Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Oracle Exadata Cloud@Customer X8M セキュリティ、ネットワーク、および管理について / Oracle Exadata Cloud@Customer Network Security Management

Oracle Exadata Cloud@Customer X8M セキュリティ、ネットワーク、および管理について / Oracle Exadata Cloud@Customer Network Security Management

140494d272a4d89883a94fdfdb29dea2?s=128

oracle4engineer
PRO

January 14, 2022
Tweet

Transcript

  1. Exadata Cloud@Customer X8M セキュリティ、ネットワーク、および管理について ⽇本オラクル株式会社 2021 年 12 ⽉ 06

  2. 2 Copyright © 2021, Oracle and/or its affiliates 1. Exadata

    Cloud@Customer プラットフォームとサービスについて 2. コンプライアンスと Oracle セキュリティ・ポリシー 3. 役割と責任 4. アクセス・マネージメント 5. クラウド・テナンシーの ID 管理 6. クラウド・テナンシーの監査 7. アーキテクチャ 8. セキュリティ詳細 アジェンダ
  3. 3 Copyright © 2021, Oracle and/or its affiliates • Exadata

    Cloud@Customer プラットフォーム • Oracle によって管理されるハードウェア・インフラストラクチャ • Oracle Cloud Infrastructure (OCI) クラウド・オートメーションによる制御 • Exadata Cloud Service︓ ハードウェアが Oracle データ・センター、Dedicated リージョンまたは Frontier リージョンにある場合で、ハードウェアが Control Plane Server によって管理されない • Exadata Cloud@Customer︓ ハードウェアが Oracle データ・センターにはない場合で、ハードウェアが Control Plane Server によって管理される • Exadata Database Service On Exadata Cloud@Customer • お客様がデータベースが動作している VM へのアクセスおよび特権 DB アカウントを制御 • 共同管理 (co-managed) サービス または ⾮⾃律型 (non-autonomous) サービスと呼ばれる • Autonomous Database On Exadata Cloud@Customer • Oracle が Autonomous Database VM クラスタおよび特権 DB アカウントへのアクセスを制御 • お客様はネームド・ユーザとしてデータベースへの接続するためのアクセスを制御 Exadata Cloud@Customer プラットフォームとサービスについて
  4. 4 Copyright © 2021, Oracle and/or its affiliates • ExaC@C

    は下記の「準拠証明書」(AoC (Attestations of Compliance) ) を取得しています • ISO 27001 • HIPAA • PCI DSS 3.2 • SOC 1, SOC 2, SOC 3 • 認証はリクエストベースで提供されます コンプライアンス
  5. 5 Copyright © 2021, Oracle and/or its affiliates • お客様データの

    機密性 (confidentiality)、完全性 (integrity)、可⽤性 (availability) を保護 • 下記のセキュリティを含む • ⼈的資源、ネットワークとシステムへのアクセス制御、データ、 • サプライ・チェーン・マネージメント、ラップトップ、モバイル機器 • 下記のセキュリティ基準に準拠 • ISO/IEC 27002:2013 (formerly known as ISO/IEC 17799:2005) • ISO/IEC 27001:2013 • NIST • お客様はオラクル社のポリシーとお客様のポリシーを以下から⽐較可能 • https://www.oracle.com/corporate/security-practices/corporate/ Oracle セキュリティ・ポリシー
  6. Exadata Database Service における役割と責任 Copyright © 2021, Oracle and/or its

    affiliates 6 オラクル・クラウド・プラットフォーム お客様 / テナント・インスタンス オラクルクラウド オペレーション お客様 オラクルクラウド オペレーション お客様 監視 インフラストラクチャ, コント ロール・プレーン, Database Server の障害, 可⽤性, 容量 オラクル・インフラストラクチャ・ マネジメント・メトリックをオラク ルへ送信するためのネット ワーク・アクセスを提供 お客様サービスのお客様モニタリ ングのためのインフラストラクチャの 可⽤性 お客様の OS, データベース、アプリ ケーションの監視 インシデント管理、 解決 インシデント管理と改善 スペア・パーツとエンジニアの ディスパッチ オンサイトの切り分けのアシス タント(例︔ネットワーク・ト ラブルシューティング) プラットフォームに関連のあるイン シデントのサポート お客様アプリケーションのインシデン ト管理と解決 パッチ管理 ハードウエア、Iaas/PaaS コ ントロール・スタックへのプロア クティブ・パッチ適⽤ オラクル・インフラストラクチャ へのパッチ提供のためのネット ワーク・アクセスを提供 適⽤可能なパッチのステージング (例︔Oracle DB パッチセット) テナント・インスタンスへのパッチ適 ⽤/テスト バックアップと リストア インフラストラクチャ、コント ロール・プレーン、Exadata Database Server のバック アップとリカバリ お客様はインフラストラク チャ・コンポーネントのバック アップ・リストアの責任は無い 稼働していて、お客様アクセス可 能な VM の提供 オラクルまたはサード・パーティのツー ルを⽤いた、お客様の IaaS および PaaS データのスナップショット/バッ クアップ・リカバリ クラウド・サポート オラクルが管理するインフラス トラクチャに関する事象の対 応と解決 お客様はオラクルが管理する インフラストラクチャ・レイヤー については責任が無い お客様がアクセス可能なサービス の SR への対応と解決 お客様がアクセス可能なサービスの、 サポート・ポータルを通じた SR の ファイル
  7. 7 Copyright © 2021, Oracle and/or its affiliates • お客様とオラクルのスタッフは同じ筐体の隔離された環境で作業します

    • 仮想マシン、仮想ネットワーク、ハイパーバイザー • お客様はお客様のサービスを運⽤管理することが認可されています • VM, データベース, Grid Infrastructure, エージェント, etc. • お客様はお客様のポリシーと⼿順に従ってサービスをオペレートします • データベース・スキーマ管理、ユーザー管理、鍵管理 • データベースの⾃動化されたアップデート、バックアップ、リストアの実⾏ • データベースと OS の監査ログ、OCI の監査サービスの構成 • お客様は Oracle クラウド・オートメーションを起動して、通常の DBA タスクを実⾏します • データベース作成、TDE(Transparent Data Encryption)、パッチ適⽤、バックアップ、リストアなど • RAC と ASM の構成、VM 管理など • オラクルのスタッフは Exadata インフラストラクチャの管理のみが認可されています • Exadata Database Server および Storage Server、ストレージ・ソフトウエア、ネットワーク、ファームウエア、 ハイパーバイザーなど Exadata Database Service におけるセキュアなオペレーションと管理
  8. Autonomous Database on ExaC@C における役割と責任 Copyright © 2021, Oracle and/or

