Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Exadata Database Service on Cloud@Customer セキュリティ、ネットワーク、および管理について

Exadata Database Service on Cloud@Customer セキュリティ、ネットワーク、および管理について

oracle4engineer
PRO

January 14, 2022
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. Oracle Exadata Database Service on Cloud@Customer (ExaDB-C@C) セキュリティ、ネットワーク、および管理について ⽇本オラクル株式会社 2022

    年 08 ⽉ 09 ⽇
  2. 2 Copyright © 2022, Oracle and/or its affiliates 1. コンプライアンス

    2. Oracleセキュリティポリシー 3. 役割と責任 4. ネットワークアーキテクチャと実装 5. カスタマーテナンシーセキュリティ 6. リモートオペレーターアクセスセキュリティ 7. Oracle Human Resources Security 8. 顧客のセキュリティ管理 9. Oracleセキュリティログ処理 10. 例外ワークフロー 11. Oracleセキュリティサービス 12. ライフサイクル管理のためのクラウド⾃動化 アジェンダ
  3. 3 Copyright © 2022, Oracle and/or its affiliates • ExaC@C

    は下記の「準拠証明書」(AoC (Attestations of Compliance) ) を取得しています • ISO 27001 • HIPAA • PCI DSS • SOC 1 • SOC 2 • SOC 3 • 認証はリクエストベースで提供されます コンプライアンス
  4. 4 Copyright © 2022, Oracle and/or its affiliates • お客様データの

    機密性 (confidentiality)、完全性 (integrity)、可⽤性 (availability) を保護 • 下記のセキュリティを含む • ⼈的資源、ネットワークとシステムへのアクセス制御、データ、 • サプライ・チェーン・マネージメント、ラップトップ、モバイル機器 • 下記のセキュリティ基準に準拠 • ISO/IEC 27002:2013 (formerly known as ISO/IEC 17799:2005) • ISO/IEC 27001:2013 • NIST • お客様はオラクル社のポリシーとお客様のポリシーを以下から⽐較可能 • https://www.oracle.com/corporate/security-practices/corporate/ Oracle セキュリティ・ポリシー
  5. Oracle Exadata Database Service on Cloud@Customer 役割と責任 Copyright © 2022,

    Oracle and/or its affiliates 5 オラクル・クラウド・プラットフォーム お客様 / テナント・インスタンス オラクルクラウド オペレーション お客様 オラクルクラウド オペレーション お客様 監視 インフラストラクチャ, コント ロール・プレーン, Database Server の障害, 可⽤性, 容量 オラクル・インフラストラクチャ・ マネジメント・メトリックをオラク ルへ送信するためのネット ワーク・アクセスを提供 お客様サービスのお客様モニタリ ングのためのインフラストラクチャの 可⽤性 お客様の OS, データベース、 アプリケーションの監視 インシデント管理、 解決 インシデント管理と改善 スペア・パーツとエンジニアの ディスパッチ オンサイトの切り分けのアシス タント(例︔ネットワーク・ト ラブルシューティング) プラットフォームに関連のある インシデントのサポート お客様アプリケーションの インシデント管理と解決 パッチ管理 ハードウエア、IaaS/PaaS コ ントロール・スタックへのプロア クティブ・パッチ適⽤ オラクル・インフラストラクチャ へのパッチ提供のためのネット ワーク・アクセスを提供 適⽤可能なパッチのステージング (例︔Oracle DB パッチセット) テナント・インスタンスへの パッチ適⽤/テスト バックアップと リストア インフラストラクチャ、コント ロール・プレーン、Exadata Database Server のバック アップとリカバリ お客様はインフラストラク チャ・コンポーネントのバック アップ・リストアの責任は無い 稼働していて、お客様アクセス可 能な VM の提供 オラクルまたはサード・パーティのツー ルを⽤いた、お客様の IaaS および PaaS データのスナップショット/バッ クアップ・リカバリ クラウド・サポート オラクルが管理するインフラス トラクチャに関する事象の対 応と解決 お客様はオラクルが管理する インフラストラクチャ・レイヤー については責任が無い お客様がアクセス可能なサービス の SR への対応と解決 お客様がアクセス可能なサービスの、 サポート・ポータルを通じた SR の ファイル
  6. Oracle Exadata Database Service on Cloud@Customer • お客様とオラクルのスタッフは同じ筐体の隔離された環境で作業します • 仮想マシン、仮想ネットワーク、ハイパーバイザー

    • お客様はお客様のサービスを運⽤管理することが認可されています • VM, データベース, Grid Infrastructure, エージェント, etc. • お客様はお客様のポリシーと⼿順に従ってサービスをオペレートします • データベース・スキーマ管理、ユーザー管理、鍵管理 • データベースの⾃動化されたアップデート、バックアップ、リストアの実⾏ • データベースと OS の監査ログ、OCI の監査サービスの構成 • お客様は Oracle クラウド・オートメーションを起動して、通常の DBA タスクを実⾏します • データベース作成、TDE(Transparent Data Encryption)、パッチ適⽤、バックアップ、リストアなど • RAC と ASM の構成、VM 管理など • オラクルのスタッフは Exadata インフラストラクチャの管理のみが認可されています • Exadata Database Server および Storage Server、ストレージ・ソフトウエア、ネットワーク、ファームウエア、 ハイパーバイザーなど セキュアなオペレーションと管理 Copyright © 2022, Oracle and/or its affiliates 6
  7. Autonomous Database on Exadata Cloud@Customer 役割と責任 Copyright © 2022, Oracle

    and/or its affiliates 7 オラクル・クラウド・プラットフォーム お客様 / テナント・インスタンス オラクルクラウド オペレーション お客様 オラクルクラウド オペレーション お客様 監視 インフラストラクチャ, コント ロール・プレーン, Exadata Database Server の障害, 可⽤性, 容量 オラクル・インフラストラクチャ・ マネジメント・メトリックをオラク ルへ送信するためのネット ワーク・アクセスを提供 お客様サービスのお客様モニタリ ングのためのインフラストラクチャの 可⽤性 なし インシデント管理、 解決 インシデント管理と改善 スペア・パーツとエンジニアの ディスパッチ オンサイトの切り分けのアシス タント(例︔ネットワーク・ト ラブルシューティング) プラットフォームに関連のあるイン シデントのサポート お客様アプリケーションのインシデン ト管理と解決 パッチ管理 ハードウエア、Iaas/PaaS コ ントロール・スタックへのプロア クティブ・パッチ適⽤ オラクル・インフラストラクチャ へのパッチ提供のためのネット ワーク・アクセスを提供 適⽤可能なパッチのステージング (例︔Oracle DB パッチセット) なし バックアップと リストア インフラストラクチャ、コント ロール・プレーン、Database Server のバックアップとリカバ リ なし 稼働していて、お客様アクセス可 能な VM の提供 なし クラウド・サポート オラクルが管理するインフラス トラクチャに関する事象の対 応と解決 なし お客様がアクセス可能なサービス の SR への対応と解決 お客様がアクセス可能なサービスの、 サポート・ポータルを通じた SR の ファイル
  8. Autonomous Database on Exadata Cloud@Customer • お客様とオラクルのスタッフは同じシステムでコントロールされた環境で作業します • Database Vault、Oracle

