OCIはデータ保護の最適化を支援 (2024/10/16)

OCIはデータ保護の最適化を支援 (2024/10/16)

https://blogs.oracle.com/cloud-infrastructure/post/oci-helps-optimize-data-protection

投稿者: Heinz Mielimonka | Customer Success Director and Cloud Architect


今日のデータドリブンの世界では、情報の保護が最も重要です。このブログ投稿では、Oracle Cloud Infrastructure(OCI)が、企業がCIAトライアド(機密性、整合性、可用性)を使用してデータを保護するのにどのように役立つかをご紹介します。



CIAトライアドについて


ほとんどの企業は、最も重要な資産であるデータの最適なセキュリティを確保するために規制されています。国立標準技術研究所(NIST)は、次の属性を持つ情報セキュリティの柱について説明します。


  • 機密性: 個人情報保護および個人情報保護のための手段を含む、情報へのアクセスおよび開示に関する許可された制限の保持
  • 完全性: 不適切な情報変更や破壊を防止し、情報の否認や信頼性の確保を支援
  • 可用性: 情報へのタイムリーで信頼性の高いアクセスと使用



破壊的なマルウェア、ランサムウェア、悪意のあるインサイダー・アクティビティ、さらには正直なミスさえも、組織がデータの整合性に影響を与えるイベントを検出して対応する必要がある理由の段階を設けています。企業は、これらのイベントが適切なタイミングで検出され、適切に応答することを確信する必要があります。


OCI Vaultは機密性と整合性に対処しますが、OCI Block Volumeのストレージ・レプリケーションなどの機能は可用性に対応できます。両方をまとめましょう。



OCIでの暗号化


OCIは、通常、Oracle管理キーを使用してデータを自動的に暗号化します。ただし、多くの顧客は、セキュリティを強化するために効果的にレプリケートできる顧客管理キーを柔軟に使用することを好みます。OCIサービスが提供する暗号化の詳細は、次のリソースを参照してください。



データ暗号化キーはデータの保護に不可欠ですが、マスター暗号化キーはDEKを暗号化します。



OCIでの暗号化のレベルを理解したので、キー管理のベストプラクティスについて見ていきましょう。



主要管理のベストプラクティス


ソリューション・プレイブック、Oracle Cloud Infrastructureのベスト・プラクティス・フレームワークおよびブロック・ボリューム内のデータの暗号化では、顧客管理キーを使用することをお薦めします。OCIのベスト・プラクティス・フレームワークに基づいて、シークレット・コンテンツを定期的にローテーションし、シークレットが公開された場合の影響を軽減することをお薦めします。


シークレットをローテーションする場合は、マスター暗号化キーを更新します。つまり、マスター・キーにアタッチされているデータ暗号化キーを再暗号化する必要があります。マスター・キーを更新しても、データへのアクセスに必要なボリュームから継承された基礎となるデータ暗号化キーは変更されません。この変更は、ボールト内の顧客管理キーにのみ適用され、可用性ドメインのマスター・キーには適用されません。可用性ドメインのマスター・キー・ローテーションは、既存のキー・ローテーション・アクティビティで行われます。

キーのローテーションとは、キーのバージョンを更新することを意味します。現在、Key Management Service (KMS)でのブロック・ストレージの顧客管理キーの自動更新はサポートされていません。そのため、KMSキーをOCI Vaultサービスの新しいバージョンにローテーションすると、ボリュームでは古いバージョンのキーが引き続き使用されます。VaultでKMSキーをローテーションすると、ブロック・ボリュームでボリュームの更新操作を実行して新しいバージョンを適用できます。KMSキーは、ダウンタイムなしで Vaultの最新バージョンを使用する新しいキーまたは同じキーに更新できます。


Oracle Cloud Infrastructureのベスト・プラクティス・フレームワークに基づいて、シークレットが公開された場合の影響を軽減するために、シークレット・コンテンツを定期的にローテーションすることをお薦めします。


更新はマスター暗号化キー(MEK)のみで、特定のMEKでデータ暗号化キー(DEK)を再暗号化することを意味します。これによって、ボリュームから継承された基礎となるデータ暗号化キー(DEK)は変更されません(データへのアクセスに必要です)。この変更は、ADマスター・キーではなく、ボールト内のKMSキー用です。ADマスター・キー・ローテーションは、既存のキー・ローテーション・アクティビティによって処理されます。


キーのローテーションとは、キーのバージョンを更新することを意味します。現在、お客様が管理するブロック・ストレージ(KMS)キーの自動バージョン更新はサポートされていません。つまり、お客様がOCI Vault ServiceでKMSキーを(新しいバージョンに)ローテーションしても、ボリュームはローテーションの前に古いバージョンのKMSキーを引き続き使用します。Vault ServiceでKMSキーがローテーションされると、お客様はブロック・ボリュームで「ボリュームの更新」操作を実行して新しいバージョンを適用できます。KMSキーは、お客様が新しいキーに更新することも、同じキー(Vault Serviceの最新バージョンを使用)にダウンタイムなしで更新することもできます。


次に、キー管理のベスト・プラクティスを理解し、クロスリージョン・レプリケーションの設定について説明します。



リージョン間のレプリケーション


クロスリージョン・レプリケーションの例を確認します。次の資産があります。


  • ソースリージョン: Frankfurt
    • ソース・ブロック・ボリューム(フランクフルトにあります)
    • ソース・ボールト(フランクフルトにあります)
    • ソース・マスター暗号化キー
    • ソース・データ暗号化キー
  • ターゲットリージョン: ロンドン
  • クロスリージョン・コピー・ターゲットを使用したバックアップ・ポリシー: ロンドン


