[OCI]セキュリティは専門家だけのものではなく、もっと簡単にしなければならない (2020/01/06)

 セキュリティは専門家だけのものではなく、もっと簡単にしなければならない (2020/01/06)

https://blogs.oracle.com/cloudsecurity/security-must-be-easier-and-not-just-for-the-experts
投稿者:Paul Toal | Distinguished Solution Engineer - Cyber Security

遡ること2017年、私はロンドンで開催されたInfoSec Europeに参加し、オラクルのスタンド当番をしていました。
その後、参加者がオラクルのスタンドに来て、「なぜデータベース会社がInfoSecにいるのか」と尋ねてきたときに、
私が聞いていた驚きを表現する記事を書きました。
その記事では、オラクルがいかに40年以上にわたってセキュリティ企業であり続けてきたかを叙情的に語り、
オラクルがセキュリティに力を入れている分野(OSセキュリティ、データセキュリティ、アイデンティティとアクセス管理、
アプリケーションセキュリティ、エッジセキュリティなど)をいくつか挙げました。

2018年、私は再びオラクルのスタンドにいました。
今回は質問内容が変わっていました。
出席者はオラクルがセキュリティに取り組んでいることを認識しており、多くの関心はOracle Cloudとそのセキュリティに向けられていました。
しかし、この記事の焦点はそこではありません。

2017年と2018年のInfoSecを見て回っているうちに、私は考えさせられました。
ITセキュリティにおけるあらゆる製品、ツール、サービス、イノベーションがあるにもかかわらず、
なぜこれほどまでに多くの侵害や組織への攻撃が成功しているのだろうか。
もちろん、この分野で働いている人なら誰もがその答えを知っているでしょう。
その理由を知るためにロケット科学者になる必要はありません。セキュリティは難しい! しかし、なぜでしょうか?

まず、セキュリティの現状を簡単に見てみましょう。
サイバー攻撃者と防御者の間で絶え間なく繰り広げられる「猫とネズミの戦い」では、
攻撃者に有利になる確率が強く積み重なっていることがわかります。これは非対称戦争なのです。



攻撃側のコーナーには、十分なリソースを持った攻撃者がいます。彼らは急いでいるわけではなく、世界中で時間を持て余しています。
彼らは、商用のものでもオープンソースのものでも、豊富なツールやツールキットを利用できます。
彼ら自身が強力なスキルを持っていなくても、クラウド・モデルは、DDoS as-a-service や cryto-locking-as-a-service のようなサービスを利用して、
攻撃者コミュニティにサービスを提供しています。多くのITセキュリティ部門がこれに対抗する。時間が足りない、人が足りない、予算がないなどの理由で、
リストに載っているセキュリティプロジェクトをすべて実装することはできません。
これに加えて、攻撃者は一度だけ成功すればよく、防御者は100%成功しなければならないことを忘れてはいけません。
このことを証明するために、私たちは常にメディアでデータ侵害の話を目にしており、戦いは攻撃者が勝っていることを証明しています。

テクノロジーは急速に進歩しており、新旧を問わず幅広いセキュリティベンダーから素晴らしいツールが市場に出回っていることを知っています。
これらの技術の多くは、AIやMLのような革新的な技術を使用しているか、場合によっては(少なくともマーケティングメッセージでは)過剰に使用しています。
では、これだけの進歩があるのに、なぜディフェンダーが勝てないのでしょうか?

IT セキュリティ部門を十分に整備している場合、安全なソリューションを提供するための製品、ツール、サービスは数多く存在しますが、そのハードルは非常に高いものです。
データベース内のデータを保護するためには、私たちが目にしているような脅威や攻撃から組織を守るための様々な機能を正しく設定するために、
非常に熟練したDBAやセキュリティコンサルタントが必要となります。
サーバーのロックダウン、ネットワークのセグメント化と強化、エンドポイントの保護など、どの分野でも同じことが言えます。
もちろん、自社の資産も助けにはなりません。1000個ものアプリケーションがあり、多くの異なる技術を利用しています。
最近では、データやアプリケーションが多くの異なるクラウドプロバイダーに分散しており、もはや自社のファイアウォールの内側だけではありません。
そのため、使用しているさまざまなクラウド・プロバイダーのそれぞれでセキュリティ責任を果たす必要があります。