    Native Network Encryption, Transparent Database Encryption • お客様はデータべースの接続とデータベースのデータにアクセスすることが認可されています • 完全なユーザ・レベルでのアクセス、完全なユーザ・データへのアクセス制御、システム・アカウントにはアクセス不可 • お客様はお客様のポリシーと⼿順に従ってデータベースをオペレートします • Database Vault、データベース・スキーマ、ユーザ鍵の管理と監視 • オラクルのスタッフは Autonomous Database の管理のみが認可されています • Exadata Database Server および Storage Server、ストレージ・ソフトウェア、ネットワーク、ファームウェア、 ハイパーバイザーなど • ⾃動化されたデータベースおよび VM アップデート、バックアップ、リストアの実施 • データベースのパッチ適⽤とロールバック • RAC (Real Application Clusters) と ASM の構成、VM 管理など • オラクルのスタッフはお客様データへのアクセスは認可されていません セキュアなオペレーションと管理 Copyright © 2022, Oracle and/or its affiliates 8
  9. サービスアーキテクチャ Aug 09, 2022 Copyright © 2022, Oracle and/or its

    affiliates 9 お客様データセンター Exadata Infrastructure Control Plane Server (CPS) Infrastructure Oracle Cloud リージョン Oracle Service Tenancy お客様のクライアントアプリケー ション/管理者 (Oracle Net, SSH) お客様の管理者 (OCI Console, CLI, REST APIs) Oracle Cloud Operations (Console, REST APIs) Temporary Secure Operator Tunnel (outgoing) VCN Admin Your OCI Tenancy Service Management API Calls HTTPS Your Client/ Backup Networks VM Cluster HTTPS Persistent Secure Automation Tunnel (outgoing) SSH Bastion Server Management Server
  10. ネットワークサービスの統合 Copyright © 2022, Oracle and/or its affiliates 10 お客様データセンター

    Control Plane Server (CPS) Infrastructure Exadata Infrastructure お客様のクライアントア プリケーション/管理者 CPE DNS server NTP server Switch/ Router Switch/ Router Oracle Cloud リージョン VM Cluster Database Public Virtual Circuit (optional) Private Subnet (Backup) Private Subnet (Client)
  11. ラック概要図 Copyright © 2022, Oracle and/or its affiliates 11 お客様データセンター

    Client Networ k Backup Network Database Server VM Database Server VM 最⼤12台ま で拡張可能 なStorage Server Storage Server Storage Server Storage Server Management Network X9M-2 Quarter Rack データベースサ ーバーあたり 8VMまで
  12. VM Clusters と Database Servers 12 お客様データセンター VM Guest (X9M-2)

    最⼤ 62 OCPUs 最⼤ 1390 GB DRAM Hypervisor 2 OCPUs 16 GB RAM SSH Public Key Oracle Database すべてのオプション機能Oracle Grid Infrastructure Management Tools dbaascli, ExaCLI Users root, opc, oracle, grid Client Backup VM Guest (X9M-2) 最⼤ 62 OCPUs 最⼤ 1390 GB DRAM Hypervisor 2 OCPUs 16 GB RAM SSH Public Key Oracle Database すべてのオプション機能 Oracle Grid Infrastructure Management Tools dbaascli, ExaCLI Users root, opc, oracle, grid Client Backup Management network Storage Server Storage Server Storage Server Network fabric Network fabric ports Network fabric ports X9M-2 Quarter Rack Copyright © 2022, Oracle and/or its affiliates
  13. Storage Servers 13 Copyright © 2022, Oracle and/or its affiliates

    お客様データセンター Exadata Storage Server (X9M-2) Storage Server Flash Storage (25.6 TB raw) PMEM (1.5 TB) Exadata Storage Server (X9M-2) Storage Server Flash Storage (25.6 TB raw) PMEM (1.5 TB) Exadata Storage Server (X9M-2) Storage Server Flash Storage (25.6 TB raw) PMEM (1.5 TB) X9M-2 Quarter Rack Management network Client Network Backup Network Database Server Database Server DATA - HIGH redundancy 利⽤可能領域: 66.8 TB – 152.6 TB RECO - HIGH redundancy 利⽤可能領域 : 38.2 TB – 114.5 TB SPARSE – オプション - HIGH redundancy 利⽤可能領域 : 0 TB – 38.2 TB ASM disk groups 全領域サイズ Flash 76.8 TB 4.5 TB PMEM 全利⽤可能領域 90.8 TB Network fabric
  14. ネットワークインターフェース 14 Oracle Cloud リージョン お客様データセンター お客様のインターネット接続可能 なスイッチ Exadata Cloud@Customer

    Your Layer 2 VLAN Switch Database Server Storage Server Storage Network Switch Management Network Switch VCN Admin Control Plane Server VM 5 4 1 2 3 Backup bond Client bond vNIC vNIC NAT SR-IOV Management network Control plane server network Storage network Persistent Secure Automation Tunnel (outgoing) 次のインターフェースは、さまざまなネットワークをVMに接 続します。 1. クライアントネットワークのbondeth0 2. バックアップネットワーク⽤のbondeth1 3. 管理ネットワークのeth0 4. ストレージ/リアルアプリケーションクラスター(RAC) 相互接続のre0(VLANを介して分離) 5. ストレージ/ RAC相互接続のre1(VLANを介して 分離) Copyright © 2022, Oracle and/or its affiliates
  15. • CPS はインバウンドの TCP 接続は不要です • CPS は OCI への

    TCP/443 のアウトバンド接続を必要とします • OCI へのTCP ポート 443 接続: クラウド・オートメーション⽤ https 送信トンネルサービス • OCI へのTCP ポート 443 接続: リモートからのオラクル・オペレータ・アクセス⽤セキュア・トンネル・サービス • OCI へのTCP ポート 443 接続: アップデート取得⽤の Object Storage サービスとの接続 • OCI へのTCP ポート 443 接続: IMM (Infrastructure Monitoring Metrics) の記録と実⾏⽤の Monitoring サービスとの接続 • OCI へのTCP ポート 443 接続:オラクル・オペレーター認証⽤の Identity サービスとの接続 • OCI へのTCP ポート 443 接続:インフラストラクチャの監査と監視を⽬的としたOCIロギングサービスへ • お客様の http プロキシー・サーバーがサポートされます(例︓パッシブ・プロキシー・サーバー、企業プロキシー・サーバーなど) • お客様の https プロキシーサーバー、チャレンジ認証を必要とするプロキシー、トラフィック・インスペクションはサポートされません • CPS には 50 Mbps / 10 Mbps のダウンロード/アップロードのネットワーク帯域が必要です • CPS にはお客様によって準備される DNS および NTP サービスを必要とします • 詳細は以下のマニュアル Network Requirements for Oracle Exadata Cloud@Customer CPS (Control Plane Server) ネットワーク・アクセス要件 Copyright © 2022, Oracle and/or its affiliates 15
  16. 2022年の終わり︓36の地域が利⽤可能に Oracle CloudInfrastructureのグローバルフットプリント Copyright © 2022, Oracle and/or its affiliates