    its affiliates 8 オラクル・クラウド・プラットフォーム お客様 / テナント・インスタンス オラクルクラウド オペレーション お客様 オラクルクラウド オペレーション お客様 監視 インフラストラクチャ, コント ロール・プレーン, Exadata Database Server の障害, 可⽤性, 容量 オラクル・インフラストラクチャ・ マネジメント・メトリックをオラク ルへ送信するためのネット ワーク・アクセスを提供 お客様サービスのお客様モニタリ ングのためのインフラストラクチャの 可⽤性 なし インシデント管理、 解決 インシデント管理と改善 スペア・パーツとエンジニアの ディスパッチ オンサイトの切り分けのアシス タント(例︔ネットワーク・ト ラブルシューティング) プラットフォームに関連のあるイン シデントのサポート お客様アプリケーションのインシデン ト管理と解決 パッチ管理 ハードウエア、Iaas/PaaS コ ントロール・スタックへのプロア クティブ・パッチ適⽤ オラクル・インフラストラクチャ へのパッチ提供のためのネット ワーク・アクセスを提供 適⽤可能なパッチのステージング (例︔Oracle DB パッチセット) なし バックアップと リストア インフラストラクチャ、コント ロール・プレーン、Database Server のバックアップとリカバ リ なし 稼働していて、お客様アクセス可 能な VM の提供 なし クラウド・サポート オラクルが管理するインフラス トラクチャに関する事象の対 応と解決 なし お客様がアクセス可能なサービス の SR への対応と解決 お客様がアクセス可能なサービスの、 サポート・ポータルを通じた SR の ファイル
  9. 9 Copyright © 2021, Oracle and/or its affiliates • お客様とオラクルのスタッフは同じシステムでコントロールされた環境で作業します

    • Database Vault、Oracle Native Network Encryption, Transparent Database Encryption • お客様はデータべースの接続とデータベースのデータにアクセスすることが認可されています • 完全なユーザ・レベルでのアクセス、完全なユーザ・データへのアクセス制御、システム・アカウントにはアクセス不可 • お客様はお客様のポリシーと⼿順に従ってデータベースをオペレートします • Database Vault、データベース・スキーマ、ユーザ鍵の管理と監視 • オラクルのスタッフは Autonomous Database の管理のみが認可されています • Exadata Database Server および Storage Server、ストレージ・ソフトウェア、ネットワーク、ファームウェア、 ハイパーバイザーなど • ⾃動化されたデータベースおよび VM アップデート、バックアップ、リストアの実施 • データベースのパッチ適⽤とロールバック • RAC (Real Application Clusters) と ASM の構成、VM 管理など • オラクルのスタッフはお客様データへのアクセスは認可されていません Autonomous Database on ExaC@C におけるセキュアなオペレーションと管理
  10. Gen 2 Exadata Cloud@Customer アーキテクチャ概要 Copyright © 2021, Oracle and/or

    its affiliates 10 Oracle Cloud Infrastructure リージョン お客様データ・センター Oracle Cloud Ops ExaC@C アプリケーション・ サーバーによる データベース・ アクセス Intranet お客様テナンシー お客様管理者 Local Control Plane Servers (CPS) 多要素認証 https を通じた Cloud UI または REST API による呼び出し Oracle 管理 VCN お客様による 監査とアクセス制御 オラクルによる 監査とアクセス制御 ⾃動デリバリー⽤の 永続的な TLS 1.2 https セキュア・トンネル オラクル・スタッフ⽤の ⼀時的な TLS 1.2 https セキュア・トンネル
  11. • ネットワーク・ソースの制限 • お客様テナンシーへの認証を許可する IP アドレス (レイヤー 3)をコントロール • お客様ユーザ資格証明

    • コンソール・パスワード、API 署名キー、認証トークン、顧客秘密キー、Oauth 2.0、SMTP 資格証明 • 多要素認証(MFA)とフェデレーテッド・アイデンティティ管理 • コンパートメント • OCI リソースに対する論理的なセキュリティ・パーティション • ポリシー・ベースのアクセス制御 • お客様がコンパートメントの特定のリソースを適切な⽅法で作業するグループを定義 • お客様が職務に必要なグループにユーザーを割り当て • OCI Logging Service と Audit Service • お客様テナントのすべてのアクションの記録、SIEM (Security Information and Event Management) 統合の API サポート お客様テナンシーのアクセスとログのコントロールの概要 Copyright © 2021, Oracle and/or its affiliates 11
  12. • CPS はインバウンドの TCP 接続は不要です • CPS は OCI への

    TCP/443 のアウトバンド接続を必要とします • OCI へのTCP ポート 443 接続: クラウド・オートメーション⽤ https 送信トンネルサービス • OCI へのTCP ポート 443 接続: リモートからのオラクル・オペレータ・アクセス⽤セキュア・トンネル・サービス • OCI へのTCP ポート 443 接続: アップデート取得⽤の Object Storage サービスとの接続 • OCI へのTCP ポート 443 接続: IMM (Infrastructure Monitoring Metrics) の記録と実⾏⽤の Monitoring サービスとの接続 • OCI へのTCP ポート 443 接続:オラクル・オペレーター認証⽤の Identity サービスとの接続 • OCI へのTCP ポート 443 接続:インフラストラクチャの監査と監視を⽬的としたOCIロギングサービスへ • お客様の http プロキシー・サーバーがサポートされます(例︓パッシブ・プロキシー・サーバー、企業プロキシー・サーバーなど) • お客様の https プロキシーサーバー、チャレンジ認証を必要とするプロキシー、トラフィック・インスペクションはサポートされません • CPS には 50 Mbps /10 Mbps のダウンロード/アップロードのネットワーク帯域が必要です • CPS にはお客様によって準備される DNS および NTP サービスを必要とします • 詳細は以下のマニュアル Network Requirements for Oracle Exadata Cloud@Customer CPS (Control Plane Server) ネットワーク・アクセス要件 Copyright © 2021, Oracle and/or its affiliates 12
  13. Copyright © 2021, Oracle and/or its affiliates 13 ASHBURN PHOENIX

    SYDNEY CHICAGO TORONTO VINHEDO TOKYO SEOUL MUMBAI OSAKA MELBOURNE AMSTERDAM HYDERABAD JEDDAH DUBAI LONDON SAN JOSE, CA SINGAPORE SAUDI 2 UAE 2 SANTIAGO ISRAEL FRANKFURT ZURICH CHUNCHEON JOHANNESBURG US GOV ASIA SAO PAULO CARDIFF MONTREAL Commercial Government Microsoft Azure Interconnect Oracle Cloud Infrastructure リージョン 2021 年末には 36 リージョンを提供予定
  14. • ExaC@C は Oracle の Public Cloud Infrastructure を通じてコントロールおよび管理 •

