 非公開APIコール、ペイロード • APIペイロードの機密情報 • サービスの監視、リモート保守のの Oracleのアクション コントロールの補正 • OCI Auditサービスは、テナンシによっ て送信されたAPIを確認 • OCI IAMはユーザーが送信できる APIを制御 • 調査の必要性を示唆する異常なデー タ量を推測するためのネットワーク・ス ループットのデータ • X.509証明書のSAN(Subject Alternative Name)フィールドのイン フラストラクチャOCID 永続的なAPIトンネル Copyright © 2024, Oracle and/or its affiliates 24

18. SSHアクセスとVMコンソールの管理ヘッドエンド(トンネル) 目的とデザイン • SSHアクセスのみ、その他の機能 なし • Oracleアイデンティティの ExaDB-C@Cインフラストラクチャ へのSSHアクセスを提供 •

    顧客アイデンティティの為のSSHア クセスを提供して顧客のVMコン ソールにアクセス SSL接続で保護されること • sshセッションの暗号化 • FIPS 140-2レベル3ハードウェ ア・デバイスを介したOracle SSH 認証により、復号を防止 コントロールの補正 • Operator Access Control • シェル・アクセスの顧客管理 • Linux権限の適用 • 特定の作業について特定のスタッフに 発行された一時資格証明を利用 • コマンド/キーストローク・ログをOracle Linux監査レコードへ記録 • VM Console • スタッフがコンソール・アクセスを取得で きるタイミングをお客様が制御可能 • コマンド/キーストローク・ログをOracle Linux監査レコードへ記録 • OCIコンソール履歴 • X.509証明書のSAN(Subject Alternative Name)フィールドのイン フラストラクチャOCID • OCIイベントを使用したネットワーク・ ファイアウォールでのURI許可リストとの 統合 一時的なオペレータSSHトンネル Copyright © 2024, Oracle and/or its affiliates 25

19. コントロール・プレーンでのロギングとフロント・エンドでのロギング 目的とデザイン • シングルテナントのOracleサービス • Oracle以外のアクセスの防止 • Oracleログ収集サービスへのインフラ ストラクチャ・データのロギング •

    Chainsawを介した実装 • Oracle ExaCC Opsによる監視 • Oracle SecOpsによる監視 • エンドポイントは、特定の顧客、インフ ラストラクチャに関連するOracleテナン シの特定のコンパートメント SSL接続で保護されること • 監視データの暗号化 • URL内のOracleプライベート・ネーム スペース コントロールの補正 • Oracleのコーポレートの監督 • CSSAP for design • OSSA for code • 職務分掌 • 開発 • CSSAP(Corporate Security Solution Assurance Process ) • OSSA(Oracle Software Security Assurance) • Software QA • Operations • Security Operations • 調査の必要性を示唆する異常なデー タ量を推測するためのネットワーク・ス ループットのデータ 一時的なプライベート(シングルテナント)サービス接続 Copyright © 2024, Oracle and/or its affiliates 26

20. コントロール・プレーンでのロギングとフロント・エンドでのロギング 目的とデザイン • システム更新、インフラストラクチャ監 視、ログ収集を取得するObject Storageサービス • Infrastructure Monitoringメト リック(IMM)の記録と処理を行う

    Monitoring Service • 認可、認証のアイデンティティ・サービス • リソース・プリンシパル・ベースの認証と Autonomous Databaseサービス のデリバリー SSL接続で保護されること • サービス・アクセスの完全なURL • 監視データの暗号化 • 機密認証データ コントロールの補正 • 調査の必要性を示唆する異常なデー タ量を推測するためのネットワーク・ス ループットのデータ • Oracleのコーポレートの監督 • CSSAP for design • OSSA for code • 職務分掌 • 開発 • CSSAP • OSSA • Software QA • Operations • Security Operations 一時的なパブリック(マルチテナント)サービス接続 Copyright © 2024, Oracle and/or its affiliates 27

21. Exadata Database Service on Cloud@Customer • 保持される機能 • お客様のデータベースへのアクセス •

    お客様の仮想マシンへのアクセス • OCPU スケーリング • dbaascli, dbaasapi でのお客様の管理作業 • 標準的な Oracle Database や Linux ツールでのお客様の管理作業 • 一時中断される機能 • インフラストラクチャ管理 (VM クラスタ作成) • OCI インタフェースからの管理 (Web UI, OCI CLI, REST API/SDK, Terraform) • Oracle インフラストラクチャの監視(セキュリティ監視を含む) • Oracle Cloud オペレーションのメンテナンス(パッチ適用)およびセキュリティ対応のためのアクセス • スケジュールされたOracle クラウド・オートメーションのアクセス（パッチ適用など） CPS が OCI へのネットワーク接続を失った場合のレジリエンス Copyright © 2024, Oracle and/or its affiliates 28

22. ExaDB-C@C の OCI サービスへのプライベートアクセス Copyright © 2024, Oracle and/or its

    affiliates 29 お客様データセンター OCI Region ExaDB- C@C お客様 Tenancy Transit VCN Oracle Services Network ExaDB-C@C Service Endpoints WSS, Stunnel, Object Storage, 他. FastConnect or VPN Dynamic Routing Gateway Customer Premises Equipment Service Gateway

23. お客様テナンシーの OCI コンソールと OCI サービスへのプライベートアクセス Copyright © 2024, Oracle and/or

    its affiliates 30 お客様データセンター OCI Region Customer Staff and Apps お客様 Tenancy Transit VCN Console Authentication API, Object Storage, 他. FastConnect or VPN Dynamic Routing Gateway Customer Premises Equipment Service Gateway Network Sources Policy