    16 ASHBURN PHOENIX SYDNEY CHICAGO TORONTO VINHEDO TOKYO SEOUL MUMBAI OSAKA MELBOURNE AMSTERDAM HYDERABAD JEDDAH DUBAI LONDON SAN JOSE, CA SINGAPORE SAUDI 2 UAE 2 SANTIAGO ISRAEL FRANKFURT ZURICH CHUNCHEON JOHANNESBURG US GOV ASIA SAO PAULO CARDIFF MONTREAL Commercial Government Microsoft Azure Interconnect
  17. Exadata Database Service on Cloud@Customer • 保持される機能 • お客様のデータベースへのアクセス •

    お客様の仮想マシンへのアクセス • OCPU スケーリング • dbaascli, dbaasapi でのお客様の管理作業 • 標準的な Oracle Database や Linux ツールでのお客様の管理作業 • ⼀時中断される機能 • インフラストラクチャ管理 (VM クラスタ作成) • OCI インタフェースからの管理 (Web UI, OCI CLI, REST API/SDK, Terraform) • Oracle インフラストラクチャの監視(セキュリティ監視を含む) • Oracle Cloud オペレーションのメンテナンス(パッチ適⽤)およびセキュリティ対応のためのアクセス CPS が OCI へのネットワーク接続を失った場合のレジリエンス Copyright © 2022, Oracle and/or its affiliates 17
  18. Autonomous Database on Exadata Cloud@Customer • 保持される機能 – Autonomous Database

    内部で動作している機能 • お客様のデータベースへのアクセス • ⾃動チューニング機能 • ⾃動索引機能 • ⼀時中断される機能 – Cloud インタフェースを必要とする機能 • 新規プロビジョニング • ⾃動スケーリングの有効化/無効化 • パッチ適⽤ CPS が OCI へのネットワーク接続を失った場合のレジリエンス Copyright © 2022, Oracle and/or its affiliates 18
  19. • オラクルは、ExaC@Cを管理するためのテナンシーをお客様に提供 • お客様は、オプションで、テナント内で他のOCIサービスを利⽤可能 • ExaC@Cリソースは、お客様のテナントから管理可能 • ExaC@Cサービスは他のOCIサービスと同様に管理 • Web

    UI、API / SDK、CLI、およびTerraformインターフェースがサポート • ID管理 • OracleのIAM(IDおよびアクセス管理)サービス • フェデレーションIAM • カスタマーテナンシーアカウントは、OCI API /コンソールインターフェースへのアクセスを提供 • カスタマーVMとカスタマーデータベースへのアクセスで異なるIDが使⽤することも可能 カスタマーテナンシー概要 Copyright © 2022, Oracle and/or its affiliates 19
  20. • ネットワーク・ソースの制限 • お客様テナンシーへの認証を許可する IP アドレス (レイヤー 3)をコントロール • お客様ユーザ資格証明

    • コンソール・パスワード、API 署名キー、認証トークン、顧客秘密キー、Oauth 2.0、SMTP 資格証明 • 多要素認証(MFA)とフェデレーテッド・アイデンティティ管理 • コンパートメント • OCI リソースに対する論理的なセキュリティ・パーティション • ポリシー・ベースのアクセス制御 • お客様がコンパートメントの特定のリソースを適切な⽅法で作業するグループを定義 • お客様が職務に必要なグループにユーザーを割り当て • OCI Logging Service と Audit Service • お客様テナントのすべてのアクションの記録、SIEM (Security Information and Event Management) 統合の API サポート お客様テナンシーのアクセスとログのコントロールの概要 Copyright © 2022, Oracle and/or its affiliates 20
  21. • Oracle IAM は アイデンティティ・プロバイダとのフェデレーションをサポート • Oracle Identity Cloud Service、Microsoft

    ADSF、その他 SAML 2.0 に準拠するプロバイダ • 監査およびロギング • Oracle Cloud Infrastructure Audit サービスはすべての API コールとログインを記録 • すべてのユーザ・アクティビティが監視可能 • Oracle Cloud Access Security Broker サービスはすべての OCI アクセスに対して AI ベースの 監視を提供 • (参考情報) Oracle Cloud Infrastructure Security Architecture https://www.oracle.com/a/ocom/docs/oci-security.pdf https://www.oracle.com/jp/a/ocom/docs/oracle-cloud-infrastructure-security- architecture-ja.pdf お客様テナンシーのアクセス・セキュリティ Copyright © 2022, Oracle and/or its affiliates 21
  22. • 職務分掌 • ExaC@C サポート・ロールは、オラクル社のサポート・スタッフに踏み台サーバーへのアクセスを承認 • 踏み台サーバー・オペレーター・ロールは、踏み台サーバーへの管理アクセスを承認 • オラクル社の⼀⼈のスタッフが両⽅のロールをもつことは許可されていません •

    踏み台サーバーのアクセス・セキュリティ • FIPS 140-2 準拠のワンタイム・パスワードを介した特定のユーザ • クラウド・テナンシー ID 監査により許可された接続を確認 • オラクル社は踏み台サーバーへのすべてのアクセスをログし監査 • コントロール・プレーン・サーバーのアクセス・セキュリティ • FIPS 140-2 準拠のワンタイム・パスワードを介した特定のユーザ • オラクル社はコントロール・プレーン・サーバーへのすべてのアクセスをログし監査 オペレータ・アクセスに対するオラクルのコントロール Copyright © 2022, Oracle and/or its affiliates 22
  23. • オラクル社ファシリティへの⼊場に電⼦フォト ID アクセスカードが必要 • セキュリティ・レベルの⾼いフロアと部屋へのアクセスには、より⾼度なアクセス許可が ID カードに必要 • ビル内のクローズドな監視モニター

    • 社員の⼊社・退社・異動プロセスは Oracle Identity Manager でコントロール • 資格付与は⼈事システムと部署ロールと統合 • オラクル・ファシリティ外からのアクセス • ExaC@C リソースへのサービス提供のためにはオラクル社の企業 VPN アクセスが必要 • VPN アクセスのための多要素認証 オラクル社員のアクセス・セキュリティ Copyright © 2022, Oracle and/or its affiliates 23
  24. 24 Copyright © 2022, Oracle and/or its affiliates • すべてのロールのアサインメントを承認プロセスで管理

    • ExaC@C 管理アクセスの適格性をジョブ・コードから 決定 • ⾃動ジョイン・移動・削除プロセス • 部署異動 • 離職 • 必須トレーニング Oracle Identity Management
  25. ExaC@C オペレーション・アクセス管理・レビュー Copyright © 2022, Oracle and/or its affiliates 25

