Oracle Database 23cに組み込まれたSQL Firewall (2023/08/29)

Oracle Database 23cに組み込まれたSQL Firewall (2023/08/29)

https://blogs.oracle.com/cloudsecurity/post/sql-firewall-now-built-into-oracle-database-23c

投稿者: Vipin Samar | Senior Vice President, Database Security


SQLインジェクション攻撃と危殆化されたアカウントは、データベースに格納されている機密データへのフル・アクセスを敵が得るために最も一般的な2つの手法です。ユーザーおよび開発者の教育は役に立ちますが、成功は依然として制限されています。場合によっては、アプリケーション・コードの修正が、特にパッケージ化されたアプリケーションやレガシー・アプリケーションに対して実行できないことがあります。Webアプリケーション・ファイアウォール(WAF)は、SQLインジェクション攻撃を軽減するために主張しますが、攻撃者はこれらのパターンマッチング・アプローチをバイパスできます。許可リストベースおよびネットワークベースのSQL Firewall、ローカルおよび暗号化トラフィックのためではなく、より強力な軽減を提供します。さらに、SQL問合せを完全に分析するために必要なフル・ランタイム・コンテキストはありません。


データベースに格納されたデータの高い価値を考慮するには、SQL Firewallが必要です。SQL Firewallは、例外が発生した場所に関係なく、すべてのSQLトラフィックを包括的にスキャンします。SQLをフル・コンテキストで理解できるファイアウォールの機能に左右されます。このコンテキストは、シノニム、オブジェクト名または動的に生成された名前、現在のユーザー・コンテキストを解決するステップなど、SQL文の実行中にデータベースが構築するものです。セキュリティを実践するには、ファイアウォールをワイヤ・スピードで実行し、1つのデータベースのみでなくデータベースのフリートを簡単に管理および監視できるようにする必要があります。



Oracle Database 23cのSQL Firewall統合


Oracle Databaseセキュリティ・チームが対応できないというのは、まさにこの課題でした。強力なSQL FirewallをOracle Database 23cに直接統合して、SQLインジェクション攻撃とアカウントの危殆化の問題に効果的に対処することを発表できることを嬉しく思います。同じくエキサイティングなのは、パフォーマンスへの影響を最小限に抑えることができる簡単なソリューションを提供することです。


新しいOracle SQL Firewallには、次の機能と利点があります。


  • Oracle SQL Firewallは、PL/SQL (OracleのSQLプロシージャ拡張)からの接続およびSQL文を含むすべての受信データベース接続およびSQL文を、ローカルかネットワーク経由かに関係なく、暗号化されたテキストまたはクリア・テキストで検査します。明示的に認可されたSQLのみが許可されます。その他すべてのSQLでは、問題のある文がログに記録され、違反が発生します。この文は、認可ユーザーがまだ実行していないSQLインジェクション攻撃または新しいSQL文である可能性があります。
  • お客様は、不正なSQLをブロックするか、ログのみを記録するかを決定できるため、攻撃の処理方法を柔軟に行うことができます。
  • Oracle SQL Firewallは、完全なSQLおよび処理コンテキストを評価します。Oracle Databaseサーバー内で実行することで、ファイアウォールでは、SQL文、シノニム、動的に生成されたオブジェクト名、およびPL/SQLユニットで動的に生成されたSQL文のエンコーディングを簡単に処理できます。
  • Oracle SQL Firewallは、認可されたSQL文および関連する信頼できるデータベース接続パスの許可リストを利用し、残りをブロックします。SQL Firewallをトレーニングするには、アプリケーション・アカウントの認可されたSQL文を取得するだけです。その後、ファイアウォールは、認可されていないSQLおよび潜在的なSQLインジェクション攻撃を検出して防止します。
  • Oracle SQL Firewallでは、信頼できるIPアドレス、オペレーティング・システム・ユーザー名またはプログラム名からの接続をブロックすることもできます。この関数は、アプリケーションの許可リストの作成中に、保護をすぐに実施する場合に便利です。この機能により、データベースへの直接アクセスが、信頼できるエンドポイントからのみ許可されます。