    テナンシーはお客様の OCI において作成し、これはお客様サイトに設置されている ExaC@C だけでなく、 Oracle の Public Cloud サービスすべてのアクセスを提供 • ExaC@C はテナンシー内の管理可能なリソース • ユーザー・アカウントは ExaC@C を管理、監視する担当者向けに作成が必要 • これらのアカウントは Oracle の IAM (Identity and Access Management) や Oracle Identity Cloud Service のようなフェデレーションされる IAM を通じてコントロール • これらのアカウントはお客様のオンプレミス環境の内部 IAM とは異なる Gen 2 ExaC@C Control Plane Copyright © 2021, Oracle and/or its affiliates 14
  15. • ExaC@C Control Plane へのアクセスには Oracle OCI コンソールにログインするユーザが必要 • 複雑性や期間に関する通常のパスワード・ポリシーが適⽤され、10

    回を超えてログインに失敗すると⾃動 的にブロックされる • 多要素認証が構成可能で、多要素認証のみのアカウントへ制限することも可能 • ユーザに対して特定のリソースとアクションに制限可能 • ExaC@C 管理グループを構成し、ExaC@C をコンパートメントに配置することがお勧め Gen 2 ExaC@C Control Plane – アクセス・セキュリティ Copyright © 2021, Oracle and/or its affiliates 15
  16. • Oracle IAM は Oracle Identity Cloud Service、Microsoft ADSF、その他 SAML

    2.0 に準拠 するプロバイダといったアイデンティティ・プロバイダとのフェデレーションをサポート • 監査およびロギング • Oracle Cloud Infrastructure Audit サービスはすべての API コールとログインを記録するため、す べてのユーザ・アクティビティが監視可能 • Oracle Cloud Access Security Broker サービスはすべての OCI アクセスに対して AI ベースの 監視を提供 • (参考情報) Oracle Cloud Infrastructure Security Architecture https://www.oracle.com/a/ocom/docs/oci-security.pdf • 上記ホワイトペーパーは Oracle の OCI クラウドすべてをカバーするセキュリティに関するドキュメントです Gen 2 ExaC@C Control Plane – アクセス・セキュリティ Copyright © 2021, Oracle and/or its affiliates 16
  17. • 保持される機能 • お客様のデータベースへのアクセス • お客様の仮想マシンへのアクセス • OCPU スケーリング (2020/06/13

    機能追加) • dbaascli, dbaasapi でのお客様の管理作業 • 標準的な Oracle Database や Linux ツールでのお客様の管理作業 • ⼀時中断される機能 • インフラストラクチャ管理 (VM クラスタ作成) • OCI インタフェースからの管理 (Web UI, OCI CLI, REST API/SDK, Terraform) • Oracle インフラストラクチャの監視(セキュリティ監視を含む) • Oracle Cloud オペレーションのメンテナンス(パッチ適⽤)およびセキュリティ対応のためのアクセス Exadata Database Service において CPS が OCI へのネットワーク接続を失った場合のレジリエンス Copyright © 2021, Oracle and/or its affiliates 17
  18. • 保持される機能 – Autonomous Database 内部で動作している機能 • お客様のデータベースへのアクセス • ⾃動チューニング機能

    • ⾃動索引機能 • ⼀時中断される機能 – Cloud インタフェースを必要とする機能 • 新規プロビジョニング • ⾃動スケーリングの有効化/無効化 • パッチ適⽤ Autonomous Database on ExaC@C において CPS が OCI へのネットワーク接続を失った場合のレジリエンス Copyright © 2021, Oracle and/or its affiliates 18
  19. Customer Managed L2 Connections Exadata Storage Server Exadata Database Server

    DB Control Plane DBaaS UI/API Customer OCI Tenancy Oracle Admin VCN Customer Data Center お客様 ユーザー/ アプリケーション https TCP 443 IMM Feed Automation Access mTLS https port 443 Control Plane Server Secure Outgoing Tunnel Client Customer VM DB Agent ssh port 22 SQL*Net port 1521 Customer software Layer 2 VLAN Persistent Automation Secure Tunnel TLS 1.2 TCP 443 Image Server http get port 80 Monitoring Service IMM https TCP 443 Identity Management Object Storage Service Patch Staging https TCP 443 Identity https TCP 443 Exadata Database Service における ポートとプロトコル 19 port 22 Automation Tunnel Initiation Secure Operator Tunnel Service Secure Operator Tunnel Client Temporary Operator Secure Tunnel TLS 1.2 TCP Port 443 Identity Service Secure Outgoing Tunnel Service Monitoring Agent Logging Agent Identity https TCP 443 Logging Service
  20. Customer Managed L2 Connections Exadata Storage Server Exadata Database Server

    DB Control Plane DBaaS UI/API Customer OCI Tenancy Oracle Mgmt VCN for ADB Customer Data Center Customer User/App https TCP 443 mTLS https port 443 Control Plane Server Secure ADB Tunnel Client ADB VM Cluster DB Agent SQL*Net Ports 1521, 2484 Layer 2 VLAN Persistent Automation Secure Tunnel TLS 1.2 TCP 443 http get port 80 Autonomous Database on ExaC@C における ポートとプロトコル 20 Automation Tunnel Initiation Secure ADB Operator Tunnel Service Secure Operator Tunnel Client Temporary Operator Secure Tunnel TLS 1.2 TCP Port 443 Secure ADB Tunnel Service
  21. • クラウド・オートメーションによるお客様 VM とデータベースへのアクセス • お客様の VM とデータベースへのパッチ適⽤、バックアップ、リストア • ASM

    ストレージおよびお客様 VM のメモリの割当てとサイズ変更 • お客様 VM の SSH 鍵管理 • クラウド・オートメーションの、アクセスするコンポーネントに基づくセキュアなアクセス⽅法 • Database Cloud Services (DBCS) agent への、ストレージ・ネットワークにおける 443 番ポートによる mTLS を利⽤したセキュアな接続 • お客様 VM への、管理⽤ネットワークにおける 22 番ポートによるトークンベース ssh を利⽤したセキュアな接続 • お客様データベースへの、オラクル・ユーザー・アカウントからの OS 認証を利⽤したセキュアな接続 • オラクルとお客様のコントロールにより、アクセス⽅法を管理 • お客様テナンシーにはお客様の IAM によるコントロール • お客様データベースにはお客様データベースによるコントロール • お客様 VM にはお客様 VM によるコントロール • ssh 鍵、セキュア・トンネル、mTLS についてはオラクルによるコントロール Exadata Database Service における クラウド・オートメーションによるアクセス・プロトコル Copyright © 2021, Oracle and/or its affiliates 21
  22. • クラウド・オートメーションによる ADB VM とデータベースへのアクセス • Autonomous VM とデータベースへのパッチ適⽤、バックアップ、リストア •