  26. ロール例 Copyright © 2022, Oracle and/or its affiliates 26

  27. Exadata Database Service on Exadata Cloud@Customer • オラクルのスタッフはお客様の VM、サービス、データへのアクセスは認可されていない •

    お客様が VM、サービス、データへのアクセスをコントロール • 特定のユーザーが多要素認証にて ssh 経由で踏み台サーバー、 Control Plane Server へアクセス • FIPS 140-2 準拠のワンタイム・パスワード • 管理ネットワークを介したトークンベース ssh による特権アクセス • Exadata Database Server, Exadata Storage Server, その他の Oracle 管理のインフラ オラクル・リモート・オペレータ・アクセスのセキュリティ Copyright © 2022, Oracle and/or its affiliates 27 Exadata Storage Server Exadata Database Server Admin VCN Secure Tunnel Service ExaDB-C@C OCI Bastion and Management Server Implementation ssh port 22 over mgmt net ssh port 22 ssh port 22 Control Plane Server TLS 1.2 TCP 443 Oracle Cloud Network Attach (OCNA) Secure Tunnel Initiation
  28. Autonomous Database Service Overlay • オラクルのスタッフはお客様のデータベース・データへのアクセスは認可されていません • Oracle Database Vault、Transparent

    Data Encryption、Oracle Native Network Encryption • 特定のユーザーが多要素認証にて ssh 経由で踏み台サーバー、 Control Plane Server へアクセス • FIPS 140-2 準拠のワンタイム・パスワード • 管理ネットワークを介したトークンベースによるインフラストラクチャと Autonomous VM への特権アクセス • Exadata C@C Infrastructureへのアクセス無し • OS 認証による特権 (SYSDBA) データベース・アクセス オラクル・リモート・オペレータ・アクセスのセキュリティ Copyright © 2022, Oracle and/or its affiliates 28 Exadata Database Server Management VCN Secure Tunnel Service ExaDB-C@C OCI Bastion Server Keystroke Logging ssh port 22 ssh port 22 Control Plane Server TLS 1.2 TCP 443 Oracle Cloud Network Attach (OCNA) Secure Tunnel Initiation ADB VM SYSDBA
  29. Exadata Database Service on Exadata Cloud@Customer • クラウド・オートメーションによるお客様 VM とデータベースへのアクセス

    • お客様の VM とデータベースへのパッチ適⽤、バックアップ、リストア • ASM ストレージおよびお客様 VM のメモリの割当てとサイズ変更 • お客様 VM の SSH 鍵管理 • クラウド・オートメーションの、アクセスするコンポーネントに基づくセキュアなアクセス⽅法 • Database Cloud Services (DBCS) agent への、ストレージ・ネットワークにおける 443 番ポートによる mTLS を利⽤したセキュアな接続 • お客様 VM への、管理⽤ネットワークにおける 22 番ポートによるトークンベース ssh を利⽤したセキュアな接続 • お客様データベースへの、オラクル・ユーザー・アカウントからの OS 認証を利⽤したセキュアな接続 • オラクルとお客様のコントロールにより、アクセス⽅法を管理 • お客様テナンシーにはお客様の IAM によるコントロール • お客様データベースにはお客様データベースによるコントロール • お客様 VM にはお客様 VM によるコントロール • ssh 鍵、セキュア・トンネル、mTLS についてはオラクルによるコントロール クラウド・オートメーションでのアクセス・セキュリティ Copyright © 2022, Oracle and/or its affiliates 29
  30. Autonomous Database Service on Exadata Cloud@Customer • クラウド・オートメーションによる ADB VM

    とデータベースへのアクセス • Autonomous VM とデータベースへのパッチ適⽤、バックアップ、リストア • ASM ストレージおよび Autonomous VM のメモリの割当てとサイズ変更 • オラクル・オペレーターによるアクセス⽤の SSH 鍵管理 • クラウド・オートメーションのアクセス⽅法 • Database Cloud Services (DBCS) agent への、ストレージ・ネットワークにおける 443 番ポートによる mTLS を利⽤したセキュアな接続 • Autonomous VM への、管理⽤ネットワークにおける 22 番ポートによるトークンベース ssh を利⽤したセキュアな接続 • Autonomous Database への、オラクル・ユーザー・アカウントおよび Database Vault からの OS 認証を利⽤したセキュア な接続 • オラクルとお客様のコントロールにより、アクセス⽅法を管理 • データベース・プロビジョニングには、お客様テナンシーでのお客様 IAM によるコントロール • オラクル管理サービス・アカウントからデータを隔離するために Database Vault のお客様によるコントロール • データへのアクセスには、お客様データベースでのお客様データベースによるコントロール • Autonomous VM クラスタでのオラクルによるアクセス・コントロール • ssh 鍵、セキュア・トンネル、mTLS のオラクルによるコントロール クラウド・オートメーションでのアクセス・セキュリティ Copyright © 2022, Oracle and/or its affiliates 30
  31. Exadata Database Service on Exadata Cloud@Customer • 業界で実績のあるセキュリティ技術から構成 • Oracle

    Database, Exadata, OCI • 完全なライフサイクル・マネジメント • セキュアなデプロイメント、セキュアなメンテナンスとオペレーション、セキュアな環境削除 • エンド・ツーエンドのデータ保護 • 通信中、処理中、格納中 • マルチレイヤーでのアプローチ • スタックを通じてポリシー・コントロールとテクニカル・コントロールを介して実装 • オラクル社のスタッフとお客様の職務分離 多層防御ストラテジー Copyright © 2022, Oracle and/or its affiliates 31
  32. Exadata Database Service on Exadata Cloud@Customer • Exadata は業界で最もセキュアなデータベース・プラットフォーム •

    数千社のお客様、数百⼈の専⾨家、世界中のミッション・クリティカルなシステムでの利⽤ • 標準の設定 • 最⼩のパッケージと最⼩の稼働サービス • トークンベースの SSH アクセス • ローカルでの syslog 監査 • パスワード保護されたローカル TDE キー・ウォレット • 職務分掌 • お客様が VM、データベースおよびデータベースのデータへのアクセスをコントロール • オラクル社はインフラストラクチャへのアクセスをコントロール セキュリティ概要 Copyright © 2022, Oracle and/or its affiliates 32
  33. Autonomous Database on Exadata Cloud@Customer • Exadata は業界で最もセキュアなデータベース・プラットフォーム • 数千社のお客様、数百⼈の専⾨家、世界中のミッション・クリティカルなシステムでの利⽤

    • 標準の設定 • 最⼩のパッケージと最⼩の稼働サービス • トークンベースの SSH アクセス • ローカルでの syslog 監査 • パスワード保護されたローカル TDE キー・ウォレット • 職務分掌 • お客様が Database Vault を介してデータベース・データへのアクセスをコントロール • オラクル社はインフラストラクチャおよび特権データベース・アカウント (例 SYSDBA) へのアクセス をコントロール セキュリティ概要 Copyright © 2022, Oracle and/or its affiliates 33
  34. Exadata Database Service on Exadata Cloud@Customer • お客様は root アクセスが可能で、root

