Bare Metal Solution 環境でのエンタープライズ ワークロードの保護

Bare Metal Solution では、従来のエンタープライズ ワークロードを Google Cloud に移行しやすいため、エンタープライズ アーキテクトやセキュリティ アーキテクトから「ワークロードを保護するにはどうすればよいか」という質問がよく寄せられます。このガイドは、Oracle データベースなどのエンタープライズ ワークロードを Bare Metal Solution に移行する際に考慮する必要がある、セキュリティおよびコンプライアンス上の設計要素について説明することを目的としています。また、企業の資産を保護するための Google Cloud のセキュリティ機能や、Oracle のセキュリティ ベスト プラクティスについても紹介します。

Bare Metal Solution 環境でのセキュリティ

Bare Metal Solution 環境には、リージョン拡張でホストされる専用のベアメタル サーバーが存在します。図 1 に示すように、リージョン拡張は、特定の Google Cloud リージョンの近くに配置されたコロケーション施設で、高性能のマネージド接続と低レイテンシのネットワーク ファブリックにより Google Cloud に接続しています。

図 1: Bare Metal Solution - Google Cloud に接続しているリージョン拡張

Google Cloud に接続しているリージョン拡張

このアーキテクチャでは、Bare Metal Solution サーバーと、設計に含まれる Google Cloud コンポーネントの両方を保護する方法を検討する必要があります。Google Cloud は、Bare Metal Solution 用に次のコンポーネントを提供し、管理しています。

  • コア インフラストラクチャ(安全に管理された環境施設と電源を含む)
  • 物理的なセキュリティ
  • ネットワーク インフラストラクチャとセキュリティ
  • ハードウェア モニタリング機能
  • Google Cloud サービスへのアクセス
  • 単一テナンシー ハードウェアのプロビジョニングとメンテナンス
  • ローカル ストレージ エリア ネットワーク(SAN)
  • スマートハンズ サポート: ハードウェアの交換などに対するオンサイト サポート

Bare Metal Solution 環境のセキュリティは共有責任となります。独自のセキュリティのベスト プラクティスを取り入れ、Bare Metal Solution の組み込みサービスで補完することもできます。図 2 は、お客様が提供する必要があるセキュリティ コンポーネントと、Google Cloud が提供するセキュリティ コンポーネントの概要を示しています。

図 2: セキュリティの共有責任の概要 - お客様と Google Cloud

セキュリティの共有責任の概要 - お客様と Google Cloud

Bare Metal Solution 環境のセキュリティを計画する

Bare Metal Solution のセキュリティ戦略を計画する場合、次の 6 つの柱を考慮する必要があります。

  1. 物理的なセキュリティ
  2. コンプライアンス
  3. ネットワーク セキュリティ
  4. データ セキュリティ
  5. オペレーション セキュリティ
  6. データベース セキュリティ

以下では、この柱について詳しく説明します。

物理的なセキュリティ

Bare Metal Solution の物理コンポーネントは、ベンダーが運用するリージョン拡張(コロケーション施設)内に存在します。高速かつ低レイテンシの Partner Interconnect 接続により、リージョン拡張が最も近い Google Cloud リージョンにリンクされます。

ベンダーは、リージョン拡張とその機能(電源、冷却、ラッキング、スタッキング、ストレージ管理など)を管理します。また、ベンダーは次のような業界標準の物理的なセキュリティと安全機能を維持します。

  • ケージのスラブ間に保護壁またはメッシュトップがあります。
  • 各施設のビデオカメラで、ケージ、通路、ドアを 24 時間年中無休で監視しています。カメラは、各ケージ内、すべての通路、出入口でクリアな視界を維持しています。
  • 施設内のすべてのドアに警報装置が適切に設置され、適切に施錠されています。
  • ケージに入るには、リージョン拡張調整チームによる事前の承認と、リージョン拡張セキュリティ チームから適切なアクセス許可を得る必要があります。
  • リージョン拡張調整チームは、訪問ごとに別々のチケットを発行し、すべてのアクセスを管理します。
  • 施設内に入出するには、承認されたスタッフが生体認証ロックを解除し、退出時にはバッジを返却する必要があります。
  • すべてのラックはロックされています。電子キーロッカーで特定のラック用の鍵を管理し、必要なときに、承認されたスタッフに配布します。キーロッカーはラックへのアクセスも追跡します。
  • コロケーション セキュリティ チームは、アクセスを管理し、PCI および ISO コンプライアンス認証要件に基づいてレポートを行います。
  • その他の物理的なセキュリティ対策は、業界のベスト プラクティスと適用される規制要件に準拠して実施します。