    ASM ストレージおよび Autonomous VM のメモリの割当てとサイズ変更 • オラクル・オペレーターによるアクセス⽤の SSH 鍵管理 • クラウド・オートメーションのアクセス⽅法 • Database Cloud Services (DBCS) agent への、ストレージ・ネットワークにおける 443 番ポートによる mTLS を利⽤したセキュアな接続 • Autonomous VM への、管理⽤ネットワークにおける 22 番ポートによるトークンベース ssh を利⽤したセキュアな接続 • Autonomous Database への、オラクル・ユーザー・アカウントおよび Database Vault からの OS 認証を利⽤したセ キュアな接続 • オラクルとお客様のコントロールにより、アクセス⽅法を管理 • データベース・プロビジョニングには、お客様テナンシーでのお客様 IAM によるコントロール • オラクル管理サービス・アカウントからデータを隔離するために Database Vault のお客様によるコントロール • データへのアクセスには、お客様データベースでのお客様データベースによるコントロール • Autonomous VM クラスタでのオラクルによるアクセス・コントロール • ssh 鍵、セキュア・トンネル、mTLS のオラクルによるコントロール Autonomous Database Service における クラウド・オートメーションによるアクセス・プロトコル Copyright © 2021, Oracle and/or its affiliates 22
  23. 23 Copyright © 2021, Oracle and/or its affiliates Sep 27,

    2021 Exadata Database Service でのシングル VM クラスタにおける ネットワーク・アーキテクチャ (1) bondeth0 クラ イアントネットワー ク (2) bondeth1 バッ クアップネットワー ク (3) eth0 管理ネット ワーク (4) re0 ストレージ /RAC インターコネ クト (5) re1ストレージ /RAC インターコネ クト Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch お客様スイッチ Layer 2 VLAN 1 2 お客様スイッチ Layer 2 VLAN ExaC@C Client Bond Backup Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth 5 vNIC SR-IOV 3 vNIC NAT 4 お客様 VM
  24. 24 Copyright © 2021, Oracle and/or its affiliates Sep 27,

    2021 Security Detail: Client Connection to the Customer Network (1) bondeth0 クライアントネットワーク Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN 1 ExaC@C Client Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure 1 vNIC Cust VM 1 お客様は、L2ネットワーク スイッチを直接コンピュート ノードに接続 お客様は、このパスを介して VMコンポーネントにアクセ ス お客様が暗号化と認証を管理 Oracle Cloud Opsは、お客様 が特に支援を要求しない限り、 お客様のVMで操作を実行し ません。 ユースケースは、お客様が sshd_confを編集時に失敗し、 ログインできない場合があり ます
  25. 25 Copyright © 2021, Oracle and/or its affiliates Sep 27,

    2021 Security Detail: Backup Connection to Customer Network (2) bondeth1 バックアップネットワーク Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN 2 Customer Switch Internet Access ExaC@C Backup Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 2 vNIC Cust VM 2 お客様は、L2ネットワーク スイッチを直接コンピュー トノードに接続 お客様は、このパスを介し てVMコンポーネントにア クセス お客様が暗号化と認証を管 理 カスタマークライアントト ラフィックとバックアップ トラフィックを分離 Oracle Cloud Opsは、顧客 データベースのバックアッ プを管理しません。
  26. 26 Copyright © 2021, Oracle and/or its affiliates Sep 27,

    2021 Security Detail: Cloud Tooling VM Access (3) eth0 管理ネットワーク Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN Customer Switch Internet Access ExaC@C Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth 3 vNIC NAT Cust VM お客様の管理者は、お客様先からインター ネット経由でクラウドテナンシーに接続 お客様は、このパスを介してVMコンポー ネントにアクセスし、CPU数の追加/削減 などのOSコンポーネントを調整 カスタマーVMへのアクセスを必要とする アクションは、Exadata Database Serverか らアクセス可能なカスタマーVMにNATア ドレスとして実装された内部管理ネット ワークを介してトークンベースのsshを介 して実行されます。 パブリックsshキーは 一時的なものであり、顧客が呼び出した管 理アクションの目的で生成され、顧客VM のoracle、opc、およびrootユーザーの authorized_keysファイルに保存されます。 プライベートsshキーは一時的に生成さ れ、顧客が呼び出す管理アクションの目的 で生成され、顧客のデータセンターに格納 されているExadataハードウェアで実行さ れているOracle Cloud Automationソフト ウェアによってメモリに格納されます。
  27. 27 Copyright © 2021, Oracle and/or its affiliates Sep 27,

    2021 Security Detail: Storage Network and RAC Interconnect (4) re0 ストレージ/RAC インターコネクト Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN 1 2 Customer Switch Internet Access ExaC@C Backup Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth vNIC NAT 4 Cust VM お客様の管理者は、顧客企業からイ ンターネット経由でクラウドテナン シーに接続します。 お客様は、このパスを介してVMコ ンポーネントにアクセスし、環境の バックアップ、作成、またはパッチ を適用するDBコンポーネントにア クセスします。 CPSプロキシはExaCCコンポーネン トにコマンドを発行します カスタマーVMのデータベースサー ビスへのアクセスを必要とするアク ションは、OCIコントロールプレー ンとDB Agent間のmTLS(ポート 443)接続を介してカスタマーVM で実行されているDB Agent に送信 されます。 このmTLS接続は、 ExaCCラックのプライベート相互接 続ネットワークを介して実装されま す。 CloudOpsはデータベースサービス を調整しません。
  28. 28 Copyright © 2021, Oracle and/or its affiliates Sep 27,

    2021 Security Detail: Storage Network and RAC Interconnect (5) re1ストレージ/RAC インターコネクト Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN Customer Switch Internet Access ExaC@C Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth 5 SR-IOV Cust VM お客様の管理者は、顧客企業からイン ターネット経由でクラウドテナンシー に接続します。 お客様は、このパスを介してVMコン ポーネントにアクセスし、環境のバッ クアップ、作成、またはパッチを適用 するDBコンポーネントにアクセスしま す。 CPSプロキシはExaCCコンポーネント にコマンドを発行します カスタマーVMのデータベースサービ スへのアクセスを必要とするアクショ ンは、OCIコントロールプレーンとDB Agent間のmTLS(ポート443)接続を 介してカスタマーVMで実行されてい るDB Agent に送信されます。 この mTLS接続は、ExaCCラックのプライ ベート相互接続ネットワークを介して 実装されます。 CloudOpsはデータベースサービスを 調整しません。
  29. 29 Copyright © 2021, Oracle and/or its affiliates Sep 27,