24. • CPS には ExaDB-C@C のラック毎に、50 Mbps / 10 Mbps のダウンロード/アップロードのネットワーク帯域が必要

    • CPS はインバウンドの TCP 接続は不要 • CPS は OCI への TCP/443 のアウトバンド接続が必要 • Details in the Network Requirements for Oracle ExaDB-C@C product doc • Site-to-Site VPN と OCI Transit VCN をサポート • Details in Private Access to Oracle Services product doc • お客様の http プロキシ・サーバーがサポートされます（例：パッシブ・プロキシ・サーバー、企業プロキシ・サーバーなど） • お客様の https プロキシーサーバー、チャレンジ認証を必要とするプロキシー、トラフィック・インスペクションはサポートされない • CPS にはお客様によって準備される DNS および NTP サービスが必要 • 詳細は以下のマニュアル Network Requirements for Oracle Exadata Cloud@Customer CPS (Control Plane Server) ネットワーク・アクセス要件 Copyright © 2024, Oracle and/or its affiliates 31

25. Copyright © 2024, Oracle and/or its affiliates リモート・オペレーター・アクセス・セキュリティ 概要とセキュリティ・コントロール 32

26. • 職務分掌 • ExaDB-C@C サポート・ロールは、オラクル社のサポート・スタッフに踏み台サーバーへのアクセスを承認 • 踏み台サーバー・オペレーター・ロールは、踏み台サーバーへの管理アクセスを承認 • オラクル社の一人のスタッフが両方のロールをもつことは許可されていない（職務分掌） •

    踏み台サーバーのアクセス・セキュリティ • FIPS 140-2 準拠のワンタイム・パスワードを介した特定のユーザのみのアクセス • クラウド・テナンシー ID 監査により許可された接続を確認 • オラクル社は踏み台サーバーへのすべてのアクセスをログし監査 • コントロール・プレーン・サーバーのアクセス・セキュリティ • FIPS 140-2 準拠のワンタイム・パスワードを介した特定のユーザのみのアクセス • オラクル社はコントロール・プレーン・サーバーへのすべてのアクセスをログし監査 Oracle社のオペレータ・アクセスに対するオラクルのコントロール Copyright © 2024, Oracle and/or its affiliates 33

27. • オラクル社ファシリティへの入場に電子フォト ID アクセスカードが必要 • セキュリティ・レベルの高いフロアと部屋へのアクセスには、より高度なアクセス許可が ID カードに必要 • ビル内のクローズドな監視モニター

    • 社員の入社・退社・異動プロセスは Oracle Identity Manager でコントロール • 資格付与は人事システムと部署ロールと統合 • オラクル・ファシリティ外からのアクセス • ExaDB-C@C リソースへのサービス提供のためにはオラクル社の企業 VPN アクセスが必要 • VPN アクセスのための多要素認証 オラクル社員のアクセス・セキュリティ Copyright © 2024, Oracle and/or its affiliates 34

28. Exadata Database Service on Exadata Cloud@Customer • オラクルのスタッフはお客様の VM、サービス、データへのアクセスは認可されていない •

    お客様が VM、サービス、データへのアクセスをコントロール • 特定のユーザーが多要素認証にて ssh 経由で踏み台サーバー、 Control Plane Server へアクセス • FIPS 140-2 準拠のワンタイム・パスワード • 管理ネットワークを介したトークンベース ssh による特権アクセス • Exadata Database Server、Exadata Storage Server、その他の Oracle 管理のインフラ オラクル社のリモート・オペレータ・アクセスのセキュリティ Copyright © 2024, Oracle and/or its affiliates 38 Exadata Storage Server Exadata Database Server Admin VCN Secure Tunnel Service ExaDB-C@C OCI Bastion and Management Server Implementation ssh port 22 over mgmt net ssh port 22 ssh port 22 Control Plane Server TLS 1.2 TCP 443 Oracle Cloud Network Attach (OCNA) Secure Tunnel Initiation

29. Exadata Database Service on Exadata Cloud@Customer • クラウド・オートメーションによるお客様 VM とデータベースへのアクセス

    • お客様の VM とデータベースへのパッチ適用、バックアップ、リストア • ASM ストレージおよびお客様 VM のメモリの割当てとサイズ変更 • お客様 VM の SSH 鍵管理 • クラウド・オートメーションの、アクセスするコンポーネントに基づくセキュアなアクセス方法 • Database Cloud Services (DBCS) agent への、ストレージ・ネットワークにおける 7060/7070 番ポートによる mTLS を利用したセキュア な接続 • お客様 VM への、管理用ネットワークにおける 22 番ポートによるトークンベース ssh を利用したセキュアな接続 • お客様データベースへの、オラクル・ユーザー・アカウントからの OS 認証を利用したセキュアな接続 • オラクルとお客様のコントロールにより、アクセス方法を管理 • お客様テナンシーにはお客様の IAM によるコントロール • お客様データベースにはお客様データベースによるコントロール • お客様 VM にはお客様 VM によるコントロール • ssh 鍵、セキュア・トンネル、mTLS についてはオラクルによるコントロール クラウド・オートメーションでのアクセス・セキュリティ Copyright © 2024, Oracle and/or its affiliates 39

30. Copyright © 2024, Oracle and/or its affiliates お客様のセキュリティ・コントロール 40

31. Exadata Database Service on Cloud@Customer • 業界で実績のあるセキュリティ技術から構成 • Oracle Database、

    Exadata、 OCI • 完全なライフサイクル・マネジメント • セキュアなデプロイメント、セキュアなメンテナンスとオペレーション、セキュアな環境削除 • エンド・ツー・エンドのデータ保護 • 通信中、処理中、格納中 • マルチレイヤーでのアプローチ • スタックを通じてポリシー・コントロールとテクニカル・コントロールを介して実装 • オラクル社のスタッフとお客様の職務分離 多層防御ストラテジー Copyright © 2024, Oracle and/or its affiliates 41