コンプライアンス

Bare Metal Solution は、ISO、PCI DSS、HIPAA などの業界認定資格と地域ごとの認証(該当する場合)により、厳しいコンプライアンス要件を満たしています。コンプライアンスの詳細については、コンプライアンス リソース センターをご覧ください。

ネットワーク セキュリティ

図 3 に示すように、ネットワーク セキュリティは 2 つのレイヤで提供されます。

  1. レイヤ 3 VLAN アタッチメントは、Bare Metal Solution エッジルーター上で固有の仮想ルーティングと転送(VRF)インスタンスに Google Virtual Private Cloud を接続します。

  2. Bare Metal Solution 環境では、レイヤ 2 VLAN により、データに必要なセキュリティと分離を実現しています。Google Cloud にはクライアント サブネットを使用して接続します。また、独自のプライベート サブネットを使用して、独自のサービスとストレージをホストすることもできます。

図 3: Bare Metal Solution 環境のネットワーク セキュリティ

Bare Metal Solution 環境のネットワーク セキュリティ

Bare Metal Solution 環境内から Google Cloud APIs を使用して Google Cloud サービスにアクセスする場合、デフォルトでは、Google Cloud は Bare Metal Solution と特定のサービス間のデータ転送を暗号化ポリシーに従って暗号化します。たとえば、gsutil ユーティリティや API を使用して Cloud Storage のデータをバックアップする場合、Bare Metal Solution から Cloud Storage へのデータ転送には、デフォルトでデータ暗号化が使用されます。

限定公開の Google アクセスで安全な境界を適用する

限定公開の Google アクセス(VPC Service Controls)を使用すると、Google Cloud サービスに機密データのセキュリティ境界を定義できます。これには、次のような利点があります。

  • データ漏洩のリスクを軽減する。データ漏洩は、権限のある人物がデータの存在するセキュアなシステムからデータを抽出し、承認されていない第三者と共有したり、安全でないシステムに移動することで発生します。
  • オンプレミスから非公開で Google Cloud サービスにアクセスする。
  • インターネットからのコンテキストアウェア アクセスを適用する。
  • セキュリティ ポリシーを一元管理する。

Bare Metal Solution では、Partner Interconnect を介して Google Cloud のクラウドネイティブでスケーラブルなサービスを利用できます。VPC Service Controls ベースの境界を有効にすると、インターネットにデータを流出することなく、BigQuery や Cloud Storage などのすべての Google Cloud サービスにアクセスできます。

Google API へのプライベート アクセスを設定するには、オオンプレミス ホスト用の限定公開の Google アクセスの構成をご覧ください。図 4 に、限定公開の Google アクセスの例を示します。

図 4: Bare Metal Solution 環境での限定公開の Google アクセス

Bare Metal Solution 環境での限定公開の Google アクセス

データ セキュリティ

Bare Metal Solution 環境でデータ セキュリティを計画する場合は、暗号化されたデータの保存方法と、Google Cloud またはオンプレミス データセンターで実行されるアプリケーションの保護方法を確認しておく必要があります。

ストレージの暗号化

デフォルトでは、Bare Metal Solution は保存データの暗号化を行います。Bare Metal Solution 環境での保存時のストレージ暗号化については、次のことに注意する必要があります。