導入したセキュリティ製品やサービスはすべて設定が必要で、それは小さな課題ではありません。
最新かつ最高のセキュリティソフトを構築するだけではダメだと感じます。使いやすいものでなければなりません。
ベンダーとしては、ITセキュリティチームやセキュリティツールのユーザーから負担を取り除いて、
企業のセキュリティ姿勢がデフォルトでより安全になり、問題が自動的に特定されて修正され、
何百もの異なるサイロ化された複雑なツールではなく、使用可能なツールの数が少なくなるようにしなければなりません。

オラクルのセキュリティ・ポートフォリオには、
データの保護からユーザー、プラットフォーム、アプリケーションに至るまで、
階層化されたセキュリティを通じた徹底した防御を提供する成熟した機能が数多く用意されています。
オラクルは、当社が事業を展開するすべての分野で市場をリードする製品とツールの提供に努めてきましたが、
今後もそのような取り組みを続けていきます。しかし、既存の課題だけでなく、お客様が直面している新たな課題にも目を向け、
私たちがどのように支援できるかを考えていかなければなりません。ここに多くの時間と労力とリソースを集中しています。

オラクルで行っていることは、顧客のセキュリティ・ベースラインの強化です。

  1. 顧客のセキュリティ・ベースラインの向上
  2. セキュリティツール導入の障壁を減らす
  3. セキュリティリスクをより迅速かつ効率的に軽減するために、可能かつ実用的な場所でセキュリティを自動化すること。

どういうことか説明しましょう.......

Oracle Cloud Infrastructure(OCI) - 第2世代クラウド


OCIは、エンタープライズ向けのオラクル・ワークロードを実行するのに最適な場所です。
しかし、これらのワークロードには、通常、お客様の組織の最も機密性の高いデータが含まれていることを認識しています。
ビジネスに不可欠なオラクル・データベースや、HCM、ERP、CRMなどのオラクル・アプリケーションに保存されているデータです。
そのため、Gen-1クラウドの弱点から学び、サーバー、ハイパーバイザー、テナントなどの主要な脆弱な領域の信頼性を低下させることに重点を置いて、
より安全なクラウドをゼロから構築しました。セキュリティはOCIの設計の最前線にあります。

ここでは、私が言いたいことと、なぜOCIが企業のクラウド内でより良いセキュリティを実現しているのかを示すために、いくつかの例を紹介します。

分離型ネットワーク仮想化
私たちは、クラウド・ネットワークをハイパーバイザーから分離するために、
物理的に分離されたハードウェアとソフトウェアを実装することで、クラウド・インフラストラクチャに対して、
これまでとは全く異なる革新的なアプローチをとっています。
この信頼境界により、クラウド・サーバに対する攻撃がサーバに足場を築き、横移動に利用されるリスクを最小限に抑えることができます。
これはコアとなる設計原則であり、すべてのデータセンターのOCIのすべてのサーバーに実装されています。詳しくはこちらをご覧ください。

Hardware Root of Trust
クラウドで顧客のワークロードを実行しているサーバーの信頼度を下げることが最も重要です。
当社の信頼のハードウェアルートは、顧客間でサーバー上のすべてのファームウェアを原状回復できるように設計されており、
顧客のテナントへのサーバーの割り当ての間に悪意のあるファームウェアが存続するリスクを低減します。詳細はこちらをご覧ください。

Data Safe
長い間、データベースの中で最も包括的なセキュリティ制御のセットを提供してきました。
この範囲のツールは、予防的、検出的、管理的、およびデータ駆動型のコントロールをミックスして提供しています。
これらのツールが提供する保護の性質上、これらのツールの中には他のツールよりも実装が容易なものもあります。
繰り返しになりますが、私たちはお客様の参入障壁を低くしたいと考えていました。
Data Safe は、多くのデータベースのセキュリティ管理を 1 つの使いやすいクラウドベースのコンソールに統合します。
Data Safe はデータベース セキュリティの専門家でなくても使用でき、クラウド サービスであるため、
インフラストラクチャ、インストール、メンテナンスは一切必要ありません。
さらに、Oracle Database Cloud Servicesに加入しているお客様は、Data Safeを無料でご利用いただけます。