32. Exadata Database Service on Cloud@Customer • Exadata は業界で最もセキュアなデータベース・プラットフォーム • 数千社のお客様、数百人の専門家、世界中のミッション・クリティカルなシステムでの利用

    • 標準の設定 • 最小のパッケージと最小の稼働サービス • トークンベースの SSH アクセス • ローカルでの syslog 監査 • パスワード保護されたウォレットに格納されたローカル TDE キー • 職務分掌 • お客様がお客様 VM 、データベースおよびデータベースのデータへのアクセスをコントロール • オラクル社はインフラストラクチャへのアクセスをコントロール • FIPSのオプション • お客様は Oracle Linux のマニュアルに従ってお客様VMの Oracle Linux FIPS モードを設定可能 • お客様は Oracle データベースのマニュアルに従ってOracleデータベースの FIPS モードを設定可能 セキュリティ概要 Copyright © 2024, Oracle and/or its affiliates 42

33. Exadata Database Service on Cloud@Customer • お客様は root アクセスが可能で、root パスワードを管理

    • root パスワードは Oracle クラウド・オペレーションと共有不要 • お客様はエージェントのインストールが可能で、監査ログを設定可能 • お客様のローカル・プロセスとポリシーの実装が可能 • お客様の SIEM（Security Information and Event Management）サーバーにログを送信可能 • お客様は特定のユーザー認証の実装が可能 • お客様の既存のセキュリティ・ベスト・プラクティスの実装が可能 • お客様は VM にネットワーク・ファイアウオールを設定可能 • ただし、クラウド・オートメーション機能へのアクセスを許可すること 基本的なお客様のセキュリティコントロール Copyright © 2024, Oracle and/or its affiliates 43

34. Exadata Database Service on Cloud@Customer • Oracle Native ネットワーク暗号化 •

    クライアントとデータベース間のデータ通信を暗号化で保護 • TDE 暗号化 • 鍵はお客様管理のキーストアに保管可能（Oracle Key Vaultなど） • Data Masking • 特定のユーザーとロールのための、きめ細かいデータ・アクセス・コントロール • Database Vault • DBA特権ユーザーのデータ・アクセスを不可として、特定のユーザーにのみデータ・アクセス可能に • ExaDB-C@C VM クラスタ • お客様 VM の OS レベルでのワークロードの分離とアクセス・コントロール • 先進のデータベース・セキュリティ機能 • Oracle Database Redaction、Oracle Data Masking and Subsetting、Oracle Label Security さらなるお客様のセキュリティコントロール Copyright © 2024, Oracle and/or its affiliates 44

35. Exadata Database Service on ExaDB-C@C • 顧客スタッフが顧客VMのコンソール・ログインにアクセスする方法 3ステップのプロセス: • コンソール・プロンプトへのSSHアクセス用にSSHトンネルおよび一時アカウントを構成するOCIクラウド

    API • sshトンネルを介したコンソール・プロンプトへの鍵ベースのssh認証 • コンソール・アクセスのVMコンソール・プロンプトでユーザー名/パスワードを指定 • 2つの接続ポイント: • ポート443で顧客デバイスからExaDB-C@CのOCIサービス・エンドポイントへのsshアクセス • OCIクラウド・シェル • OCIネットワーク・ソースをサポートし、VMコンソールに接続できるソースIPアドレスおよびVCNを制御 Customer Console Access to Customer VM Copyright © 2024, Oracle and/or its affiliates 45

36. 客様 VM への SSH Tunnel の作成 Copyright © 2024, Oracle

    and/or its affiliates 46

37. お客様のデバイスからOCIエンドポイントへのSSHを経由したお客様VMへの接続 Copyright © 2024, Oracle and/or its affiliates 47

38. OCI Cloud Shell を利用したお客様VMへの接続 Copyright © 2024, Oracle and/or its

    affiliates 48

39. Oracle Databasesが稼働している場所に不可欠な セキュリティ・サービスの統合セットを提供 • オンプレミス • Oracle Cloud • Oracle

    Cloud at Customer • サードパーティのクラウド(AWS EC2やAzureなど) クラウド・サービス- すぐに価値を提供することが可能 特別なセキュリティ専門知識は不要 Oracle Data Safe Copyright © 2024, Oracle and/or its affiliates 49 Audit Users Discover Assess Mask E すべてのOracle Databasesで利用可能- クラウドとオンプレミス SE EE Feb 09, 2024

40. データベース監査ポリシーの実装 • 事前定義済監査ポリシー • レコードの取得と保持 • 活動レポートの表示 本番データベースの保護 • データベース・セキュリティの評価

    • リスクの高いユーザーの特定 • 構成ドリフトの検出 機密データの識別 • スキーマをスキャンして機密データ を取得 • 機密データ・レポートの生成 • マスキングのための機密データ・ モデルの生成 機密データのマスキング • 大規模データベース用の高効率 なマスキング • RESTfulプロセス自動化のため のAPI • Oracle E-Business Suiteで サポートされているテンプレート Data Safe ユースケース Copyright © 2024, Oracle and/or its affiliates 50 Feb 09, 2024

41. 鍵を玄関マットの下に隠さないでください Copyright © 2024, Oracle and/or its affiliates 53 •

    オラクルのフォレンジック調査による 2 つの主要なセキュリティ違反の理由 • 特権アカウントへの脆弱なパスワード • 既知の脆弱性へのパッチの未適用 • オラクルのクラウド・オートメーションで以下を実行 • 特権ユーザーへの強固なパスワードへの強制 • データベースを最もセキュアな状態に維持

42. セキュリティ・モニタリングに対するチームでのアプローチ Copyright © 2024, Oracle and/or its affiliates 60 •