  • ストレージをプロビジョニングするため、Google では、お客様ごとに NetApp クラスタにストレージ仮想マシン(SVM)を作成し、お客様に提供する前に SVM と予約済みのデータ ボリュームを関連付けます。
  • 暗号化されたデータ ボリュームを作成するときに、暗号化プロセスによって一意の XTSAES-256 データ暗号鍵が生成されます。Google が鍵を事前に生成することはありません。
  • SVM はマルチテナント環境での分離を提供します。各 SVM は 1 つの独立したサーバーとなるため、クラスタ内に複数の SVM を共存させ、SVM 間でのデータフローを回避できます。
  • Google が鍵を書式なしテキストで表示することはありません。NetApp オンボード キー マネージャーが鍵の保存、管理、保護を行います。
  • Google Cloud もベンダーも鍵にアクセスすることはできません。
  • Netapp ストレージ クラスタは、オペレーティング システムやブート パーティションを含むすべてのデータを保存し、暗号化します。
  • 契約の終了時に Bare Metal Solution の使用停止を選択した場合、Google は、ストレージ ボリュームに暗号化消去を行い、7 日間隔離してから再利用できるようにします。

アプリケーションのセキュリティ

Bare Metal Solution を利用すると、Google Cloud またはオンプレミス環境で実行されているアプリケーションを保護できます。

Google Cloud で実行されているアプリケーション
  • Bare Metal Solution はリージョン拡張で実行されます。リージョン拡張との間のネットワーク パスは、Partner Interconnect 経由でお客様固有の VLAN アタッチメントを介し、関連する Google Cloud リージョンに向かうものに限定されます。
  • デフォルトでは、Bare Metal Solution サーバーはインターネットにアクセスできません。パッチの適用や更新などの操作でインターネット アクセスが必要な場合は、NAT インスタンスを作成します。詳しくは、インターネットへのアクセスをご覧ください。
  • BGP セッションにより、VPC 内の Cloud Router とリージョン拡張のルーター間の動的ルーティングが可能になります。その結果、リージョン拡張に接続している VPC にリソースを配置すると、これらのリソースは Bare Metal Solution サーバーに直接アクセスできるようになります。同様に、新しく追加されたサブネットで実行されるリソースも、Bare Metal Solution サーバーにアクセスできます。特定のリソースへのアクセスを許可または拒否する必要がある場合は、ファイアウォール ポリシーを使用して、すべての Bare Metal Solution リソースへのアクセスを許可するデフォルトの動作を制限します。
  • 図 5 に示すように、VPC ピアリングを使用して、同じプロジェクトまたは別のプロジェクトの別の VPC で実行されているリソースが Bare Metal Solution サーバーにアクセスできるようにします。冗長 Cloud Router で、ピアリングされたネットワークの CIDR 範囲を参照するカスタム アドバタイズを追加します。

    図 5: VPC ピアリングと Bare Metal Solution 環境

    VPC ピアリングと Bare Metal Solution 環境

  • 図 6 に示すように、共有 VPC アーキテクチャを使用して、異なるプロジェクトのリソースが Bare Metal Solution サーバーにアクセスできるようにします。この場合、すべてのリソースが共有 VPC に接続されているサーバーにアクセスできるように、ホスト プロジェクトに VLAN アタッチメントを作成する必要があります。

    図 6: 共有 VPC と Bare Metal Solution 環境

    共有 VPC と Bare Metal Solution 環境

  • Oracle Recovery Manager(RMAN)または Actifio などのバックアップ ソリューションでデータベースをバックアップできます。Actifio と RMAN をネイティブに統合する方法については、次の Actifio ガイドをご覧ください。バックアップ データを Cloud Storage に保存し、異なる Cloud Storage 階層を選択して、目標復旧時間(RTO)と目標復旧時点(RPO)の要件を満たすことができます。

オンプレミスで実行されているアプリケーション
  • 前述のように、Bare Metal Solution リージョン拡張との間のネットワーク パスは、Partner Interconnect 経由で関連の Google Cloud リージョンに向かうものに限定されます。オンプレミス環境から Bare Metal Solution サーバーに接続するには、Dedicated InterconnectPartner Interconnect、または Cloud VPN を使用して、オンプレミス データセンターを Google Cloud に接続する必要があります。これらの接続オプションの詳細については、ネットワーク接続プロダクトの選択をご覧ください。
  • オンプレミス ネットワークへのルートを有効にするには、オンプレミス サブネットの CIDR 範囲を参照するカスタム アドバタイズを使用して、冗長 Cloud Router を変更する必要があります。ファイアウォール ルールを使用して、サーバーへのアクセスを許可またはブロックします。