Cloud Guard
Oracle OpenWorld 2019で発表されたCloud Guardは、さまざまなOCIサービスのすべてのログを照合して脅威を分析し、
問題が発見された場合に自動化された是正措置を取ります。
ダッシュボード上に何百もの他のセキュリティアラートが表示されているセキュリティアナリストに頼らず、
問題を発見して対処することで、リスクをより迅速かつ効率的に軽減することができます。

Maximum Security Zones
メディアでは、設定ミスの結果としての侵害を目にすることがあまりにも頻繁にあります。
OpenWorld 2019でも発表されたMaximum Security Zonesでは、ゾーンにリソースを展開して
例えば、ストレージバケットを公開できないようにしたり、サーバが公開IPアドレスを持つことができないようにするために設計された、
事前に定義されたセキュリティポリシーが適用されているOCI内のリソースです。
これは、ポリシー外のアクションがあった場合に警告するだけではなく、
その変更が行われたり、ポリシーを満たさないリソースがデプロイされたりするのを積極的に防ぎます。
これにより、クラウド・セキュリティ・コントロールの設定ミスのリスクを管理者ユーザーから遠ざけることができます。

Autonomous Linux and OS Management
成功した攻撃の多くは、既存のセキュリティパッチで防ぐことができたにもかかわらず、それが適用されていなかったことを示す統計がいくつか公表されています。
例えば、InfoSecurity Magazineでは、データ侵害にかかるコストが2億6500万ポンドにも上ることを引用しています。
さらに心配なことに、別の調査では、発見された侵害の80%は、10日以上パッチが適用されなかったことが原因で発生したという結果が出ています。
多くの場合、これはシステムの重要度が高いために十分なダウンタイムを確保できなかったり、
パッチ適用作業のスケジュールを立てるのに時間がかかったりすることが原因です。
OCI OS ManagementとAutonomous Linuxは、OCIベースのIaaSシステム上のOSに自動的にパッチを適用することで、このような問題を解決します。
さらに、Oracle Autonomous Linuxでは、K-Spliceを使用することで、これらのパッチ(カーネル・パッチを含む)をダウンタイムなしでデプロイすることができます。
サーバーを再起動する必要はありません。

データベースの暗号化を格納時と転送中に行う
Oracle データベース内で静止しているデータを暗号化する機能は何年も前からありました(ライセンス可能なセキュリティ オプションを使用して)。
また、データベースのネットワーク暗号化を無料で有効にすることもできました。
しかし、暗号化を有効にするような単純な変更でさえ、組織によって実装されないことがよくあります。
しかし、暗号化は有効にすべきだと考えているため、Oracle Cloud内のOracle Cloud Database Serviceのすべてのサービスでは、
デフォルトで、格納時および転送中の暗号化が無料で有効になっています。
これには、DB Cloud Service、Autonomous DB、およびExadata Cloud Serviceが含まれます。
これは、Standard Edition(オンプレミスでは暗号化できない)を含め、使用しているDatabase Cloud Serviceオファリングのどのエディションにも関係ありません。
注:MySQL Cloud Serviceでは、暗号化を含むすべてのエンタープライズ版の機能をご利用いただけます。

ストレージ暗号化
データベースと同様に、オブジェクト・ストレージ、アーカイブ・ストレージ、ブロック・ストレージ、ブート・ボリューム、ファイル・ストレージは、すべてデフォルトで暗号化されています。
鍵の管理をオラクルに任せるか、FIPS 140-2レベル3準拠のハードウェア・セキュリティ・モジュール(HSM)を利用したOCIのKey Managementサービスを利用して自分で鍵を管理するか、
どちらを選択するかはあなた次第です。

リージョン内・リージョン間トラフィック
もう一つの暗号化機能は、当社のデータセンター間のトラフィックです。
リージョン内の可用性ドメイン間のトラフィックでも、リージョン間のトラフィックでも、Oracleバックボーンを介しても、すべて標準で暗号化されています。

上記は、当社がお客様のセキュリティベースラインを向上させる方法のほんの一部に過ぎません。
このサービスと機能のリストは、すべてを網羅しているわけではありません。
その上に、鍵管理、アイデンティティ、管理、ロギング、監査、CASB、WAF、DNSなど、その他のクラウドセキュリティサービスと機能もご用意しています。
これらの機能はすべて、クラウドでのセキュリティ責任を果たすためのお手伝いをします。