    オラクルまたはお客様のいずれかが不正なイベントがあったと疑う場合、サポートデータを収集し、 My Oracle Support にサービス・リクエストを記録してレビューを開始 • 両方のチームから提供されたすべてのデータを使用して、問題を切り分け、結論を導き、根本原因を 突き止め、必要に応じて修正 • セキュリティ関連の Oracle のサービス・リクエストへのアクセスは厳しく制限されています (この件の関係者のみがアクセス可能) • 対象の SR に直接関与していないオラクル社員は、もし見ようとしてもアクセスが拒否される Monitoring/Event Mgt Incident Mgt Problem Mgt Change Mgt Configuration Mgt Knowledge Base Service Reporting Cloud Operations System Management LOGS MOS LOGS Customer System Management Monitoring/Event Mgt Incident Mgt Problem Mgt Change Mgt Configuration Mgt Knowledge Base Service Reporting

43. Copyright © 2024, Oracle and/or its affiliates クラウド・オートメーションと管理 61

44. DBA と IT の課題に関する数字 データベース管理に関するワークロードは転換点に近づいている。 データベース管理者へのオラクルによる調査によると、39% の DBA が 50

    以上のデータベースを管理、95% の IT プロフェッショナルが手動で データベースを作成およびアップデートを実施している。 多くの DBA は、非計画停止を経験しており、 複数の管理および バックアップ・ツールを利用していくことに苦労している。 保守 vs イノベーション IT 予算の 72% が単に既存の IT システムの保守費用に使用され、 残り 28% がイノベーションに使用されている。 今日の DBA はオートメーションが必要 Copyright © 2024, Oracle and/or its affiliates 62 DBA のワークロードは増加: 39% の DBA が 50 以上 のデータベースを管理 自動化の欠如: 95% の DBA が手動でデータベースを 作成およびアップグレード 78% の DBA がテストをし ていないデータベースの変更 により非計画停止を経験 DBA と IT スタッフは完全な保護 を提供するのに苦労: 2/3 の組織が複数ツールを利用し て１つのデータベースをバックアップ の IT 予算が保守費用で 残りがイノベーション 基幹業務からのサービス需要 に対応 パフォーマンス SLA、 セキュリティ、コンプライアンス、 可用性の確保

45. • Database および Grid Infrastructure • 作成、削除、起動、停止、再起動 • バックアップ、リストア •

    パッチ適用とロールバック • Oracle ホームの共有 • 異なる Oracle ホームへの DB の移動 • DB の同期 • Data Guard セットアップ、スイッチオーバー、 スイッチバック • Data Guard フェイルオーバーとフェイルバック • Transparent Data Encryption • Oracle Native Network Encryption • RAC ノード・データベース・サブセッティング (CLI ツールによる) • 仮想マシン (VM) クラスタ • ExaDB-C@C ラックあたりの複数 VM クラスタ • 作成、削除、起動、停止、再起動 • メモリー、ローカル・ストレージ、 Exadata Storage のスケーリング • OCPU スケーリング • Control Plane オフライン時の OCPU スケーリング • SSH アクセス・トークンのインストール • ライセンス・モデルの変更 • ExaCLI でのストレージ構成・情報取得 • パッチ適用、ロールバック、アップグレード (CLI ツールによる) 主なクラウド・オートメーション機能 Copyright © 2024, Oracle and/or its affiliates 63

46. 管理インタフェース Copyright © 2024, Oracle and/or its affiliates 64 •

    Oracle Cloud Infrastructure コンソール • https によるブラウザ・アクセス (ワンタイム・アクションやアドホックなタスクに最適) • Software Development Kit (SDK) • OCI サービスに統合するアプリケーションの開発とデプロイ • Java, Python SDK, Ruby SDK, Go SDK, Ansible SDK • OCI Command Line Interface (OCI CLI) • GUI よりも CLI を好む開発者などの方にとって便利 • Oracle Cloud Shell • OCI コンソールから利用可能なOCI CLI • Terraform • お客様の IT インフラストラクチャをコードとして管理

47. クラウド・オートメーションによる標準化 Copyright © 2024, Oracle and/or its affiliates 65 •

    Exadata Database Service on Cloud@Customer のデプロイメントの標準化 • インフラ、VM、データベースのセキュア化、管理、アップデート • 自動での TDE と MAA ベストプラクティスの実装 • バックアップ、リストア、およびパッチ適用 • DBA リソースを解放し、ビジネスを促進 • データを用いて競合優位となる戦略的なアドバイザー • アプリケーションと SQL チューニング、レポートの最適化 • Oracle Database と Exadata 機能のすべてを活用することでのアドバンテージ

48. Thank you 日本オラクル株式会社 66 Copyright © 2024, Oracle and/or its

    affiliates

49. Oracle Exadata Database Service on Cloud@Customer (ADB-C@C) Security Principles Exadata

    Product Management Sep 06, 2024

50. Autonomous Database on Exadata Cloud@Customer 役割と責任 Copyright © 2024, Oracle

    and/or its affiliates 68 オラクル・クラウド・プラットフォーム お客様 / テナント・インスタンス オラクルクラウド オペレーション お客様 オラクルクラウド オペレーション お客様 監視 インフラストラクチャ, コント ロール・プレーン, Exadata Database Server の障害, 可用性, 容量 オラクル・インフラストラクチャ・ マネジメント・メトリックをオラク ルへ送信するためのネット ワーク・アクセスを提供 お客様サービスのお客様モニタリ ングのためのインフラストラクチャの 可用性 なし インシデント管理、 解決 インシデント管理と改善 スペア・パーツとエンジニアの ディスパッチ オンサイトの切り分けのアシス タント（例；ネットワーク・ト ラブルシューティング） プラットフォームに関連のあるイン シデントのサポート お客様アプリケーションのインシデン ト管理と解決 パッチ管理 ハードウエア、Iaas/PaaS コ ントロール・スタックへのプロア クティブ・パッチ適用 オラクル・インフラストラクチャ へのパッチ提供のためのネット ワーク・アクセスを提供 適用可能なパッチのステージング (例；Oracle DB パッチセット) なし バックアップと リストア インフラストラクチャ、コント ロール・プレーン、Database Server のバックアップとリカバ リ なし 稼働していて、お客様アクセス可 能な VM の提供 なし クラウド・サポート オラクルが管理するインフラス トラクチャに関する事象の対 応と解決 なし お客様がアクセス可能なサービス の SR への対応と解決 お客様がアクセス可能なサービスの、 サポート・ポータルを通じた SR の ファイル

