OCIのガバナンスは必要ですか? (2025/04/29)

OCIのガバナンスは必要ですか? (2025/04/29)

https://blogs.oracle.com/cloud-infrastructure/post/do-you-need-governance-for-oci

投稿者:Pavana Jain | Vice President, Product Management

Abhishek Juneja | Senior Principal Product Manager, Oracle Identity & Access Management


「ほとんどのIaaSアカウントは、割り当てられた権限のほんの一部を使用します。過剰にプロビジョニングされた権限によって攻撃対象領域が大幅に増加し、組織がサイバー攻撃に対してより脆弱になります。オンプレミスで過剰にプロビジョニングされた資格の問題は、それほど深刻ではありませんが、組織にとって大きなリスクをもたらします。」

— ガートナー®*


この洞察は、すべてを示しています。多くの組織には、セキュリティの問題になるのを待っているだけで、特権過剰なアイデンティティでいっぱいのIT環境があります。


Oracle Cloud Infrastructure(OCI)は、Oracleの次世代クラウド・プラットフォームであり、高いパフォーマンス、セキュリティ、信頼性を備えたミッションクリティカルなアプリケーションを実行するように設計されています。コンピュート、ストレージ、ネットワーキング、データベース、セキュリティなど、エンタープライズ・ワークロード向けに最適化された幅広いクラウド・サービスを提供します。OCIは、パブリック・クラウドの柔軟性とスケーラビリティとオンプレミス・インフラストラクチャの制御とパフォーマンスを組み合わせることで、企業はエンタープライズグレードのガバナンスと自己回復性を維持しながら、IT環境を最新化できます。


組織がOCI環境を拡大するにつれて、アイデンティティの数の増加を管理することが重要です。強力な監視がなければ、ユーザーは過剰なアクセスを蓄積し、ポリシー管理とコンプライアンスのタスクはますます複雑になります。


Oracle Access Governanceは、OCI Identity and Access Management (IAM)に対する制御とセキュリティの適用を提供する、クラウドネイティブのアイデンティティ・ガバナンス・ソリューションです。OCI IAM自体の補完と管理を目的として構築されており、OCI環境全体のユーザー・アクセス、ロールおよびポリシーに対する一元的な可視性を提供します。図1を参照してください。Access Governanceは、アクセス・レビューを合理化し、認証を自動化し、最小限の権限でアクセスを適用し、組織が継続的なコンプライアンスを維持するのに役立ちます。Oracle Access Governanceは、高リスクのフラグ付けや自動修復などのインテリジェントなポリシー・インサイトにより、組織がOCIフットプリント全体でアイデンティティ・リスクを軽減し、セキュリティを強化できるようにします。


図1: Access Governanceエンタープライズ全体のブラウザ



OCIでアイデンティティ・ガバナンスが重要な理由


簡単なシナリオから始めましょう。請負業者はプロジェクトを終了しますが、本番システムへのアクセスは取り消されることはありません。アイデンティティ・ガバナンスの監督がなければ、数週間後でもOCI Object Storageバケット内のデータにアクセスできる可能性があります。


これは単なる監視ではなく、リスクです。このようなリスクの管理は、組織の規模が拡大するにつれてますます複雑になります。


問題点が積み重なる場所を次に示します。


  • シャドウ・リソース: チームは、多くの場合、セキュリティ・チームに通知することなく、広範囲にわたるアクセスでコンピュート・インスタンスまたはストレージ・バケットをスピンアップします。
  • ポリシーの混乱: 複数のチームがアドホック・ポリシーを定義します。だれが何に、何と、アクセスできるのか、なぜか
  • 権限過剰なユーザー: 開発者、請負業者、さらにはサービス・アカウントでも、時間の経過とともに権限が収集され、多くの場合、必要以上に多くの方法で収集されます。
  • 手動コンプライアンス: 監査者はアクセス・レビューを要求し、権限を最小限に抑えようとするスプレッドシートを掘り下げています。


結果は? 可視性の低下、ポリシーのスプロール、攻撃面の拡大。



Oracle Access Governanceはどのように役立ちますか?