前提条件として、データ暗号化キーをターゲット・リージョンにレプリケートする必要があります。マスター暗号化キーやデータ暗号化キーなど、ボールトのレプリケート方法の詳細は、GitHubのチュートリアルを参照してください。このレプリケーションでは、ターゲット・リージョンのロンドンのターゲット・データ暗号化キーのOCIDが提供されます。


GitHubチュートリアルのCloud Resilienceのデフォルトでは、ブロック・ボリュームの自動クロスリージョン・レプリケーションが導入されています。これで、Oracle Cloudコンソールを使用して、デフォルトで自己回復性を備えたサーバーを設定するために、ターゲット・データ暗号化キーのOCIDを追加するだけで済みます。OCI CLIを使用してこのプロセスを自動化するには、デフォルトでCLIを使用した自己回復性でのサーバーの設定を参照してください。


このプロセスにより、本番環境を自動化し、すべてのサーバーの機密性、整合性および可用性を向上させることができます。OCIがデータ保護の最適化にどのように役立つか、すべての技術的な詳細を確認できます。



まとめ


OCIサービスを使用すると、情報セキュリティのための最適な機密性、整合性、可用性の目標を達成できます。シニア・プリンシパル製品マネージャMax Verunは、ブログ投稿の詳細、クロスリージョン・ボリューム・レプリケーションおよびスケジュール済ポリシーベースのバックアップ・コピーに対する顧客管理キーのサポートを提供します。あなたは私たちをあてにしていい。お客様のセキュリティ・ニーズを成功に導くお手伝いをいたします。


Free Tierにサインアップして、OCIの機能を今すぐご覧ください。クラウド・セキュリティにおけるお客様のジャーニーをどのようにサポートできるかをお知らせください。コメントでフィードバックを共有し、Oracle Cloud Infrastructureでのユーザー・エクスペリエンスの継続的な改善方法をお知らせください。


コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21)

イメージ
Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21) https://medium.com/oracledevs/how-to-control-or-pass-validation-for-duplicate-rows-in-interactive-grid-of-oracle-apex-as-compare-18f453f750bf 投稿者: Jignesh oracle Formsでは、データブロックの重複行を制御するのは非常に簡単ですが、IGの検証を制御するにはどうすればよいでしょうか。 必要な出力 ステップ1:インタラクティブグリッドのある白紙ページを作成します(私は1つの領域「IG」を作成し、インタラクティブグリッドとしてタイプを選択しました) ステップ 2: リージョンに Static ID を定義する (私の場合、リージョンは IG で、Static ID も IG です) ステップ3:複製を制御したいカラムのStatic IDを定義します ステップ4:関数とグローバル変数に移動します コード: var validity, message, ui = this.data; (function($) { function update(model) { var projKey = model.getFieldKey(“PROJECT_ID”), recObj = [], recArray = []; model.forEach(function(record, index, id) { var projid = parseInt(record[projKey], 10), // record[salKey] should be a little faster than using model.getValue in a loop meta = model.getRecordMetadata(id); if (!isNaN(projid) && !meta.deleted && !meta.agg) { recObj = {ID: id, project_id: projid}; recArray.push(recObj)
続きを読む

Oracle APEX 24.1の一般提供の発表 (2024/06/17)

イメージ
Oracle APEX 24.1の一般提供の発表 (2024/06/17) https://blogs.oracle.com/apex/post/announcing-oracle-apex-241 投稿者: Ashish Mohindroo | Vice President, Product Management APEX Low Code Application Platform Oracle APEX 24.1は、 ダウンロード が一般的に可能になり、世界中のOCI APEX Application DevelopmentおよびAutonomous Database Cloud Serviceリージョンにロールアウトされています。この最新リリースで、GenAIを使用して最初のローコード・アプリケーションを構築する方法を学習します。リリースのお知らせのリプレイはこちらからご覧いただけます。 このリリースでは、優れたエンタープライズ・グレードのアプリケーションを簡単に構築できるイノベーションの3つの主要な柱(AI支援アプリケーション開発、Oracleの次世代データ・プラットフォームのパワー活用、高度なWebおよびモバイル・アプリケーションを構築するための強力なエンタープライズ・グレードのコンポーネント)が提供されています。 AI支援アプリ開発 このリリースでは、AIをローコード開発に直接取り込み、すべての開発者が高度なクラウドおよびモバイル・アプリケーションを簡単に構築できるようにしています。開発者は、AIをアシスタントとして使用して、時間と労力を削減してアプリを構築できるようになりました。APEX AIアシスタントを使用すると、開発者は複数のウィンドウを使用して表名と列名を検索する必要がなくなります。 APEX 24.1 では、クラウドおよびモバイル・アプリの自然言語ベースの開発を可能にするネイティブAI搭載APEX AIアシスタントを導入しました。APEX AIアシスタントを使用すると、すべての開発者は自然言語を使用してSQLを生成できるため、アプリケーションをより簡単に構築したり、ワンクリックで構文修正を実行したり、表名を覚える必要がなくなります。開発者は、自然言語プロンプトを使用して目的の機能とコンポーネントを指定し、直感的な会話型インタフェースを使用し
続きを読む