    パスワードを管理 • root パスワードは Oracle クラウド・オペレーションと共有不要 • お客様はエージェントのインストールが可能で、監査ログを設定可能 • お客様のローカル・プロセスとポリシーの実装が可能 • お客様の SIEM(Security Information and Event Management)サーバーにログを送信可能 • お客様は特定のユーザー認証の実装が可能 • お客様の既存のセキュリティ・ベスト・プラクティスの実装が可能 • お客様は VM にネットワーク・ファイアウオールを設定可能 • ただし、クラウド・オートメーション機能へのアクセスを許可すること 基本的なお客様のセキュリティコントロール Copyright © 2022, Oracle and/or its affiliates 34
  35. Autonomous Database on Exadata Cloud@Customer • お客様は Oracle Database のデータベース・データへのユーザ・アクセスをコントロール

    • Advanced Security Option を含む • お客様は Oracle サービス・アカウント・データをコントロール • オラクルはサービス・アカウントへのアクセスをコントロール • お客様はデータベースに対して Oracle Database 互換の特定のユーザ認証を設定可能 • お客様の既存のセキュリティ・ベスト・プラクティスの実装が可能 基本的なお客様のセキュリティコントロール Copyright © 2022, Oracle and/or its affiliates 35
  36. Exadata Database Service on Exadata Cloud@Customer • Oracle Native ネットワーク暗号化

    • クライアントとデータベース間のデータ通信を暗号化で保護 • TDE 暗号化 • 鍵はお客様管理のキーストアに保管可能 • Data Masking • 特定のユーザーとロールのためのきめ細かいデータ・アクセス・コントロール • Database Vault • 特権ユーザーのデータ・アクセスを不可として、特定のユーザーにのみデータ・アクセス可能に • ExaDB-C@C VM クラスタ • お客様 VM の OS レベルでのワークロードの分離とアクセス・コントロール • 先進のデータベース・セキュリティ機能 • Redaction、Masking、サブセッティング、ラベル・セキュリティ さらなるお客様のセキュリティコントロール Copyright © 2022, Oracle and/or its affiliates 36
  37. Autonomous Database on Exadata Cloud@Customer • Oracle Native ネットワーク暗号化 •

    クライアントとデータベース間のデータ通信を暗号化で保護 • TDE 暗号化 • 鍵はお客様管理のキーストアに保管可能 • Data Masking • 特定のユーザーとロールのためのきめ細かいデータ・アクセス・コントロール • Database Vault • 特権ユーザーのデータ・アクセスを不可として、特定のユーザーにのみデータ・アクセス可能に • 先進のデータベース・セキュリティ機能 • Redaction、Masking、サブセッティング、ラベル・セキュリティ さらなるお客様のセキュリティコントロール Copyright © 2022, Oracle and/or its affiliates 37
  38. • 通信中データの暗号化 • Oracle Native Network Encryption • ユーザーデータへのDBAのアクセス制御 •

    Oracle Database Vault • 格納中データの暗号化 • Oracle Transparent Data Encryption エンド・ツー・エンドのデータ保護 Copyright © 2022, Oracle and/or its affiliates 38 Server/OS VM/OS App Switch Router Router Switch Exadata Database Server Customer VM Instance Exadata Storage Network Exadata Storage Server DB Oracle Native Network Encryption Transparent Data Encryption Database Vault Named User
  39. Exadata Encrypt Redact Mask Subset 多層防御の例 Exadata DB Server Exadata

    DB Server Key Vault Audit Vault Database Vault Infra Adm Apps Storage Adm Test Dev Protect ZDLRA Infrastructure Admin Network Client and Backup Network People and Apps Data Infrastructure Platform Add Ons NFS Standby DB Object Store DB Firewall Encrypt DB ISE Exadata Storage Server Exadata Storage Server Exadata Storage Server Exadata Storage Net VM VM DBA SA 39 Copyright © 2022, Oracle and/or its affiliates Aug 09, 2022
  40. 鍵を⽞関マットの下に隠さないでください Copyright © 2022, Oracle and/or its affiliates 40 •

    オラクルのフォレンジック調査による 2 つの主要なセキュリティ違反の理由 • 特権アカウントへの脆弱なパスワード • 既知の脆弱性へのパッチの未適⽤ • オラクルのクラウド・オートメーションで以下を実⾏ • 特権ユーザーへの強固なパスワードへの強制 • データベースを最もセキュアな状態に維持
  41. オラクルが管理するインフラストラクチャ・ログ Copyright © 2022, Oracle and/or its affiliates 41 ILOM

    syslog はホストの syslog にリダイレクトされています ログは SR でリクエストすることでお客様が⼊⼿可能です ログは 13 ヶ⽉間保持されます Source Log Exadata Database Server, cell, IB /var/log/audit/audit.log Exadata Database Server, cell, IB /var/log/secure, /var/log/messages ILOM* syslog Exadata Database Server /var/log/xen/xend.log cell /var/log/oracle/diag/asm/cell/<hostname>/alert/log.xml /var/log/oracle/diag/asm/cell/<hostname>/trace/ms-odl*.log IB /var/log/opensm.log
  42. Chainsaw • GUI ログ・ビューワ、Log4J パッケージのフィルター • ログされたイベントをリッスン、テーブル形式で表⽰ インフラストラクチャ・ログ解析: Copyright ©

    2022, Oracle and/or its affiliates 42
  43. ELK • Elasticsearch • 検索解析エンジン • Logstash • ログ記録管理ツール •

    Kibana • データ可視化ツール • チャートとグラフ インフラストラクチャ・ログ解析: Copyright © 2022, Oracle and/or its affiliates 43
  44. Lumberjack • rsyslog への構造化ロギング • syslog のストリングを JSON 形式に変換 •

    メッセージの検索、分析、相関 • From • To インフラストラクチャ・ログ解析: Copyright © 2022, Oracle and/or its affiliates 44
  45. Splunk • リアルタイムでのログのキャプチャ、インデックス付け、相関分析 • 検索可能なレポジトリへ • グラフ化 • レポート •

    アラート通知 • ダッシュボード • 可視化 インフラストラクチャ・ログ解析: Copyright © 2022, Oracle and/or its affiliates 45
  46. 人とプロセスについて • オラクル社のスタッフはログを⾒ることが承認されています • Oracle Defect Assessment Review Team (DART)

    • Oracle Security Operations Center (SOC) • Oracle SIEM (Security Information and Event Management) にログが送付され ⾃動分析および警告を実⾏ • OCIへの接続が途切れた場合のローカルでのログ保存 • ローカルサーバーにログはキャッシュ • 保持期間は最⼩7⽇間 インフラストラクチャ・ログ解析 Copyright © 2022, Oracle and/or its affiliates 46
  47. ケース1︓お客様はお客様のVMにログインできる場合 • お客様が障害を⽰すサービスリクエスト(SR)を開きます • お客様またはOracleが共有セッションを開き、SRにセッション情報を⽰します • オラクルと顧客スタッフは、SRから共有セッション情報にアクセス • お客様は、お客様の資格情報を使⽤してお客様のVMにアクセス •

