クラウド・データベースのバックアップを保持してロックし、ランサムウェア保護を強化 (2023/12/22)

クラウド・データベースのバックアップを保持してロックし、ランサムウェア保護を強化 (2023/12/22)

https://blogs.oracle.com/maa/post/retention-lock-for-increased-ransomware-protection

投稿者: Kelly Smith | Senior Principal Product Manager


ランサムウェア攻撃は依然として非常に普及しており、ラスベガスのMGM Resortsへの攻撃など、非常に目に見えて高価な結果をもたらすものもあります。SECは、公的企業にインシデントの開示を要求するルールも導入したため、今後、インシデントが公にさらにさらされることになります。これにより、これらのインシデントからのリカバリがさらに重要になります。特に、Oracle Databaseのミッションクリティカルなデータの場合です。


お客様は、ランサムウェアや悪意のあるユーザーによるバックアップの削除や変更の試みを安全に防ぐために、Zero Data Loss Autonomous Recovery Serviceでは、バックアップの保存期間をロックできる新機能が導入されました。ロックされると、顧客テナンシのユーザーまたは管理者がバックアップ保持時間を短縮することはできません。


この機能は、ユーザー定義の保護ポリシーの構成で公開されます。次の図1の「26日- 本番」保護ポリシーでは、11月30日(UTC 00:00)から開始するスケジュールされたロック時間で保持ロックが有効になっています。今後保持ロックをスケジュールすると、データベース管理者は、ロックがアクティブになる前に、データベース・バックアップの領域使用率を理解する時間を得ることができます。


図1- 保護のための保持ロックオプション


保持ロックがアクティブになると、次の制限が有効になります。


  • テナンシ内の任意のユーザーまたは管理者によってバックアップ保持期間が短縮されないようにします。これにより、保存期間からのすべてのバックアップをリカバリ操作に使用できるようになります。保存期間は増やすことができ、すぐに有効になることに注意してください。
  • データベースが別のポリシーに移動されないようにします。保存率の低い保護ポリシーにデータベースを移動すると、移動操作がブロックされるように保持ロックがバイパスされます。
  • データベースの終了(削除)によってバックアップが同時に削除されないようにします。ポリシーの保持によって、保持ロックがアクティブなときにバックアップの削除が常に制御され、データベースの72時間のバックアップ削除オプションがオーバーライドされます。バックアップは、終了したデータベースのコンテキストでも維持され、データベース管理UIで簡単に見つけることができます。
  • SYSDBAがRMANを使用してバックアップを手動で削除しないようにします。RMANから直接削除操作をブロックすると、OCIバックアップの自動化がバイパスされた場合でも、バックアップを削除できません。


保存ロックがアクティブになった後に保護ポリシーに追加されたデータベースは、最初の14日以内にポリシーから削除できます。これにより、保存期間がデータベース・バックアップの合計ストレージ・コストに影響し、ロック後は変更できないため、管理者が間違った場合に調整する時間を確保できます。14日の猶予期間が過ぎると、上記の制限が有効になります。


保護ポリシーでバックアップ保持をロックすると、データベースのリアルタイム保護を使用して、究極のレベルまで保護することもできます。データベースには、データベース・トランザクションの最新の1秒未満をカバーするバックアップがあり、指定した保存期間が期限切れになるまで削除からロックされます。悪質な活動が今起こった場合に、どれだけ強力になるかを考えてみてください。最後のデータベース・バックアップがいつ発生したかを検出しようとすると、パニックが発生しません。リアルタイム保護の有効化は、「自動バックアップの構成」のクリック1つで(図2)、保持ロック機能を完全に補完します。


図2 - 自動バックアップ構成のリアルタイム保護オプション


バックアップが確実に保持されるようにすることで、テナンシ内のどのユーザーもバックアップを削除できず、データベースをリアルタイムで保護することで、最新の1秒未満のトランザクションが保護されるため、社内の脅威と外部の脅威の両方に対して、会社の準備状況をより高いレベルに高めることができます。このバックアップのリアルタイム保護と保持ロックの一意の組合せは、Autonomous Recovery Serviceを使用する場合にのみ使用できます。



詳細情報


次のドキュメント・リンクは、自動バックアップ、リアルタイム保護および保持ロックを有効にするための追加の手順を示しています。

Back Up and Recovery in Base Database Service
https://docs.oracle.com/en/cloud/paas/base-database/backup-recover/index.html

Manage Database Backup and Recovery on Oracle Exadata Database Service on Dedicated Infrastructure - Using the Console to Manage Backups
https://docs.oracle.com/en-us/iaas/exadatacloud/exacs/ecs-managing-db-backup-and-recovery.html#GUID-789EF0AD-A176-4862-947E-3E725CDF359D

Recovery Service - Retention Lock
https://docs.oracle.com/en/cloud/paas/recovery-service/dbrsu/protection-policy-locking.html#GUID-B47C5BDD-7F0C-4B17-8BAE-018239C83859

Recovery Service – Real-time Data Protection
https://docs.oracle.com/en/cloud/paas/recovery-service/dbrsu/about-real-time.html#GUID-CFBF7CA4-627F-42BB-B24F-8242F5FEAB1D

コメント

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21)

Oracle APEX 24.1の一般提供の発表 (2024/06/17)