オペレーション セキュリティ

このガイドの「物理的なセキュリティ」のセクションで、Google がリージョン拡張内で Bare Metal Solution インフラストラクチャへのアクセスを大幅に制限していることを説明しました。承認されたスタッフは、必要なときに一時的にアクセスが許可されます。Google では、アクセスログの監査と分析で異常を検出しています。また、24 時間 365 日のモニタリングとアラートにより、不正アクセスを防止しています。

オペレーション セキュリティには、いくつかのオプションがあります。Google Cloud とネイティブに統合されるソリューションとして Blue Medora の Bindplane があります。Bindplane は、Google Cloud のオペレーション スイート(旧称 Google Cloud のオペレーション スイート)と統合されており、Oracle データベースや Oracle アプリケーション ログなどの指標とログを Bare Metal Solution インフラストラクチャからキャプチャできます。

Prometheus は、Bare Metal Solution インフラストラクチャとそこで実行される Oracle データベースのモニタリングに使用できるオープンソースのモニタリング ソリューションです。Prometheus にデータベースとシステムの監査証跡を送信すると、1 つの画面ですべての不審なアクティビティをモニタリングして、アラートを送信できます。

Oracle Enterprise Manager はオンプレミス環境でよく使用されているツールです。Bare Metal Solution 環境で OEM を使用することで、オンプレミス データセンターと同じ方法でモニタリング タスクとアラートタスクを実行できます。

データベース セキュリティ

Bare Metal Solution は、お客様のオンプレミス環境と可能な限り類似するように設計されているため、最小限の労力と学習でソリューションを使い始めることができます。これにより、既存の Oracle データベースのセキュリティ関連機能、セキュリティ対策、プロセスを Bare Metal Solution に簡単に導入できます。また、Google Cloud が提供するセキュリティ機能で、セキュリティ ポートフォリオを補完できます。

データベースのセキュリティを確保するため、Oracle のセキュリティ制御で有効にするべき点について確認しておきましょう。ここでは、ユーザー認証、認証とアクセス制御、監査、暗号化について説明します。

ユーザー認証

  • 基本認証を使用している場合は、パスワード ポリシー(複雑さや長さなど)を実装します。
  • TLS 証明書、Kerberos、RADIUS を使用して認証システムを強化します。
  • プロキシベースの認証を使用して、データベース レベルで認証と監査を有効にします。この方法は、アプリケーション ユーザーをデータベース ユーザーにマッピングせず、アプリケーション レベルで認証を有効にする場合に便利です。

認証の推奨事項については、Oracle Database セキュリティ ガイドの認証の構成をご覧ください。

認証とアクセス制御

  • データベース内で識別されるオブジェクト権限、システム権限、ロールを使用して、認証を管理します。Database Vault など、より高度で安全な機能を使用して、これを補完することもできます。
  • 集中管理ユーザー(CMU)を使用してユーザーとグループを管理します。CMU では、既存の Active Directory インフラストラクチャを利用して、データベース ユーザーの管理と複数の Oracle データベース間の認証を一元管理できます。

    CMU の詳細については、Oracle Database セキュリティ ガイドの Microsoft Active Directory による集中管理ユーザーの構成をご覧ください。

  • Database Vault を使用して、高度な特権を持つユーザーの職掌分散とアクセス制御を導入します。

    Database Vault の詳細については、Oracle Database Vault 管理者ガイドをご覧ください。

  • 権限分析やデータ秘匿化などの追加のツールと手法を利用します。

    • 権限分析ツールは、エンドユーザーによる権限とロールの使用状況をモニタリングするのに役立ちます。権限分析の詳細については、Oracle Database セキュリティ ガイドの権限分析を実行した権限の使用の確認をご覧ください。
    • データ秘匿化では、機密性の高い列データが削除され、必要なユーザーのみにアクセスが許可されます。データ秘匿化の詳細については、Oracle Database Advanced Security ガイドの Oracle Data Redaction の使用をご覧ください。
  • Virtual Private Database(VPD)と Oracle Label Security(OLS)を使用して、ユーザーのクエリを動的に変更し、データへのアクセス権をきめ細かく設定します。これらのツールは、VPD ポリシーでフィルタリングされた行を除外して、行ラベルとユーザーラベルを管理し、ユーザーが特定の行にアクセス可能かどうかを判断します。