Oracle SQL Firewallをデータベース内に構築し、その実装を合理化することで、Oracle SQL Firewallのパフォーマンス・オーバーヘッドは無視できるので、すべての本番ワークロードに適しています。Oracle SQL Firewallはデータベース内にあるため、外部コンポーネントのデプロイや管理が不要になり、デプロイメントが大幅に簡素化されます。


図1は、Oracle SQL FirewallがOracle Database 23cカーネル内でインラインで動作し、受信するすべてのSQL文をオリジンに関係なく評価する方法を示しています。Oracle SQL Firewallは、ルール違反を検出すると、常に違反ログを生成します。ただし、SQL文の違反を許可またはブロックするようにSQL Firewallを構成できます。


図1: Oracle Databaseカーネルに組み込まれたOracle SQL Firewall



Oracle SQL Firewallの管理


Oracle SQL Firewallポリシーは、アプリケーション・アカウントか直接データベース・ユーザー(レポート・ユーザーやデータベース管理者など)かに関係なく、データベース・アカウント・レベルで機能します。この柔軟性により、データベース管理者またはアプリケーション・アカウントのどちらかから、データベースの保護レベルを段階的に構築できます。


Oracle SQL Firewallは複数の方法で管理できます。スタンドアロン実装があり、コマンドによる管理に精通している場合は、SYS.DBMS_SQL_FIREWALLパッケージのPL/SQLプロシージャをお薦めします。


UIベースの管理または複数のOracle SQL Firewallを一元的に管理する場合は、Oracle Data Safeが回答となります。ユーザーおよびセキュリティ評価、アクティビティ監査、機密データ検出およびデータ・マスキングでOracle Data Safeを使用しているお客様の場合は、同じData Safeクラウド・サービスを使用してOracle SQL Firewallを管理し、投資を保持できるようになりました。


Data Safe統合コンソールが、SQL Firewallを管理するために拡張されました。管理者はコンソールを使用して、アプリケーション・アカウントのSQLアクティビティの収集、収集の進捗のモニター、取得したSQLアクティビティからの許可リスト・ルール(許可されたコンテキスト、許可されたSQL文)を含むOracle SQL Firewallポリシーの作成、およびSQLファイアウォール・ポリシーの有効化を行うことができます。ファイアウォール・ポリシーが有効になっている場合、Data Safeはデータベースからファイアウォール違反ログを自動的に収集し、それらをData Safeに格納します。これらのログは、図2に示すように、データベース・フリート全体のオンライン分析およびレポートに使用できます。


Data Safe REST API、ソフトウェア開発者キット(SDK)、CLI、およびTerraformを使用して、さらなる自動化と統合を行うことができます。より大規模なOracle Cloud Infrastructure (OCI)エコシステムを使用して、Oracle SQL Firewallの違反とそのアラートおよび通知を統合することもできます。


図2: Oracle Data SafeのSQL Firewallダッシュボード


Oracle SQL Firewallは、認証、アクセス制御、暗号化および監査のために、業界をリードするデータベース・セキュリティ機能をOracle Database内で補完し、すべての着信SQL文を検査し、認可されたSQL文のみを許可します。Oracle SQL Firewallソリューションは、Data Safeを介して比類のないセキュリティと管理の利便性を提供します。



今すぐ始めましょう


Oracle Database 23cでOracle SQL Firewallを管理するためのOracle Data Safeの限定的可用性プログラムにご参加いただけます。一般公開前に試してみるには、「Oracle SQL Firewall Limited Availability Program」というタイトルのOracle Data Safeでサービス・リクエストを開きます。