    お客様は、Oracleスタッフの指⽰に従って問題を解決するコマンドを⼊⼒するか、OracleスタッフがVM セッションのキーボード⼊⼒を制御することを許可 • お客様は診断情報でSRを更新 • オラクルのスタッフがSRを解決情報で更新 例外ワークフロー–顧客VMへのOracleスタッフのアクセス Copyright © 2022, Oracle and/or its affiliates 47
  48. ケース2︓お客様がお客様のVMにログインできない場合 • お客様が次の記載でサービスリクエスト(SR)を開きます • SR Title: SR granting Oracle explicit

    permission to access DomU of ExaCC with serial number AKXXXXXXXXX • SR Content: We are opening this SR to grant explicit permission to Oracle to access our DomU in order for support to help resolve issue described in SR# XXXXXXXX. We acknowledge that by providing this permission, we understand that Oracle will have access to ALL FILES in DomU and agree that there are no confidential files stored in any of the file systems in DomU. In addition, we also agree that customer security team has authorized Oracle to have access to customer DomU in order to resolve the issue described in the above SR. • オラクルまたはお客様は共有セッションを開き、SRで共有セッション情報を提供 • Oracleとお客様の両⽅が共有セッションにアクセスすると、OracleはOpCtlフルアクセスケージを使⽤してお客様の VMにアクセスし、問題を解決 例外ワークフロー–顧客VMへのOracleスタッフのアクセス Copyright © 2022, Oracle and/or its affiliates 48
  49. セキュリティ・モニタリングに対するチームでのアプローチ Copyright © 2022, Oracle and/or its affiliates 49 •

    オラクルまたはお客様のいずれかが不正なイベントがあったと疑う場合、サポートデータを収集し、 My Oracle Support にサービス・リクエストを記録してレビューを開始 • 両⽅のチームから提供されたすべてのデータを使⽤して、問題を切り分け、結論を導き、根本原因を突き ⽌め、必要に応じて修正 • セキュリティ関連の Oracle のサービス・リクエストへのアクセスは厳しく制限されています (この件の関係者 のみがアクセス可能) • 対象の SR に直接関与していないオラクル社員は、もし⾒ようとしてもアクセスが拒否されます Monitoring/Event Mgt Incident Mgt Problem Mgt Change Mgt Configuration Mgt Knowledge Base Service Reporting Cloud Operations System Management LOGS MOS LOGS Customer System Management Monitoring/Event Mgt Incident Mgt Problem Mgt Change Mgt Configuration Mgt Knowledge Base Service Reporting
  50. DBA と IT の課題に関する数字 データベース管理に関するワークロードは転換点に近づいている。データ ベース管理者へのオラクルによる調査によると、39% の DBA が 50

    以 上のデータベースを管理、95% の IT プロフェッショナルが⼿動でデータ ベースを作成およびアップデートを実施している。多くの DBA は、⾮計画 停⽌を経験しており、 複数の管理およびバックアップ・ツールを利⽤していく ことに苦労している。 保守 vs イノベーション IT 予算の 72% が単に既存の IT システムの保守費⽤に使⽤され、残 り 28% がイノベーションに使⽤されている。 今⽇の DBA はオートメーションが必要 Copyright © 2022, Oracle and/or its affiliates 50 DBA のワークロードは増加: 39% の DBA が 50 以上 のデータベースを管理 ⾃動化の⽋如: 95% の DBA が⼿動でデータベースを 作成およびアップグレード 78% の DBA がテストをし ていないデータベースの変更 により⾮計画停⽌を経験 DBA と IT スタッフは完全な保護 を提供するのに苦労: 2/3 の組織が複数ツールを利⽤し て1つのデータベースをバックアップ の IT 予算が保守費⽤で 残りがイノベーション 基幹業務からのサービス需要 に対応 パフォーマンス SLA、セキュリ ティ、コンプライアンス、可⽤性 の確保
  51. • Database および Grid Infrastructure • 作成、削除、起動、停⽌、再起動 • バックアップ、リストア •

    パッチ適⽤とロールバック • Oracle ホームの共有 • 異なる Oracle ホームへの DB の移動 • DB の同期 • Data Guard セットアップ、スイッチオーバー、 スイッチバック • Data Guard フェイルオーバーとフェイルバック • Transparent Data Encryption • Oracle Native Network Encryption • RAC ノード・データベース・サブセッティング (CLI ツールによる) • 仮想マシン (VM) クラスタ • ExaDB-C@C ラックあたりの複数 VM クラスタ • 作成、削除、起動、停⽌、再起動 • メモリー、ローカル・ストレージ、Exadata Storage のスケーリング • OCPU スケーリング • Control Plane オフライン時の OCPU スケーリング • SSH アクセス・トークンのインストール • ライセンス・モデルの変更 • ExaCLI でのストレージ構成・情報取得 • パッチ適⽤、ロールバック、アップグレード (CLI ツールによる) 主なクラウド・オートメーション機能 Copyright © 2022, Oracle and/or its affiliates 51
  52. 管理インタフェース Copyright © 2022, Oracle and/or its affiliates 52 •

    Oracle Cloud Infrastructure コンソール • https によるブラウザ・アクセス (ワンタイム・アクションやアドホックなタスクに最適) • Software Development Kit (SDK) • OCI サービスに統合するアプリケーションの開発とデプロイ • Java, Python SDK, Ruby SDK, Go SDK, Ansible SDK • OCI Command Line Interface (OCI CLI) • コンソール機能を拡張 • GUI よりも CLI を好む開発者などの⽅にとって便利 • Oracle Cloud Shell • OCI コンソールから利⽤可能なOCI CLI • Terraform • お客様の IT インフラストラクチャをコードとして管理、バージョン管理、永続化
  53. クラウド・オートメーションによる標準化 Copyright © 2022, Oracle and/or its affiliates 53 •

    Exadata Database Service on Cloud@Customer のデプロイメントの標準化 • インフラ、VM、データベースのセキュア化、管理、アップデート • ⾃動での TDE と MAA ベストプラクティスの実装 • バックアップ、リストア、およびパッチ適⽤ • DBA リソースを解放し、ビジネスを促進 • データを⽤いて競合優位となる戦略的なアドバイザー • アプリケーションと SQL チューニング、レポートの最適化 • Oracle Database と Exadata 機能のすべてを活⽤することでのアドバンテージ
  54. Thank you ⽇本オラクル株式会社 54 Copyright © 2022, Oracle and/or its

    affiliates
  55. セキュリティとコンプライアンスのリスクは、主にデータ・プライバシー、内規、外部の規制への懸念から、お客様がエンタープライ ズ・アプリケーションをクラウドに適⽤される際の懸念材料としてトップとして位置づけられています。Oracle Managed Cloud Service (OMCS) はオラクルの PaaS と IaaS