    2021 Security Detail: Outbound Connections from CPS to OCI (6) オラクル社へのトンネル Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN Customer Switch Internet Access ExaC@C Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth Cust VM 6 ローカル Control Planeは、 https、ポート443を介して REST API呼び出しをSecure Outgoing Tunnel Serviceヘッ ドエンドに中継し、DBaaS UI に接続された「永続的なTLS1.2 HTTPSセキュアトンネル」を インスタンス化して、ExaCC Automationを有効にします。 カスタマーパッシブプロキシ がサポートされています httpsプロキシ、チャレンジプ ロキシ、およびトラフィック インスペクションはサポート されていません CPSには、50 / 10MBSのダウ ンロード/アップロードネット ワーク帯域幅が必要です
  30. 30 Copyright © 2021, Oracle and/or its affiliates Sep 27,

    2021 Exadata Database Service でのシングル VM クラスタにおける ネットワーク・アーキテクチャ (1) bondeth0 クラ イアントネットワー ク (2) bondeth1 バッ クアップネットワー ク (3) eth0 管理ネット ワーク (4) re0 ストレージ /RAC インターコネ クト (5) re1ストレージ /RAC インターコネ クト (6) オラクル社への トンネル Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN 1 2 Customer Switch Internet Access ExaC@C Client Bond Backup Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth 5 vNIC SR-IOV 3 vNIC NAT 4 Cust VM 6
  31. Exadata Database Service でのマルチ VM クラスタにおける ネットワーク・アーキテクチャ Copyright © 2021,

    Oracle and/or its affiliates 31 物理リンクは Active/standby で bond された HA 構成 クライアントとバックアップ・ネットワークおよび VM クラスタ間を分離するための VLAN 管理ネットワーク間を分離するための Layer 2 ネットワーク ストレージおよびクラスタ・インターコネクト ・ ネットワーク間を分離するための Layer 2 ネットワーク (1) bondeth0 – クライアント・ネットワーク (2) bondeth1 – バックアップ・ネットワーク (3) eth0 – 管理ネットワーク (4) re0 – ストレージ/クラスタ・インターコネクト (5) re1 – ストレージ/クラスタ・インターコネクト Exadata DB Server お客様 VM 1 1 2 4 3 vNIC NAT お客様 VM 2 4 1 2 3 vNIC NAT Storage Networks Active/Standby Bond for Backup Network Active/Standby Bond for Client Network Storage Network Management Network VM 1 Client VLAN VM 1 Client Network VM 1 Backup VLAN VM 1 Backup Network VM 2 Backup VLAN VM 2 Backup Network VM 2 Client VLAN VM 2 Client Network 5 5 お客様スイッチ Layer 2 VLAN Storage Networks
  32. 32 Copyright © 2021, Oracle and/or its affiliates Sep 27,

    2021 Autonomous Database Service でのシングル VM クラスタにおける ネットワーク・アーキテクチャ (1) bondeth0 クライ アントネットワーク (2) bondeth1 バック アップネットワーク (3) eth0 管理ネット ワーク (4) re0 ストレージ /RAC インターコネク ト (5) re1ストレージ /RAC インターコネク ト Control Plane Server Exadata Storage Server Exadata DB Server Storage Network Switch Management Network Switch Customer Switch Layer 2 VLAN 1 2 Customer Switch Internet Access ExaC@C Client Bond Backup Bond Management Network Storage Networks Internet Oracle Cloud Infrastructure Control Plane Server Net 50 Mbps Min Bandwidth 5 vNIC SR-IOV 3 vNIC NAT 4 ADB VM
  33. Exadata Database Service and Exadata Cloud@Customer Infrastructure • オラクルのスタッフはお客様の VM、サービス、データへのアクセスは認可されていない

    • お客様が VM、サービス、データへのアクセスをコントロール • 特定のユーザーが多要素認証にて ssh 経由で踏み台サーバー、 Control Plane Server へアクセス • FIPS 140-2 準拠のワンタイム・パスワード • 管理ネットワークを介したトークンベース ssh による特権アクセス • Exadata Database Server, Exadata Storage Server, その他の Oracle 管理のインフラ オラクル・リモート・オペレータ・アクセスのセキュリティ Sep 27, 2021 Copyright © 2021, Oracle and/or its affiliates 33 Exadata Storage Server Exadata Database Server Admin VCN Secure Tunnel Service ExaC@C OCI Bastion and Management Server Implementation ssh port 22 over mgmt net ssh port 22 ssh port 22 Control Plane Server TLS 1.2 TCP 443 Oracle Cloud Network Attach (OCNA) Secure Tunnel Initiation
  34. Autonomous Database Service Overlay • オラクルのスタッフはお客様のデータベース・データへのアクセスは認可されていません • Oracle Database Vault、Transparent

    Data Encryption、Oracle Native Network Encryption • 特定のユーザーが多要素認証にて ssh 経由で踏み台サーバー、 Control Plane Server へアクセス • FIPS 140-2 準拠のワンタイム・パスワード • 管理ネットワークを介したトークンベースによるインフラストラクチャと Autonomous VM への特権アクセス • Exadata C@C Infrastructureへのアクセス無し • OS 認証による特権 (SYSDBA) データベース・アクセス オラクル・リモート・オペレータ・アクセスのセキュリティ Sep 27, 2021 Copyright © 2021, Oracle and/or its affiliates 34 Exadata Database Server Management VCN Secure Tunnel Service ExaC@C OCI Bastion Server Keystroke Logging ssh port 22 ssh port 22 Control Plane Server TLS 1.2 TCP 443 Oracle Cloud Network Attach (OCNA) Secure Tunnel Initiation ADB VM SYSDBA
  35. 35 Copyright © 2021, Oracle and/or its affiliates • 職務分掌

    • ExaC@C サポート・ロールは、オラクル社のサポート・スタッフに踏み台サーバーへのアクセスを承認 • 踏み台サーバー・オペレーター・ロールは、踏み台サーバーへの管理アクセスを承認 • オラクル社の⼀⼈のスタッフが両⽅のロールをもつことは許可されていません • 踏み台サーバーのアクセス・セキュリティ • FIPS 140-2 準拠のワンタイム・パスワードを介した特定のユーザ • クラウド・テナンシー ID 監査により許可された接続を確認 • オラクル社は踏み台サーバーへのすべてのアクセスをログし監査 • コントロール・プレーン・サーバーのアクセス・セキュリティ • FIPS 140-2 準拠のワンタイム・パスワードを介した特定のユーザ • オラクル社はコントロール・プレーン・サーバーへのすべてのアクセスをログし監査 オペレータ・アクセスに対するオラクルのコントロール
  36. 36 Copyright © 2021, Oracle and/or its affiliates • すべてのロールのアサインメントを承認プロセスで管理

    • ExaC@C 管理アクセスの適格性をジョブ・コードから 決定 • ⾃動ジョイン・移動・削除プロセス • 部署異動 • 離職 • 必須トレーニング Oracle Identity Management
  37. ExaC@C オペレーション・アクセス管理・レビュー Copyright © 2021, Oracle and/or its affiliates 37