Oracle Database 23cのOracle SQL Firewallのデモは、『Oracle Database 23c FreeでのSQL Firewallの使用』を参照してください。PL/SQLまたはOracle Data Safeを使用してSQL Firewallを管理することもできます。Data Safeを使用したSQL Firewallの管理のデモは、Oracle Database 23cの新しいセキュリティ機能であるSQL Firewallの概要を参照してください。

To learn more, see to the following resources:

コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28)

イメージ
Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28) https://blogs.oracle.com/cloud-infrastructure/post/secure-desktops-cloud-native-virtualization 投稿者: Joost Pronk Van Hoogeveen Jan Hendrik Mangold | Principal Product Manager Oracleは、Oracle Cloud Infrastructure(OCI)Secure Desktopsという新しいクラウド・ネイティブ・サービスをリリースしています。このエキサイティングな開発により、顧客はOCIテナンシから簡単にすばやく仮想デスクトップ・インフラストラクチャ(VDI)をデプロイできます。 OCIの使用状況は大幅に拡大しています。組織は、OCI内でデータを安全に保つことの価値を実現しています。ゼロトラストなセキュリティ優先アーキテクチャを実装することで、OCI Compute、Storage、およびNetworkingサービスは、グローバル・アクセスのためのエンタープライズ・アプリケーションを導入するための信頼できるプラットフォームを提供します。 データ・セキュリティとVDIがどのように役立つか 業界のアナリストによると 、ラップトップは53秒ごとに盗まれています。その事実と現実を結び付けると、会社のデータは、公共の場所を経由したり、従業員の自宅に座ったりするラップトップやデスクトップへと移行します。ローカル・ディスクの暗号化、データ・アクセス権限の強制、VPNアクセスの保護によってデータを保護するためにテクノロジが使用されていますが、いずれも許容可能なセキュリティ・レベルが適用されるため、リスクは依然として高くなる可能性があります。盗難または準拠していないいくつかのマシンでは、企業データ、さらには顧客データのデータ侵害が発生する可能性があります。 VDIテクノロジは長年にわたって存在してきましたが、従業員はローカル・マシンを使用して、会社のデータ・センター内の仮想マシンで実行されているデスクトップ・アプリケー
続きを読む

Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13)

イメージ
Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13) https://database-heartbeat.com/2021/12/13/three-ways-backup-cloud/ はじめに Oracle Cloudでは、ボタンをクリックするだけで自動バックアップを有効にするオプションが用意されています。バックアップの要件が異なる場合でも、手動でバックアップ設定を行い、コマンドライン・ツールやRMANを直接使用してバックアップを作成する柔軟性があります。これは、VM DB Systems、Exadata Cloud Service、およびExadata Cloud at Customerに適用されます。 このブログ記事では、Oracle Cloud Object Storageをバックアップ先として使用する場合の、さまざまなバックアップ・オプションの主な違いと、それに伴うコストについて紹介します。Object Storageは、内蔵されたトリプル・ミラーリングと99.999999%(イレブンナイン)の耐久性を提供します。 ハイブリッド・クラウドとマルチ・クラウド Oracle Cloud Object StorageへのOracle Databaseのバックアップは、Oracle Cloud上のOracle Databaseに限らず、ハイブリッドクラウド上のオンプレミスのOracle Databaseや、マルチクラウド環境のOracle以外のクラウド上で稼働しているOracle Databaseに対しても、RMANを介して実装することができます。 プライベートおよび専用のネットワーク接続は、FastConnect、Azure Interconnect、またはサードパーティのネットワーク接続プロバイダを介して提供できます。マルチクラウド環境では、クラウドプロバイダー、リージョン、転送するデータ量に応じて、追加のアウトバウンドトラフィックコストが発生する可能性があります。オラクルをはじめとする多くのクラウドプロバイダーは、すでに Bandwidth Alliance に参加しており、ネットワークエグレス料金を削減または排除しています。 環境について     Oracle Cloud VM DB Sy
続きを読む