    クラウドのお客様に、セキュリティとコンプライアンスのニーズに対応するための 選択肢として Managed Security Service (MSS) オプションを提供します。 MSS サービスの 3 つの主要な機能と効果は以下になります • ライフサイクル・マネージメント: Oracle MSS チームは MSS ポートフォリオにおけるすべてのサービスを実装、管理、監 視します。セキュリティ・サービス・マネージャーが MSS プロジェクトの管理、サービス提供、お客様の質問への対応のために アサインされます • ターンキー・サービス: お客様はサブスクリプション・モデルで MSS サービスを活⽤できます。Capex の投資は不要です。 • Oracle by Oracle: Oracle MSS は 12 年以上にわたって、Oracle 顧客に対するセキュリティ・サービスとソリュー ションの提供をしてきた専⾨知識があります。お客様は MSS がもたらす規模の経済のメリットを受けられます Exadata Database Service on Cloud@Customer 追加サービス Copyright © 2022, Oracle and/or its affiliates 55
  56. MSS Service Offering OCI IaaS/PaaS OCI - C IaaS/PaaS On

    Premise Oracle Cloud @Customer Oracle SaaS Hybrid Identity Cloud Service/Managed IDCS/Managed CASB HICS CASB IDCS Infrastructure Vulnerability Assessment 1 Web Application Vulnerability Assessment (WAS) 2 Web Application Firewall Database Security Risk Assessment Database Encryption Service Database Vault Service Data Masking Service Database Auditing Service GxP Validation Security Services Fusion SaaS Incremental to base PaaS capabilities Limited in Scope Not Available at this time Full Service Availability Oracle Managed Security Services Oracle クラウドのお客様のための Managed Security Service Provider の選択 56 1 For large scale projects (100+ VMs/20+ DBs) only; 2 For Internet Facing Web Applications (COTS/Custom) Copyright © 2022, Oracle and/or its affiliates
  57. • CPS は⾃動的に 443 番ポートによるアウトバウンド https TCP 接続を実施 • コーポレート・プロキシ経由での接続も可能

    • アクティブ CPS により接続 • スタンバイ CPS は、プライマリ CPS が障害の場合に、接続を再確⽴ • OCI VCN と ExaC@C Control Plane Server (CPS) 間の接続は常にレイヤー 7 接続 • 任意のプロセスはレイヤー 3 での接続は不可 • ExaC@C 管理ネットワークはお客様ネットワークからは完全に分離 • OCI から ExaC@C インフラストラクチャへのすべての管理アクティビティは CPS の WS クライアントを通じて実⾏ • 保守および監査が容易 • 永続的な管理トンネルは、ExaC@C インフラストラクチャで動作するエージェントに対して、 コントロールされた REST API コールをサポート 永続的な管理トンネル Copyright © 2022, Oracle and/or its affiliates 57 OCI データセンター CPS WS クライアント 管理 VCN WS サーバー お客様 データセンター アウトバウンド HTTPS インバウンド REST API コール
  58. 1. Cloud Ops が ssh コマンドを発⾏し、ターゲット・シ ステムへアクセス 2. Cloud オートメーションが

    REAT API コマンドを送信 し、⼀時的なセキュア・オペレータ・トンネルを確⽴ 3. ssh コマンドはターゲット・システムへトンネルを通じて 送信 4. Cloud Ops はタスクを実施 5. Cloud Ops は ssh セッションを終了 6. Cloud オートメーションはセキュア・オペレータ・トンネル を終了 SSH による⼀時的なオペレータ・トンネル Copyright © 2022, Oracle and/or its affiliates 58 OCI データセンター CPS WSクライアント 管理 VCN WS サーバー お客様 データセンター セキュア・ オペレータ ・ トンネル アウトバウンド HTTPS Stunnel を有効にする REST API コール Stunnel クライアント Stunnel サーバー インバウンド SSH
  59. 59 Copyright © 2022, Oracle and/or its affiliates Exadata Database

    Service でのシングル VM クラスタにおける ネットワーク・アーキテクチャ (1) bondeth0 クラ イアントネットワー ク (2) bondeth1 バッ クアップネットワー ク (3) eth0 管理ネット ワーク (4) re0 ストレージ /RAC インターコネ クト (5) re1ストレージ /RAC インターコネ クト Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch お客様スイッチ Layer 2 VLAN 1 2 お客様スイッチ Layer 2 VLAN ExaC@C Client Bond Backup Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth 5 vNIC SR-IOV 3 vNIC NAT 4 お客様 VM
  60. セキュリティ詳細︓顧客ネットワークへのクライアント接続 Copyright © 2022, Oracle and/or its affiliates 60 (1)

    bondeth0 クライアントネットワーク Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN 1 ExaDB-C@C Client Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure 1 vNIC Cust VM 1 お客様は、L2ネットワークスイッチ を直接コンピュートノードに接続 お客様は、このパスを介してVMコ ンポーネントにアクセス お客様が暗号化と認証を管理 Oracle Cloud Opsは、お客様 が特に⽀援を要求しない限り、お 客様のVMで操作を実⾏しません。 ユースケースは、お客様が sshd_confを編集時に失敗し、 ログインできない場合があります
  61. 61 Copyright © 2022, Oracle and/or its affiliates セキュリティ詳細︓カスタマーネットワークへのバックアップネットワーク接続 (2)

    bondeth1 バックアップネットワーク Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN 2 Customer Switch Internet Access ExaC@C Backup Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 2 vNIC Cust VM 2 お客様は、L2ネットワークスイッ チを直接コンピュートノードに接 続 お客様は、このパスを介してVM コンポーネントにアクセス お客様が暗号化と認証を管理 カスタマークライアントトラフィック とバックアップトラフィックを分離 Oracle Cloud Opsは、顧客 データベースのバックアップを管 理しません。
  62. 62 Copyright © 2022, Oracle and/or its affiliates セキュリティ詳細︓クラウドツールのVMアクセス (3)

    eth0 管理ネットワーク Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN Customer Switch Internet Access ExaC@C Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth 3 vNIC NAT Cust VM お客様の管理者は、お客様先からインター ネット経由でクラウドテナンシーに接続 お客様は、このパスを介してVMコンポーネ ントにアクセスし、CPU数の追加/削減など のOSコンポーネントを調整 カスタマーVMへのアクセスを必要とするアク ションは、Exadata Database Server からアクセス可能なカスタマーVMにNATア ドレスとして実装された内部管理ネットワー クを介してトークンベースのsshを介して実 ⾏されます。 パブリックsshキーは⼀時的な ものであり、顧客が呼び出した管理アクショ ンの⽬的で⽣成され、顧客VMのoracle、 opc、およびrootユーザーの authorized_keysファイルに保存されま す。 プライベートsshキーは⼀時的に⽣成 され、顧客が呼び出す管理アクションの⽬ 的で⽣成され、顧客のデータセンターに格 納されているExadataハードウェアで実⾏ されているOracle Cloud Automation ソフトウェアによってメモリに格納されます。
  63. 63 Copyright © 2022, Oracle and/or its affiliates セキュリティ詳細︓ストレージネットワークとRACインターコネクト (4)