  38. ロール例 Copyright © 2021, Oracle and/or its affiliates 38

  39. • オラクル社ファシリティへの⼊場に電⼦フォト ID アクセスカードが必要 • セキュリティ・レベルの⾼いフロアと部屋へのアクセスには、より⾼度なアクセス許可が ID カードに必要 • ビル内のクローズドな監視モニター

    • 社員の⼊社・退社・異動プロセスは Oracle Identity Manager でコントロール • 資格付与は⼈事システムと部署ロールと統合 • オラクル・ファシリティ外からのアクセス • ExaC@C リソースへのサービス提供のためにはオラクル社の企業 VPN アクセスが必要 • VPN アクセスのための多要素認証 オラクル社員のアクセス・セキュリティ Copyright © 2021, Oracle and/or its affiliates 39
  40. • 業界で実績のあるセキュリティ技術から構成 • Oracle Database, Exadata, OCI • 完全なライフサイクル・マネジメント •

    セキュアなデプロイメント、セキュアなメンテナンスとオペレーション、セキュアな環境削除 • エンド・ツーエンドのデータ保護 • 通信中、処理中、格納中 • マルチレイヤーでのアプローチ • スタックを通じてポリシー・コントロールとテクニカル・コントロールを介して実装 • オラクル社のスタッフとお客様の職務分離 多層防御ストラテジー Copyright © 2021, Oracle and/or its affiliates 40
  41. • Exadata は業界で最もセキュアなデータベース・プラットフォーム • 数千社のお客様、数百⼈の専⾨家、世界中のミッション・クリティカルなシステムでの利⽤ • 標準の設定 • 最⼩のパッケージと最⼩の稼働サービス •

    トークンベースの SSH アクセス • ローカルでの syslog 監査 • パスワード保護されたローカル TDE キー・ウォレット • 職務分掌 • お客様が VM、データベースおよびデータベースのデータへのアクセスをコントロール • オラクル社はインフラストラクチャへのアクセスをコントロール Exadata Database Service におけるセキュリティ概要 Copyright © 2021, Oracle and/or its affiliates 41
  42. • Exadata は業界で最もセキュアなデータベース・プラットフォーム • 数千社のお客様、数百⼈の専⾨家、世界中のミッション・クリティカルなシステムでの利⽤ • 標準の設定 • 最⼩のパッケージと最⼩の稼働サービス •

    トークンベースの SSH アクセス • ローカルでの syslog 監査 • パスワード保護されたローカル TDE キー・ウォレット • 職務分掌 • お客様が Database Vault を介してデータベース・データへのアクセスをコントロール • オラクル社はインフラストラクチャおよび特権データベース・アカウント (例 SYSDBA) へのアクセス をコントロール Autonomous Database Service におけるセキュリティ概要 Copyright © 2021, Oracle and/or its affiliates 42
  43. • お客様は root アクセスが可能で、root パスワードを管理 • root パスワードは Oracle クラウド・オペレーションと共有不要

    • お客様はエージェントのインストールが可能で、監査ログを設定可能 • お客様のローカル・プロセスとポリシーの実装が可能 • お客様の SIEM(Security Information and Event Management)サーバーにログを送信可能 • お客様は特定のユーザー認証の実装が可能 • お客様の既存のセキュリティ・ベスト・プラクティスの実装が可能 • お客様は VM にネットワーク・ファイアウオールを設定可能 • ただし、クラウド・オートメーション機能へのアクセスを許可すること Exadata Database Service における基本的なお客様のコントロール Copyright © 2021, Oracle and/or its affiliates 43
  44. • お客様は Oracle Database のデータベース・データへのユーザ・アクセスをコントロール • Advanced Security Option を含む

    • お客様は Oracle サービス・アカウント・データをコントロール • オラクルはサービス・アカウントへのアクセスをコントロール • お客様はデータベースに対して Oracle Database 互換の特定のユーザ認証を設定可能 • お客様の既存のセキュリティ・ベスト・プラクティスの実装が可能 Autonomous Database Service における基本的なコントロール Copyright © 2021, Oracle and/or its affiliates 44
  45. • Oracle Native ネットワーク暗号化 • クライアントとデータベース間のデータ通信を暗号化で保護 • TDE 暗号化 •

    鍵はお客様管理のキーストアに保管可能 • Data Masking • 特定のユーザーとロールのためのきめ細かいデータ・アクセス・コントロール • Database Vault • 特権ユーザーのデータ・アクセスを不可として、特定のユーザーにのみデータ・アクセス可能に • ExaC@C VM クラスタ • お客様 VM の OS レベルでのワークロードの分離とアクセス・コントロール • 先進のデータベース・セキュリティ機能 • リダクション、マスキング、サブセッティング、ラベル・セキュリティ Exadata Database Service のさらなるお客様のコントロール Copyright © 2021, Oracle and/or its affiliates 45
  46. • Oracle Native ネットワーク暗号化 • クライアントとデータベース間のデータ通信を暗号化で保護 • TDE 暗号化 •

    鍵はお客様管理のキーストアに保管可能 • Data Masking • 特定のユーザーとロールのためのきめ細かいデータ・アクセス・コントロール • Database Vault • 特権ユーザーのデータ・アクセスを不可として、特定のユーザーにのみデータ・アクセス可能に • 先進のデータベース・セキュリティ機能 • リダクション、マスキング、サブセッティング、ラベル・セキュリティ Autonomous Database Service のさらなるお客様のコントロール Copyright © 2021, Oracle and/or its affiliates 46
  47. • 通信中データの保護 • Oracle Native Network Encryption • 処理中データの保護 •

    Oracle Database Vault • 格納中データの保護 • Oracle Transparent Data Encryption エンド・ツー・エンドのデータ保護 Copyright © 2021, Oracle and/or its affiliates 47 Server/OS VM/OS App Switch Router Router Switch Exadata Database Server Customer VM Instance Exadata Storage Network Exadata Storage Server DB Oracle Native Network Encryption Transparent Data Encryption Database Vault Named User
  48. セキュリティとコンプライアンスのリスクは、主にデータ・プライバシー、内規、外部の規制への懸念から、お客様がエンタープライ ズ・アプリケーションをクラウドに適⽤される際の懸念材料としてトップとして位置づけられています。Oracle Managed Cloud Service (OMCS) はオラクルの PaaS と IaaS