私の見解では、オラクルは正しいことをしています。
私たちは、セキュリティ企業からセキュアな企業へと移行しています。
私たちは、大小を問わず、すべてのお客様のセキュリティのベースラインを向上させるために、たゆまぬ努力を続けています。
セキュリティへの参入障壁を下げています。もはや、セキュリティにおける最新のイノベーションを活用するために、
最大の予算と大規模なIT部門を持つFTSE-100企業である必要はありません。
オラクルは、常にオンで使いやすく、自動化された方法で、すべての組織に強力なセキュリティを提供しています。

もっと詳しく知りたい方は、OCI Security Whitepaper、またはこの記事全体で提供しているリンクをご覧ください。

コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28)

イメージ
Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28) https://blogs.oracle.com/cloud-infrastructure/post/secure-desktops-cloud-native-virtualization 投稿者: Joost Pronk Van Hoogeveen Jan Hendrik Mangold | Principal Product Manager Oracleは、Oracle Cloud Infrastructure(OCI)Secure Desktopsという新しいクラウド・ネイティブ・サービスをリリースしています。このエキサイティングな開発により、顧客はOCIテナンシから簡単にすばやく仮想デスクトップ・インフラストラクチャ(VDI)をデプロイできます。 OCIの使用状況は大幅に拡大しています。組織は、OCI内でデータを安全に保つことの価値を実現しています。ゼロトラストなセキュリティ優先アーキテクチャを実装することで、OCI Compute、Storage、およびNetworkingサービスは、グローバル・アクセスのためのエンタープライズ・アプリケーションを導入するための信頼できるプラットフォームを提供します。 データ・セキュリティとVDIがどのように役立つか 業界のアナリストによると 、ラップトップは53秒ごとに盗まれています。その事実と現実を結び付けると、会社のデータは、公共の場所を経由したり、従業員の自宅に座ったりするラップトップやデスクトップへと移行します。ローカル・ディスクの暗号化、データ・アクセス権限の強制、VPNアクセスの保護によってデータを保護するためにテクノロジが使用されていますが、いずれも許容可能なセキュリティ・レベルが適用されるため、リスクは依然として高くなる可能性があります。盗難または準拠していないいくつかのマシンでは、企業データ、さらには顧客データのデータ侵害が発生する可能性があります。 VDIテクノロジは長年にわたって存在してきましたが、従業員はローカル・マシンを使用して、会社のデータ・センター内の仮想マシンで実行されているデスクトップ・アプリケー
続きを読む

新しいOracle Container Engine for Kubernetesの機能強化により、大規模なKubernetesがさらに簡単になりました (2023/03/20)

イメージ
新しいOracle Container Engine for Kubernetesの機能強化により、大規模なKubernetesがさらに簡単になりました (2023/03/20) https://blogs.oracle.com/cloud-infrastructure/post/oracle-container-engine-kubernetes-enhancements 投稿者: Mickey Boxell | Product Management Linux以降、 Kubernetes はオープンソースソフトウェアの歴史上最も急速に成長しているプロジェクトです。10年も経たないうちに、 Kubernetesは主流 になり、特に過去2年間で導入がかつてないほど大きくなりました。 Oracle Cloud Infrastructure(OCI) は、この勢いも見ています。あらゆる業界の何千ものエンタープライズ顧客が、クラウドネイティブアプリケーション開発のメリットを経験しており、その導入を迅速化し、Kubernetesの使用を拡大しています。 Oracle Container Engine for Kubernetes (OKE)で実行されている抽出、変換、ロード(ETL)ジョブ、パイプライン、ハイパフォーマンスコンピューティング(HPC)ワークロード、さらにはデータベースなどにKubernetesを使用するために、顧客はKubernetesで標準化されており、コンテナ化されたアプリケーションを実行するのみでなく拡張されています。  「私たちは、Kubernetes インフラストラクチャと OKE、GPU、HPC、およびストリーミング、OpenSearch などの最新の開発者サービスを組み合わせて使用​​して、OCI で数十億の音声 AI クエリを実行しています。私たちは、次世代のトレーニングと配信に最適なクラウドとして OCI を選択しました。 AI アプリケーション – Mercedes Benz、Toast、VIZIO、Hyundai などのグローバル ブランドに最速かつ最も正確な音声エクスペリエンスを提供するのに役立ちます.OCI を使用することで、以前のクラウドと比較してパフォーマンスが 50 ~ 60% 向上しました。 2 倍のコスト削減 – 使用量
続きを読む