    re0 ストレージ/RAC インターコネクト Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN 1 2 Customer Switch Internet Access ExaC@C Backup Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth vNIC NAT 4 Cust VM お客様の管理者は、顧客企業からイ ンターネット経由でクラウドテナンシーに 接続します。 お客様は、このパスを介してVMコン ポーネントにアクセスし、環境のバック アップ、作成、またはパッチを適⽤する DBコンポーネントにアクセスします。 CPSプロキシはExaCCコンポーネント にコマンドを発⾏します カスタマーVMのデータベースサービスへ のアクセスを必要とするアクションは、 OCIコントロールプレーンとDB Agent 間のmTLS(ポート443)接続を介 してカスタマーVMで実⾏されているDB Agent に送信されます。 このmTLS 接続は、ExaCCラックのプライベート相 互接続ネットワークを介して実装されま す。 CloudOpsはデータベースサービスを 調整しません。
  64. 64 Copyright © 2022, Oracle and/or its affiliates セキュリティ詳細︓ストレージネットワークとRACインターコネクト (5)

    re1ストレージ/RAC インターコネクト Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN Customer Switch Internet Access ExaC@C Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth 5 SR-IOV Cust VM お客様の管理者は、顧客企業からインター ネット経由でクラウドテナンシーに接続します。 お客様は、このパスを介してVMコンポーネン トにアクセスし、環境のバックアップ、作成、ま たはパッチを適⽤するDBコンポーネントにアク セスします。 CPSプロキシはExaCCコンポーネントにコマン ドを発⾏します カスタマーVMのデータベースサービスへのアク セスを必要とするアクションは、OCIコントロー ルプレーンとDB Agent間のmTLS(ポート 443)接続を介してカスタマーVMで実⾏さ れているDB Agent に送信されます。 この mTLS接続は、ExaCCラックのプライベート 相互接続ネットワークを介して実装されます。 CloudOpsはデータベースサービスを調整し ません。
  65. 65 Copyright © 2022, Oracle and/or its affiliates セキュリティ詳細︓CPSからOCIへのアウトバウンド接続 (6)

    オラクル社へのトンネル Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN Customer Switch Internet Access ExaC@C Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth Cust VM 6 ローカル Control Planeは、 https、ポート443を介して REST API呼び出しをSecure Outgoing Tunnel Serviceヘッ ドエンドに中継し、DBaaS UI に接続された「永続的なTLS1.2 HTTPSセキュアトンネル」を インスタンス化して、ExaCC Automationを有効にします。 カスタマーパッシブプロキシ がサポートされています httpsプロキシ、チャレンジプ ロキシ、およびトラフィック インスペクションはサポート されていません CPSには、50 / 10 Mbpsのダウ ンロード/アップロードネット ワーク帯域幅が必要です
  66. 66 Copyright © 2022, Oracle and/or its affiliates Exadata Database

    Service でのシングル VM クラスタにおける ネットワーク・アーキテクチャ (1) bondeth0 クラ イアントネットワー ク (2) bondeth1 バッ クアップネットワー ク (3) eth0 管理ネット ワーク (4) re0 ストレージ /RAC インターコネ クト (5) re1ストレージ /RAC インターコネ クト (6) オラクル社への トンネル Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN 1 2 Customer Switch Internet Access ExaC@C Client Bond Backup Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth 5 vNIC SR-IOV 3 vNIC NAT 4 Cust VM 6
  67. Exadata Database Service でのマルチ VM クラスタにおける ネットワーク・アーキテクチャ Copyright © 2022,

    Oracle and/or its affiliates 67 物理リンクは Active/standby で bond された HA 構成 クライアントとバックアップ・ネットワークおよび VM クラスタ間を分離するための VLAN 管理ネットワーク間を分離するための Layer 2 ネットワーク ストレージおよびクラスタ・インターコネクト ・ ネットワーク間を分離するための Layer 2 ネットワーク (1) bondeth0 – クライアント・ネットワーク (2) bondeth1 – バックアップ・ネットワーク (3) eth0 – 管理ネットワーク (4) re0 – ストレージ/クラスタ・インターコネクト (5) re1 – ストレージ/クラスタ・インターコネクト Exadata DB Server お客様 VM 1 1 2 4 3 vNIC NAT お客様 VM 2 4 1 2 3 vNIC NAT Storage Networks Active/Standby Bond for Backup Network Active/Standby Bond for Client Network Storage Network Management Network VM 1 Client VLAN VM 1 Client Network VM 1 Backup VLAN VM 1 Backup Network VM 2 Backup VLAN VM 2 Backup Network VM 2 Client VLAN VM 2 Client Network 5 5 お客様スイッチ Layer 2 VLAN Storage Networks
  68. 68 Copyright © 2022, Oracle and/or its affiliates Autonomous Database

    Service でのシングル VM クラスタにおける ネットワーク・アーキテクチャ (1) bondeth0 クライ アントネットワーク (2) bondeth1 バック アップネットワーク (3) eth0 管理ネット ワーク (4) re0 ストレージ /RAC インターコネク ト (5) re1ストレージ /RAC インターコネク ト Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN 1 2 Customer Switch Internet Access ExaC@C Client Bond Backup Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth 5 vNIC SR-IOV 3 vNIC NAT 4 ADB VM
  69. Customer Managed L2 Connections Exadata Storage Server Exadata Database Server

    DB Control Plane DBaaS UI/API Customer OCI Tenancy Oracle Admin VCN Customer Data Center お客様 ユーザー/ アプリケーション https TCP 443 IMM Feed Automation Access mTLS https port 443 Control Plane Server Secure Outgoing Tunnel Client Customer VM DB Agent ssh port 22 SQL*Net port 1521 Customer software Layer 2 VLAN Persistent Automation Secure Tunnel TLS 1.2 TCP 443 Image Server http get port 80 Monitoring Service IMM https TCP 443 Identity Management Object Storage Service Patch Staging https TCP 443 Identity https TCP 443 Exadata Database Service における ポートとプロトコル 69 port 22 Automation Tunnel Initiation Secure Operator Tunnel Service Secure Operator Tunnel Client Temporary Operator Secure Tunnel TLS 1.2 TCP Port 443 Identity Service Secure Outgoing Tunnel Service Monitoring Agent Logging Agent Identity https TCP 443 Logging Service Copyright © 2022, Oracle and/or its affiliates
  70. Customer Managed L2 Connections Exadata Storage Server Exadata Database Server

    DB Control Plane DBaaS UI/API Customer OCI Tenancy Oracle Mgmt VCN for ADB Customer Data Center Customer User/App https TCP 443 mTLS https port 443 Control Plane Server Secure ADB Tunnel Client ADB VM Cluster DB Agent SQL*Net Ports 1521, 2484 Layer 2 VLAN Persistent Automation Secure Tunnel TLS 1.2 TCP 443 http get port 80 Autonomous Database Service on ExaDB-C@C における ポートとプロトコル 70 Automation Tunnel Initiation Secure ADB Operator Tunnel Service Secure Operator Tunnel Client Temporary Operator Secure Tunnel TLS 1.2 TCP Port 443 Secure ADB Tunnel Service Copyright © 2022, Oracle and/or its affiliates