    クラウドのお客様に、セキュリティとコンプライアンスのニーズに対応するための 選択肢として Managed Security Service (MSS) オプションを提供します。 MSS サービスの 3 つの主要な機能と効果は以下になります • ライフサイクル・マネージメント: Oracle MSS チームは MSS ポートフォリオにおけるすべてのサービスを実装、管理、監 視します。セキュリティ・サービス・マネージャーが MSS プロジェクトの管理、サービス提供、お客様の質問への対応のために アサインされます • ターンキー・サービス: お客様はサブスクリプション・モデルで MSS サービスを活⽤できます。Capex の投資は不要です。 • Oracle by Oracle: Oracle MSS は 12 年以上にわたって、Oracle 顧客に対するセキュリティ・サービスとソリュー ションの提供をしてきた専⾨知識があります。お客様は MSS がもたらす規模の経済のメリットを受けられます Exadata Cloud@Customer 追加サービス Copyright © 2021, Oracle and/or its affiliates 48
  49. Oracle クラウドのお客様のための MSS の選択 Managed Security Service Copyright © 2021,

    Oracle and/or its affiliates 49 MSS Service Offering OCI IaaS/PaaS OCI - C IaaS/PaaS On Premise Oracle Cloud @Customer Oracle SaaS Hybrid Identity Cloud Service/Managed IDCS/Managed CASB 〇 〇 • 〇 〇HICS/CASB/IDCS Infrastructure Vulnerability Assessment • • •1 • Web Application Vulnerability Assessment (WAS) • • •2 • Web Application Firewall • • • • Database Security Risk Assessment • • • • Database Encryption Service 〇 〇 • 〇 Database Vault Service • • • • Data Masking Service • • • • Database Auditing Service • • • • GxP Validation Security Services • • 〇 現時点では 利⽤不可 • •Fusion SaaS •: Limited in Scope, 〇: Incremental to base PaaS capabilities, •: Full Service Availability 1 For large scale projects (100+ VMs/20+ DBs) only; 2 For Internet Facing Web Applications (COTS/Custom)
  50. 多層防御 Copyright © 2021, Oracle and/or its affiliates 50 Exadata

    Encrypt Redact Mask Subset Compute Compute Key Vault Audit Vault Database Vault Infra Adm Apps Storage Adm Test Dev Protect ZDLRA Infrastructure Admin Network Client and Backup Network People and Apps Data Infrastructure Platform Add Ons NFS Standby DB Object Store DB Firewall Encrypt DB ISE Storage Storage Storage IB Network VM VM DBA SA
  51. オラクルが管理するインフラストラクチャ・ログ Copyright © 2021, Oracle and/or its affiliates 51 ILOM

    syslog はホストの syslog にリダイレクトされています ログは SR でリクエストすることでお客様が⼊⼿可能です ログは 13 ヶ⽉間保持されます Source Log Exadata Database Server, cell, IB /var/log/audit/audit.log Exadata Database Server, cell, IB /var/log/secure, /var/log/messages ILOM* syslog Exadata Database Server /var/log/xen/xend.log cell /var/log/oracle/diag/asm/cell/<hostname>/alert/log.xml /var/log/oracle/diag/asm/cell/<hostname>/trace/ms-odl*.log IB /var/log/opensm.log
  52. インフラストラクチャ・ログ解析: Chainsaw Copyright © 2021, Oracle and/or its affiliates 52

    • GUI ログ・ビューワ、Log4J パッケージのフィルター • ログされたイベントをリッスン、テーブル形式で表⽰
  53. インフラストラクチャ・ログ解析: ELK Copyright © 2021, Oracle and/or its affiliates 53

    • Elasticsearch • 検索解析エンジン • Logstash • ログ記録管理ツール • Kibana • データ可視化ツール • チャートとグラフ
  54. インフラストラクチャ・ログ解析: Lumberjack Copyright © 2021, Oracle and/or its affiliates 54

    • rsyslog への構造化ロギング • syslog のストリングを JSON 形式に変換 • メッセージの検索、分析、相関 • From • To
  55. インフラストラクチャ・ログ解析: Splunk Copyright © 2021, Oracle and/or its affiliates 55

    • リアルタイムでのログのキャプチャ、インデックス付け、相関分析 • 検索可能なレポジトリへ • グラフ • レポート • アラート • ダッシュボード • 可視化
  56. インフラストラクチャ・ログ解析 Copyright © 2021, Oracle and/or its affiliates 56 •

    オラクル社のスタッフはログを⾒ることが承認されています • Oracle Defect Assessment Review Team (DART) • Oracle Security Operations Center (SOC) • Oracle SIEM (Security Information and Event Management) にログが送付され ⾃動分析および警告を実⾏ • VPN が途切れた場合 • ローカルサーバーにログはキャッシュ • 保持期間は最⼩7⽇間
  57. ケース1:お客様はお客様のVMにログインできる場合 • お客様が障害を示すサービスリクエスト(SR)を開きます • お客様またはOracleが共有セッションを開き、SRにセッション情報を示し ます • オラクルと顧客スタッフは、SRから共有セッション情報にアクセスします • お客様は、お客様の資格情報を使用してお客様のVMにアクセスします

    • お客様は、Oracleスタッフの指示に従って問題を解決するコマンドを入力 するか、OracleスタッフがVMセッションのキーボード入力を制御すること を許可します。 • お客様は診断情報でSRを更新します • オラクルのスタッフがSRを解決情報で更新します 例外ワークフロー–顧客VMへのOracleスタッフのアクセス Copyright © 2021, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted 57
  58. ケース2:お客様がお客様のVMにログインできない場合 • お客様が次の記載でサービスリクエスト(SR)を開きます • SR Title: SR granting Oracle explicit

    permission to access DomU of ExaCC with serial number AKXXXXXXXXX • SR Content: We are opening this SR to grant explicit permission to Oracle to access our DomU in order for support to help resolve issue described in SR# XXXXXXXX. We acknowledge that by providing this permission, we understand that Oracle will have access to ALL FILES in DomU and agree that there are no confidential files stored in any of the file systems in DomU. In addition, we also agree that customer security team has authorized Oracle to have access to customer DomU in order to resolve the issue described in the above SR. • オラクルまたはお客様は共有セッションを開き、SRで共有セッション情報を提供します • Oracleとお客様の両方が共有セッションにアクセスすると、OracleはOpCtlフルアクセ スケージを使用してお客様のVMにアクセスし、問題を解決します 例外ワークフロー–顧客VMへのOracleスタッフのアクセス Copyright © 2021, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted 58
  59. セキュリティ・モニタリングに対するチームでのアプローチ Copyright © 2021, Oracle and/or its affiliates 59 •