51. Autonomous Database on Exadata Cloud@Customer • お客様とオラクルのスタッフは同じシステムでコントロールされた環境で作業します • Database Vault、Oracle

    Native Network Encryption, Transparent Database Encryption • お客様はデータべースの接続とデータベースのデータにアクセスすることが認可されています • 完全なユーザ・レベルでのアクセス、完全なユーザ・データへのアクセス制御、システム・アカウントにはアクセス不可 • お客様はお客様のポリシーと手順に従ってデータベースをオペレートします • Database Vault、データベース・スキーマ、ユーザ鍵の管理と監視 • オラクルのスタッフは Autonomous Database の管理のみが認可されています • Exadata Database Server および Storage Server、ストレージ・ソフトウェア、ネットワーク、ファームウェア、 ハイパーバイザーなど • 自動化されたデータベースおよび VM アップデート、バックアップ、リストアの実施 • データベースのパッチ適用とロールバック • RAC (Real Application Clusters) と ASM の構成、VM 管理など • オラクルのスタッフはお客様データへのアクセスは認可されていません セキュアなオペレーションと管理 Copyright © 2024, Oracle and/or its affiliates 69

52. Customer Managed L2 Connections Exadata Storage Server Exadata Database Server

    DB Control Plane DBaaS UI/API Customer OCI Tenancy Oracle Admin VCN Customer Data Center お客様 ユーザー/ アプリケーション https TCP 443 IMM Feed Automation Access mTLS https port 7076/7070 Control Plane Server Secure Outgoing Tunnel Client Customer VM DB Agent ssh port 22 SQL*Net port 1521 Customer software Layer 2 VLAN Persistent Automation Secure Tunnel TLS 1.2 TCP 443 Image Server http get port 80 Monitoring Service IMM https TCP 443 Identity Management Object Storage Service Patch Staging https TCP 443 Identity https TCP 443 Exadata Database Service における ポートとプロトコル 70 port 22 Automation Tunnel Initiation Secure Operator Tunnel Service Secure Operator Tunnel Client Temporary Operator Secure Tunnel TLS 1.2 TCP Port 443 Identity Service Secure Outgoing Tunnel Service Monitoring Agent Logging Agent Identity https TCP 443 Logging Service Copyright © 2024, Oracle and/or its affiliates

53. Customer Managed L2 Connections Exadata Storage Server Exadata Database Server

    DB Control Plane DBaaS UI/API Customer OCI Tenancy Oracle Mgmt VCN for ADB Customer Data Center Customer User/App https TCP 443 mTLS https port 7076/7070 Control Plane Server Secure ADB Tunnel Client ADB VM Cluster DB Agent SQL*Net Ports 1521, 2484 Layer 2 VLAN Persistent Automation Secure Tunnel TLS 1.2 TCP 443 セキュアADBトンネルは常時存在 Autonomous Database Service on ExaDB-C@C における ポートとプロトコル Copyright © 2024, Oracle and/or its affiliates 71 Automation Tunnel Initiation Secure ADB Operator Tunnel Service Secure Operator Tunnel Client Temporary Operator Secure Tunnel TLS 1.2 TCP Port 443 Secure ADB Tunnel Service

54. Autonomous Database on Exadata Cloud@Customer • 保持される機能 – Autonomous Database

    内部で動作している機能 • お客様のデータベースへのアクセス • 自動チューニング機能 • 自動索引機能 • 一時中断される機能 – Cloud インタフェースを必要とする機能 • 新規プロビジョニング • 自動スケーリングの有効化/無効化 • パッチ適用 CPS が OCI へのネットワーク接続を失った場合のレジリエンス Copyright © 2024, Oracle and/or its affiliates 72

55. Autonomous Database Service Overlay • オラクルのスタッフはお客様のデータベース・データへのアクセスは認可されていません • Oracle Database Vault、Transparent

    Data Encryption、Oracle Native Network Encryption • 特定のユーザーが多要素認証にて ssh 経由で踏み台サーバー、 Control Plane Server へアクセス • FIPS 140-2 準拠のワンタイム・パスワード • 管理ネットワークを介したトークンベースによるインフラストラクチャと Autonomous VM への特権アクセス • Exadata C@C Infrastructureへのアクセス無し • OS 認証による特権 (SYSDBA) データベース・アクセス オラクル・リモート・オペレータ・アクセスのセキュリティ Copyright © 2024, Oracle and/or its affiliates 73 Exadata Database Server Management VCN Secure Tunnel Service ExaDB-C@C OCI Bastion Server Keystroke Logging ssh port 22 ssh port 22 Control Plane Server TLS 1.2 TCP 443 Oracle Cloud Network Attach (OCNA) Secure Tunnel Initiation ADB VM SYSDBA