  • 最小権限の原則に従い、きめ細かいロール権限をグループやユーザーに割り当てます。

監査

  • 統合監査を利用します。これは、すべての監査データを統合監査証跡に送信する機能です。この機能は、従来のデータベース監査に代わる機能としてリリース 12c で導入されました。これにより、データベース関連のすべての監査イベントに対して中央の証跡ファイルが作成されるため、監査レポートのパフォーマンスが向上します。
  • ファイングレイン監査(FGA)を有効にして、従来の監査機能を拡張します。この機能は、ユーザーが特定の列にアクセスする場合またはユーザーが特定の条件を満たした場合にのみ、監査データをキャプチャします。
  • 監査ポリシーとキャプチャされたイベントの管理には、Audit Vault and Database Firewall(AVDF)を使用します。ADVF の主なユースケースの一つは、SQL インジェクション攻撃の防止です。データベースに発行されたすべての SQL ステートメントをモニタリングし、アプリケーションのライフサイクル全体を監視するようにデータベース ファイアウォールを設定します。データベースは信頼できるクラスタセットを作成し、データベース ファイアウォールで認識されていない SQL ステートメントをブロックします。

    詳細については、Oracle Database セキュリティ ガイドの監査を使用したデータベース アクティビティの管理Audit Vault and Database Firewall ガイドをご覧ください。

保存データと転送中データの暗号化

  • Bare Metal Solution は、データ ボリュームごとに一意の AES 256 ビット鍵を使用して、保存するユーザーデータを自動的に暗号化しますが、透過的データ暗号化(TDE)を有効にして、暗号鍵のライフサイクルをより細かく制御することもできます。
  • ネイティブ ネットワーク暗号化または Transport Layer Security(TLS)ベースの暗号化を使用して、クライアントとデータベースの間でデータを保護します。
  • Oracle データベース データに顧客管理の暗号鍵(CMEK)を使用する場合は、高度なセキュリティ オプション(ASO)を有効にして、暗号化、暗号ネットワーク チェックサム(読み取りと書き込み時のログ チェックサムとは異なる)、Data Guard 内のプライマリ システムとスタンバイ システム間の認証サービスを有効にします。

    暗号化オプションの詳細については、Oracle Database Advanced Security ガイドの透過的データ暗号化の使用をご覧ください。

ここで紹介した Bare Metal Solution 環境の Oracle データベース セキュリティに関する提案は、すべてを網羅するものではありません。Oracle が提供するベスト プラクティスと推奨事項に従い、特定のビジネスとセキュリティのニーズに適したコントロールを実装することを強くおすすめします。

まとめ

Bare Metal Solution は Google Cloud へのゲートウェイとなります。これにより、クラウドの今後の利用方法を決定、設計、計画しながら、重要なワークロードを現状のままクラウドに近い状態に移行できます。Bare Metal Solution は、このガイドで紹介するベスト プラクティス、ツール、技術と組み合わせることで、重要なワークロードを実行するための安全で、堅牢かつ強力なプラットフォームを提供します。

最も重要な点は、この取り組みがセキュリティを犠牲にする必要がないことです。Bare Metal Solution に登録すると、物理レイヤ、ストレージ レイヤ、ネットワーク レイヤなど、多層型の組み込みセキュリティを備えたベアメタル サーバーを使用できます。Bare Metal Solution サービスは、インフラストラクチャ内のあらゆるステージでセキュリティを統合し、セキュアなパフォーマンスを実現するというお客様のミッション クリティカルなニーズに幅広く対応しています。

重要なポイント:

  1. セキュリティは共有責任です。
  2. 最小権限の原則に従います。
  3. 職掌分散の原則に従います。
  4. restricted.googleapis.com から Google Cloud サービスにアクセスし、データ漏洩を防止します。
  5. プロジェクトで限定公開の Google アクセスを有効にして、データ漏洩や不正アクセスを防止し、セキュリティ ポリシーを集中管理します。
  6. Oracle から提供される Oracle データベースのセキュリティに関するベスト プラクティスに従います。