    オラクルまたはお客様のいずれかが不正なイベントがあったと疑う場合、サポートデータを収集し、 My Oracle Support にサービス・リクエストを記録してレビューを開始します • 両⽅のチームから提供されたすべてのデータを使⽤して、問題を切り分け、結論を導き、根本原因を突き ⽌め、必要に応じて修正します • セキュリティ関連の Oracle のサービス・リクエストへのアクセスは厳しく制限されています (この件の関係者 のみがアクセスできます) • その SR に直接関与していないオラクル社員は、もし⾒ようとしてもアクセスが拒否されます Monitoring/Event Mgt Incident Mgt Problem Mgt Change Mgt Configuration Mgt Knowledge Base Service Reporting Cloud Operations System Management LOGS MOS LOGS Customer System Management Monitoring/Event Mgt Incident Mgt Problem Mgt Change Mgt Configuration Mgt Knowledge Base Service Reporting
  60. 鍵を⽞関マットの下に隠さないでください Copyright © 2021, Oracle and/or its affiliates 60 •

    オラクルのフォレンジック調査による 2 つの主要なセキュリティ違反の理由 • 特権アカウントへの脆弱なパスワード • 既知の脆弱性へのパッチの未適⽤ • オラクルのクラウド・オートメーションで以下を実⾏ • 特権ユーザーへの強固なパスワードへの強制 • データベースを最もセキュアな状態に維持
  61. DBA と IT の課題に関する数字 データベース管理に関するワークロードは転換点に近づいている。データ ベース管理者へのオラクルによる調査によると、39% の DBA が 50

    以 上のデータベースを管理、95% の IT プロフェッショナルが⼿動でデータ ベースを作成およびアップデートを実施している。多くの DBA は、⾮計画 停⽌を経験しており、 複数の管理およびバックアップ・ツールを利⽤していく ことに苦労している。 保守 vs イノベーション IT 予算の 72% が単に既存の IT システムの保守費⽤に使⽤され、残 り 28% がイノベーションに使⽤されている。 今⽇の DBA はオートメーションが必要 Copyright © 2021, Oracle and/or its affiliates 61 DBA のワークロードは増加: 39% の DBA が 50 以上 のデータベースを管理 ⾃動化の⽋如: 95% の DBA が⼿動でデータベースを 作成およびアップグレード 78% の DBA がテストをし ていないデータベースの変更 により⾮計画停⽌を経験 DBA と IT スタッフは完全な保護 を提供するのに苦労: 2/3 の組織が複数ツールを利⽤し て1つのデータベースをバックアップ の IT 予算が保守費⽤で 残りがイノベーション 基幹業務からのサービス需要 に対応 パフォーマンス SLA、セキュリ ティ、コンプライアンス、可⽤性 の確保
  62. • Database および Grid Infrastructure • 作成、削除、起動、停⽌、再起動 • バックアップ、リストア •

    パッチ適⽤とロールバック • Oracle ホームの共有 • 異なる Oracle ホームへの DB の移動 • DB の同期 • Data Guard セットアップ、スイッチオーバー、 スイッチバック • Data Guard フェイルオーバーとフェイルバック • Transparent Data Encryption • Oracle Native Network Encryption • RAC ノード・データベース・サブセッティング (CLI ツールによる) • 仮想マシン (VM) クラスタ • ExaC@C ラックあたりの複数 VM クラスタ • 作成、削除、起動、停⽌、再起動 • メモリー、ローカル・ストレージ、Exadata Storage スケーリング • OCPU スケーリング • Control Plane オフライン時の OCPU スケーリング • SSH アクセス・トークンのインストール • ライセンス・モデルの変更 • ExaCLI でのストレージ構成・情報取得 • パッチ適⽤、ロールバック、アップグレード (CLI ツールによる) Exadata Database Service における主なクラウド・オートメーション機能 Copyright © 2021, Oracle and/or its affiliates 62
  63. 管理インタフェース Copyright © 2021, Oracle and/or its affiliates 63 •

    Oracle Cloud Infrastructure コンソール • https によるブラウザ・アクセス (ワンタイム・アクションやアドホックなタスクに最適) • Software Development Kit (SDK) • OCI サービスに統合するアプリケーションの開発とデプロイ • Java, Python SDK, Ruby SDK, Go SDK, Ansible SDK • OCI Command Line Interface (OCI CLI) • コンソール機能を拡張 • GUI よりも CLI を好む開発者などの⽅にとって便利 • Oracle Cloud Shell • OCI コンソールから利⽤可能なOCI CLI • Terraform • お客様の IT インフラストラクチャをコードとして管理、バージョン管理、永続化
  64. クラウド・オートメーションによる標準化 Copyright © 2021, Oracle and/or its affiliates 64 •

    Exadata Cloud@Customer の基本デプロイメントの標準化 • インフラ、VM、データベースのセキュア化、管理、アップデート • ⾃動での TDE と MAA ベストプラクティスの実装 • バックアップ、リストア、およびパッチ適⽤ • DBA リソースを解放し、ビジネスを促進 • 競合優位にたつデータを⽤いた戦略的なアドバイザー • アプリケーションと SQL チューニング、レポートの最適化 • Oracle Database と Exadata 機能のすべてを活⽤
  65. Thank you ⽇本オラクル株式会社 65 Copyright © 2021, Oracle and/or its

    affiliates
  66. CPS は⾃動的に 443 番ポートによるアウトバウンド https TCP 接続を実施 • コーポレート・プロキシ経由での接続も可能 •

    アクティブ CPS により接続 • スタンバイ CPS は、プライマリ CPS が障害の場合に、接続を再確⽴ OCI VCN と ExaC@C Control Plane Server (CPS) 間の接続は常にレイ ヤー 7 • 任意のプロセスはレイヤー 3 での接続は不可 • ExaC@C 管理ネットワークはお客様ネットワークからは完全に分離 OCI から ExaC@C インフラストラクチャへのすべての管理アクティビティは CPS の WS クライアントを通じて実⾏ • 保守および監査が容易 永続的な管理トンネルは、ExaC@C インフラストラクチャで動作するエージェントに 対して、コントロールされた REST API コールをサポート 永続的な管理トンネル Copyright © 2021, Oracle and/or its affiliates 66 OCI データセンター CPS WS クライアント 管理 VCN WS サーバー お客様 データセンター アウトバウンド HTTPS インバウンド REST API コール
  67. 1. Cloud Ops が ssh コマンドを発⾏し、ターゲット・シ ステムへアクセス 2. Cloud オートメーションが

    REAT API コマンドを送信 し、⼀時的なセキュア・オペレータ・トンネルを確⽴ 3. ssh コマンドはターゲット・システムへトンネルを通じて 送信 4. Cloud Ops はタスクを実施 5. Cloud Ops は ssh セッションを終了 6. Cloud オートメーションはセキュア・オペレータ・トンネル を終了 SSH による⼀時的なオペレータ・トンネル Copyright © 2021, Oracle and/or its affiliates 67 OCI データセンター CPS WSクライアント 管理 VCN WS サーバー お客様 データセンター セキュア・ オペレータ ・ トンネル アウトバウンド HTTPS Stunnel を有効にする REST API コール Stunnel クライアント Stunnel サーバー インバウンド SSH
  68. None