56. Autonomous Database Service on Exadata Cloud@Customer • クラウド・オートメーションによる ADB VM

    とデータベースへのアクセス • Autonomous VM とデータベースへのパッチ適用、バックアップ、リストア • ASM ストレージおよび Autonomous VM のメモリの割当てとサイズ変更 • オラクル・オペレーターによるアクセス用の SSH 鍵管理 • クラウド・オートメーションのアクセス方法 • Database Cloud Services (DBCS) agent への、ストレージ・ネットワークにおける 443 番ポートによる mTLS を利用したセキュアな接続 • Autonomous VM への、管理用ネットワークにおける 22 番ポートによるトークンベース ssh を利用したセキュアな接続 • Autonomous Database への、オラクル・ユーザー・アカウントおよび Database Vault からの OS 認証を利用したセキュア な接続 • オラクルとお客様のコントロールにより、アクセス方法を管理 • データベース・プロビジョニングには、お客様テナンシーでのお客様 IAM によるコントロール • オラクル管理サービス・アカウントからデータを隔離するために Database Vault のお客様によるコントロール • データへのアクセスには、お客様データベースでのお客様データベースによるコントロール • Autonomous VM クラスタでのオラクルによるアクセス・コントロール • ssh 鍵、セキュア・トンネル、mTLS のオラクルによるコントロール クラウド・オートメーションでのアクセス・セキュリティ Copyright © 2024, Oracle and/or its affiliates 74

57. Autonomous Database on Exadata Cloud@Customer • Exadata は業界で最もセキュアなデータベース・プラットフォーム • 数千社のお客様、数百人の専門家、世界中のミッション・クリティカルなシステムでの利用

    • 標準の設定 • 最小のパッケージと最小の稼働サービス • トークンベースの SSH アクセス • ローカルでの syslog 監査 • パスワード保護されたローカル TDE キー・ウォレット • 職務分掌 • お客様が Database Vault を介してデータベース・データへのアクセスをコントロール • オラクル社はインフラストラクチャおよび特権データベース・アカウント (例 SYSDBA) へのアクセス をコントロール セキュリティ概要 Copyright © 2024, Oracle and/or its affiliates 75

58. Autonomous Database on Exadata Cloud@Customer • お客様は Oracle Database のデータベース・データへのユーザ・アクセスをコントロール

    • Advanced Security Option を含む • お客様は Oracle サービス・アカウント・データをコントロール • オラクルはサービス・アカウントへのアクセスをコントロール • お客様はデータベースに対して Oracle Database 互換の特定のユーザ認証を設定可能 • お客様の既存のセキュリティ・ベスト・プラクティスの実装が可能 基本的なお客様のセキュリティコントロール Copyright © 2024, Oracle and/or its affiliates 76

59. Autonomous Database on Exadata Cloud@Customer • Oracle Native ネットワーク暗号化 •

    クライアントとデータベース間のデータ通信を暗号化で保護 • TDE 暗号化 • 鍵はお客様管理のキーストアに保管可能 • Data Masking • 特定のユーザーとロールのためのきめ細かいデータ・アクセス・コントロール • Database Vault • 特権ユーザーのデータ・アクセスを不可として、特定のユーザーにのみデータ・アクセス可能に • 先進のデータベース・セキュリティ機能 • Redaction、Masking、サブセッティング、ラベル・セキュリティ さらなるお客様のセキュリティコントロール Copyright © 2024, Oracle and/or its affiliates 77

60. Q & A Copyright © 2024, Oracle and/or its affiliates

    78

61. 補足 Copyright © 2024, Oracle and/or its affiliates 79

62. ケース1：お客様はお客様のVMにログインできる場合 • お客様が障害を示すサービスリクエスト（SR）を開きます • お客様またはOracleが共有セッションを開き、SRにセッション情報を示します • オラクルと顧客スタッフは、SRから共有セッション情報にアクセス • お客様は、お客様の資格情報を使用してお客様のVMにアクセス •

    お客様は、Oracleスタッフの指示に従って問題を解決するコマンドを入力するか、OracleスタッフがVM セッションのキーボード入力を制御することを許可 • お客様は診断情報でSRを更新 • オラクルのスタッフがSRを解決情報で更新 例外ワークフロー–顧客VMへのOracleスタッフのアクセス Copyright © 2024, Oracle and/or its affiliates 80

63. ケース2：お客様がお客様のVMにログインできない場合 • お客様が次の記載でサービスリクエスト（SR）を開きます • SR Title: SR granting Oracle explicit

    permission to access DomU of ExaCC with serial number AKXXXXXXXXX • SR Content: We are opening this SR to grant explicit permission to Oracle to access our DomU in order for support to help resolve issue described in SR# XXXXXXXX. We acknowledge that by providing this permission, we understand that Oracle will have access to ALL FILES in DomU and agree that there are no confidential files stored in any of the file systems in DomU. In addition, we also agree that customer security team has authorized Oracle to have access to customer DomU in order to resolve the issue described in the above SR. • オラクルまたはお客様は共有セッションを開き、SRで共有セッション情報を提供 • Oracleとお客様の両方が共有セッションにアクセスすると、OracleはOpCtlフルアクセスケージを使用してお客様の VMにアクセスし、問題を解決 例外ワークフロー–顧客VMへのOracleスタッフのアクセス Copyright © 2024, Oracle and/or its affiliates 81

64. セキュリティとコンプライアンスのリスクは、主にデータ・プライバシー、内規、外部の規制への懸念から、お客様がエンタープライ ズ・アプリケーションをクラウドに適用される際の懸念材料としてトップとして位置づけられています。Oracle Managed Cloud Service (OMCS) はオラクルの PaaS と IaaS

    クラウドのお客様に、セキュリティとコンプライアンスのニーズに対応するための 選択肢として Managed Security Service (MSS) オプションを提供します。 MSS サービスの 3 つの主要な機能と効果は以下になります • ライフサイクル・マネージメント: Oracle MSS チームは MSS ポートフォリオにおけるすべてのサービスを実装、管理、監 視します。セキュリティ・サービス・マネージャーが MSS プロジェクトの管理、サービス提供、お客様の質問への対応のために アサインされます • ターンキー・サービス: お客様はサブスクリプション・モデルで MSS サービスを活用できます。Capex の投資は不要です。 • Oracle by Oracle: Oracle MSS は 12 年以上にわたって、Oracle 顧客に対するセキュリティ・サービスとソリュー ションの提供をしてきた専門知識があります。お客様は MSS がもたらす規模の経済のメリットを受けられます Exadata Database Service on Cloud@Customer 追加サービス Copyright © 2024, Oracle and/or its affiliates 82