OCI IAMはアクセス制御、MFA、認証および認可を提供しますが、インフラストラクチャ・コンポーネントの使用を監督するアイデンティティ、権限、ロールおよびポリシーを管理する必要があります。Oracle Access Governanceは、アイデンティティ・ガバナンスを大規模に提供することで、そのギャップを埋めます。つまり、次のようになります。


  • Access Governanceでは、プロビジョニングは、レビュー可能な適切な承認ワークフローを遵守します。
  • アクセス権のあるユーザー、その取得方法、取得時期、権限を使用しているかどうか、および権限がまだ必要かどうかの明確な可視性。
  • 定期的に自動化されたレビューにより、マネージャーは推測することなくアクセスを認証し、ポリシー文法自体を解読するのではなく、わかりやすい言語で配信できます。
  • ポリシーの影響を受けるリスクのあるアイデンティティや広範囲な権限を強調するポリシー・インサイト – 図2を参照してください。


図2: Access Governanceポリシーのレビュー


  • HRシステムなどの信頼できるソース内で発生するジョイナ、ムーバーおよびリーバーに追いつくプロビジョニングおよびプロビジョニング解除。これは、ユーザーが会社を辞めたが、クラウド・フットプリントが残っている問題を排除するのに役立ちます(図3を参照)。


図3: OCIのAccess Governanceプロビジョニング。


  • リージョン内およびリージョン間のすべてのOCIテナンシでアクセスを管理できる1つの場所。また、クラウドまたはオンプレミスで実行されている他のすべてのアプリケーションやサービスに対するアクセスを管理することもできます。


つまり、手動による推測をガバナンスから外し、アイデンティティ・プログラムを自動化してプロアクティブにし、リアクティブにしません。



Oracle Access Governanceはどのような場合に使用しますか?


次のいずれかが表示されている場合は、次の処理を実行します。


  • 10人以上のユーザーが、特定のテナンシおよびオーサリング・ポリシーのインフラストラクチャ・コンポーネントで作業する権限を持っている場合。
  • 開発、テストおよび本番の各環境にはそれぞれ独自のIAM設定があり、管理が困難になっています。
  • 会社を離れたユーザーやロールを変更したユーザーは、OCI IAMに引き続き表示されます。
  • アクセス・レビューはスプレッドシート主導で、表面をほとんど傷つけません。
  • 財務情報や、監督が必要な医療記録などの機密データをOCIに保存しています。
  • ミッションクリティカルなアプリケーションをOCIで実行できますが、権限を最小限に抑えるための強力なプロセスはありません。
  • 高い権限を持つ休眠アカウントまたは非アクティブなアカウントがあります。
  • サービス・アカウントまたは自動化アイデンティティの所有者はわかりません。
  • 複数のOCIテナンシを管理し、それらのテナンシ全体で一貫性がありません。


これが本当のガバナンスの課題です。そして彼らは自分を直さない。Oracle Access Governance for OCIが役立ちます。



OCI IAMとAccess Governanceの連携方法


このように考えてください:


  • OCI IAMは、デジタル・トランザクションの「誰が何をできるか」の側面を処理します
  • Oracle Access Governanceは、「それでも実現できるか?」を処理します。


OCI IAMはアクセス制御を設定します。Access Governanceは、インサイト、自動化、および改善を提供し、これらのコントロールが日々適切であること、ユーザーを追うことなどを確実にします。


一緒に、彼らはあなたを助けます:


  • 最小権限の強制
  • 監査に対応
  • 権限過剰なユーザーによるリスクの軽減
  • クラウド・チーム全体でアイデンティティ操作を合理化



オリジナルタイトル: Start Early、 Stay Secure


Oracle Access Governanceを早期に実装(理想的には1日目から)することで、権限のスプロールを回避し、手作業を削減し、OCI環境の成長に合わせてコンプライアンスを維持します。


これは、財務やヘルスケアなどの規制対象の業界では特に重要であり、ユーザー・アクセスの制御はオプションではなく、必須のものです。


アイデンティティ・ガバナンスに対する包括的でプロアクティブなアプローチをとることで、OCI環境を保護し、コンプライアンスを簡素化し、最も重要なものを保護することができます。


OCI環境でAccess Governanceを使い始める際のサポートが必要ですか? 開始するには、次のリソースを参照してください。

 

*Source: https://www.gartner.com/document-reader/document/6043635?ref=dochist Gartner, Best Practices for Improving IGA Access Certification Outcomes, Gautham Mudra, 26 December 2024

GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved.

コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

Oracle GoldenGate 23aiでMicrosoft Fabricでのオープン・ミラーリングがサポートされるようになりました (2024/11/19)

イメージ
Oracle GoldenGate 23aiでMicrosoft Fabricでのオープン・ミラーリングがサポートされるようになりました (2024/11/19) https://blogs.oracle.com/dataintegration/post/how-to-replicate-to-mirrored-database-in-microsoft-fabric-using-goldengate 投稿者: Shrinidhi Kulkarni | Principal Product Manager Oracle GoldenGate 23aiでは、オープン・ミラーリングを介したMicrosoft Fabricへの統合のパブリック・プレビューがサポートされるようになりました。この強力な組み合わせにより、リアルタイムのデータ統合が可能になり、ハイブリッド環境とマルチクラウド環境のデータをMicrosoft Fabricのミラー化されたデータベースに継続的に同期できるため、データは常にAIと分析に対応できます。 Microsoft Fabric統合のOpen Mirroring は、GoldenGate for Distributed Applications and Analytics 23ai (GG for DAA) (23.6)製品を介して提供されます。 既存の Azure統合の詳細については、 ドキュメント を参照してください。 オープン・ミラーリングは、オープン・デルタ・レイク表形式に基づいて、データISVがMicrosoft Fabricのミラーリングを拡張できるように設計されています。この機能により、Oracle GoldenGate 23aiは、オープン・ミラー化パブリックAPIおよびアプローチに基づいて、Microsoft Fabricのミラー化データベースに変更データを直接書き込むことができます。Microsoft FabricでのOpen Mirroringの詳細については、「 Microsoft FabricでのOpen Mirroringの概要 」を参照してください。 このブログ投稿では、この統合の実装の側面について深く掘り下げ、GoldenGate統合の構成方法を示します。 構成ステップ: リファレンス・アーキテクチャの理解 前提条件 ...
続きを読む

Oracle APEX 24.1の一般提供の発表 (2024/06/17)

イメージ
Oracle APEX 24.1の一般提供の発表 (2024/06/17) https://blogs.oracle.com/apex/post/announcing-oracle-apex-241 投稿者: Ashish Mohindroo | Vice President, Product Management APEX Low Code Application Platform Oracle APEX 24.1は、 ダウンロード が一般的に可能になり、世界中のOCI APEX Application DevelopmentおよびAutonomous Database Cloud Serviceリージョンにロールアウトされています。この最新リリースで、GenAIを使用して最初のローコード・アプリケーションを構築する方法を学習します。リリースのお知らせのリプレイはこちらからご覧いただけます。 このリリースでは、優れたエンタープライズ・グレードのアプリケーションを簡単に構築できるイノベーションの3つの主要な柱(AI支援アプリケーション開発、Oracleの次世代データ・プラットフォームのパワー活用、高度なWebおよびモバイル・アプリケーションを構築するための強力なエンタープライズ・グレードのコンポーネント)が提供されています。 AI支援アプリ開発 このリリースでは、AIをローコード開発に直接取り込み、すべての開発者が高度なクラウドおよびモバイル・アプリケーションを簡単に構築できるようにしています。開発者は、AIをアシスタントとして使用して、時間と労力を削減してアプリを構築できるようになりました。APEX AIアシスタントを使用すると、開発者は複数のウィンドウを使用して表名と列名を検索する必要がなくなります。 APEX 24.1 では、クラウドおよびモバイル・アプリの自然言語ベースの開発を可能にするネイティブAI搭載APEX AIアシスタントを導入しました。APEX AIアシスタントを使用すると、すべての開発者は自然言語を使用してSQLを生成できるため、アプリケーションをより簡単に構築したり、ワンクリックで構文修正を実行したり、表名を覚える必要がなくなります。開発者は、自然言語プロンプトを使用して目的の機能とコンポーネントを指定し、直感的な会話型インタフェースを使用し...
続きを読む