65. MSS Service Offering OCI IaaS/PaaS OCI - C IaaS/PaaS On

    Premise Oracle Cloud @Customer Oracle SaaS Hybrid Identity Cloud Service/Managed IDCS/Managed CASB HICS CASB IDCS Infrastructure Vulnerability Assessment 1 Web Application Vulnerability Assessment (WAS) 2 Web Application Firewall Database Security Risk Assessment Database Encryption Service Database Vault Service Data Masking Service Database Auditing Service GxP Validation Security Services Fusion SaaS Incremental to base PaaS capabilities Limited in Scope Not Available at this time Full Service Availability Oracle Managed Security Services Oracle クラウドのお客様のための Managed Security Service Provider の選択 83 1 For large scale projects (100+ VMs/20+ DBs) only; 2 For Internet Facing Web Applications (COTS/Custom) Copyright © 2024, Oracle and/or its affiliates

66. • CPS は自動的に 443 番ポートによるアウトバウンド https TCP 接続を実施 • コーポレート・プロキシ経由での接続も可能

    • アクティブ CPS により接続 • スタンバイ CPS は、プライマリ CPS が障害の場合に、接続を再確立 • OCI VCN と ExaDB-C@C Control Plane Server (CPS) 間の接続は常にレイ ヤー 7接続 • 任意のプロセスはレイヤー 3 での接続は不可 • ExaDB-C@C 管理ネットワークはお客様ネットワークからは完全に分離 • OCI から ExaDB-C@C インフラストラクチャへのすべての管理アクティビティは CPS の WS クライアントを通じて実行 • 保守および監査が容易 • 永続的な管理トンネルは、ExaDB-C@C インフラストラクチャで動作するエージェントに 対して、コントロールされた REST API コールをサポート 永続的な管理トンネル Copyright © 2024, Oracle and/or its affiliates 84 OCI データセンター CPS WS クライアント 管理 VCN WS サーバー お客様 データセンター アウトバウンド HTTPS インバウンド REST API コール

67. 1. Cloud Ops が ssh コマンドを発行し、ターゲット・シ ステムへアクセス 2. Cloud オートメーションが

    REAT API コマンドを送信 し、一時的なセキュア・オペレータ・トンネルを確立 3. ssh コマンドはターゲット・システムへトンネルを通じて 送信 4. Cloud Ops はタスクを実施 5. Cloud Ops は ssh セッションを終了 6. Cloud オートメーションはセキュア・オペレータ・トンネル を終了 SSH による一時的なオペレータ・トンネル Copyright © 2024, Oracle and/or its affiliates 85 OCI データセンター CPS WSクライアント 管理 VCN WS サーバー お客様 データセンター セキュア・ オペレータ ・ トンネル アウトバウンド HTTPS Stunnel を有効にする REST API コール Stunnel クライアント Stunnel サーバー インバウンド SSH

68. 86 Copyright © 2024, Oracle and/or its affiliates Exadata Database

    Service でのシングル VM クラスタにおける ネットワーク・アーキテクチャ (1) bondeth0 クラ イアントネットワー ク (2) bondeth1 バッ クアップネットワー ク (3) eth0 管理ネット ワーク (4) re0 ストレージ /RAC インターコネ クト (5) re1ストレージ /RAC インターコネ クト Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch お客様スイッチ Layer 2 VLAN 1 2 お客様スイッチ Layer 2 VLAN ExaDB-C@C Client Bond Backup Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth 5 vNIC SR-IOV 3 vNIC NAT 4 お客様 VM

69. セキュリティ詳細：顧客ネットワークへのクライアント接続 Copyright © 2024, Oracle and/or its affiliates 87 (1)

    bondeth0 クライアントネットワーク Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN 1 ExaDB-C@C Client Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure 1 vNIC Cust VM 1 お客様は、L2ネットワークスイッチ を直接コンピュートノードに接続 お客様は、このパスを介してVMコ ンポーネントにアクセス お客様が暗号化と認証を管理 Oracle Cloud Opsは、お客様 が特に支援を要求しない限り、お 客様のVMで操作を実行しません。 ユースケースは、お客様が sshd_confを編集時に失敗し、 ログインできない場合があります

70. 88 Copyright © 2024, Oracle and/or its affiliates セキュリティ詳細：カスタマーネットワークへのバックアップネットワーク接続 (2)

    bondeth1 バックアップネットワーク Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN 2 Customer Switch Internet Access ExaDB-C@C Backup Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 2 vNIC Cust VM 2 お客様は、L2ネットワークスイッ チを直接コンピュートノードに接 続 お客様は、このパスを介してVM コンポーネントにアクセス お客様が暗号化と認証を管理 カスタマークライアントトラフィック とバックアップトラフィックを分離 Oracle Cloud Opsは、顧客 データベースのバックアップを管 理しません。

71. 89 Copyright © 2024, Oracle and/or its affiliates セキュリティ詳細：クラウドツールのVMアクセス (3)

    eth0 管理ネットワーク Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN Customer Switch Internet Access ExaDB-C@C Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth 3 vNIC NAT Cust VM お客様の管理者は、お客様先からインター ネット経由でクラウドテナンシーに接続 お客様は、このパスを介してVMコンポーネ ントにアクセスし、CPU数の追加/削減など のOSコンポーネントを調整 カスタマーVMへのアクセスを必要とするアク ションは、Exadata Database Server からアクセス可能なカスタマーVMにNATア ドレスとして実装された内部管理ネットワー クを介してトークンベースのsshを介して実 行されます。 パブリックsshキーは一時的な ものであり、顧客が呼び出した管理アクショ ンの目的で生成され、顧客VMのoracle、 opc、およびrootユーザーの authorized_keysファイルに保存されま す。 プライベートsshキーは一時的に生成 され、顧客が呼び出す管理アクションの目 的で生成され、顧客のデータセンターに格 納されているExadataハードウェアで実行 されているOracle Cloud Automation ソフトウェアによってメモリに格納されます。

72. 90 Copyright © 2024, Oracle and/or its affiliates セキュリティ詳細：ストレージネットワークとRACインターコネクト (4)

    re0 ストレージ/RAC インターコネクト Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN 1 2 Customer Switch Internet Access ExaDB-C@C Backup Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth vNIC NAT 4 Cust VM お客様の管理者は、顧客企業からイ ンターネット経由でクラウドテナンシーに 接続します。 お客様は、このパスを介してVMコン ポーネントにアクセスし、環境のバック アップ、作成、またはパッチを適用する DBコンポーネントにアクセスします。 CPSプロキシはExaCCコンポーネント にコマンドを発行します カスタマーVMのデータベースサービスへ のアクセスを必要とするアクションは、 OCIコントロールプレーンとDB Agent 間のmTLS（ポート443）接続を介 してカスタマーVMで実行されているDB Agent に送信されます。 このmTLS 接続は、ExaCCラックのプライベート相 互接続ネットワークを介して実装されま す。 CloudOpsはデータベースサービスを 調整しません。

73. 91 Copyright © 2024, Oracle and/or its affiliates セキュリティ詳細：ストレージネットワークとRACインターコネクト (5)

    re1ストレージ/RAC インターコネクト Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN Customer Switch Internet Access ExaDB-C@C Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth 5 SR-IOV Cust VM お客様の管理者は、顧客企業からインター ネット経由でクラウドテナンシーに接続します。 お客様は、このパスを介してVMコンポーネン トにアクセスし、環境のバックアップ、作成、ま たはパッチを適用するDBコンポーネントにアク セスします。 CPSプロキシはExaCCコンポーネントにコマン ドを発行します カスタマーVMのデータベースサービスへのアク セスを必要とするアクションは、OCIコントロー ルプレーンとDB Agent間のmTLS（ポート 443）接続を介してカスタマーVMで実行さ れているDB Agent に送信されます。 この mTLS接続は、ExaCCラックのプライベート 相互接続ネットワークを介して実装されます。 CloudOpsはデータベースサービスを調整し ません。

74. 92 Copyright © 2024, Oracle and/or its affiliates セキュリティ詳細：CPSからOCIへのアウトバウンド接続 (6)

    オラクル社へのトンネル Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN Customer Switch Internet Access ExaDB-C@C Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth Cust VM 6 ローカル Control Planeは、https 、ポート443を介してREST API 呼び出しをSecure Outgoing Tunnel Serviceヘッドエンドに中 継し、DBaaS UIに接続された 「永続的なTLS1.2 HTTPSセキュ アトンネル」をインスタンス 化して、ExaCC Automationを有 効にします。 カスタマーパッシブプロキシ がサポートされています httpsプロキシ、チャレンジプ ロキシ、およびトラフィック インスペクションはサポート されていません CPSには、50 / 10 Mbpsのダウン ロード/アップロードネット ワーク帯域幅が必要です

75. 93 Copyright © 2024, Oracle and/or its affiliates Exadata Database

    Service でのシングル VM クラスタにおける ネットワーク・アーキテクチャ (1) bondeth0 クラ イアントネットワー ク (2) bondeth1 バッ クアップネットワー ク (3) eth0 管理ネット ワーク (4) re0 ストレージ /RAC インターコネ クト (5) re1ストレージ /RAC インターコネ クト (6) オラクル社への トンネル Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN 1 2 Customer Switch Internet Access ExaDB-C@C Client Bond Backup Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth 5 vNIC SR-IOV 3 vNIC NAT 4 Cust VM 6

76. Exadata Database Service でのマルチ VM クラスタにおける ネットワーク・アーキテクチャ Copyright © 2024,

    Oracle and/or its affiliates 94 物理リンクは Active/standby で bond された HA 構成 クライアントとバックアップ・ネットワークおよび VM クラスタ間を分離するための VLAN 管理ネットワーク間を分離するための Layer 2 ネットワーク ストレージおよびクラスタ・インターコネクト ・ ネットワーク間を分離するための Layer 2 ネットワーク (1) bondeth0 – クライアント・ネットワーク (2) bondeth1 – バックアップ・ネットワーク (3) eth0 – 管理ネットワーク (4) re0 – ストレージ/クラスタ・インターコネクト (5) re1 – ストレージ/クラスタ・インターコネクト Exadata DB Server お客様 VM 1 1 2 4 3 vNIC NAT お客様 VM 2 4 1 2 3 vNIC NAT Storage Networks Active/Standby Bond for Backup Network Active/Standby Bond for Client Network Storage Network Management Network VM 1 Client VLAN VM 1 Client Network VM 1 Backup VLAN VM 1 Backup Network VM 2 Backup VLAN VM 2 Backup Network VM 2 Client VLAN VM 2 Client Network 5 5 お客様スイッチ Layer 2 VLAN Storage Networks

77. 95 Copyright © 2024, Oracle and/or its affiliates Autonomous Database

    Service でのシングル VM クラスタにおける ネットワーク・アーキテクチャ (1) bondeth0 クライ アントネットワーク (2) bondeth1 バック アップネットワーク (3) eth0 管理ネット ワーク (4) re0 ストレージ /RAC インターコネク ト (5) re1ストレージ /RAC インターコネク ト Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN 1 2 Customer Switch Internet Access ExaDB-C@C Client Bond Backup Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth 5 vNIC SR-IOV 3 vNIC NAT 4 ADB VM