Autonomous Databaseをデータ・セーフ(Data Safe)に登録して監視してみた【登録編】

こんにちは。今夜も一人さみしくメリークリスマスイブを予定しているk.otsuka です。
この記事は「Oracle Cloud Infrastructure Advent Calendar 2019」その1の12月24日の記事として書かれています。

2019年9月にて開催されたOracle Open World 2019で紹介された新機能で Oracle Cloud Infrastructure(OCI)に作成されたデータベースを対象に、データの保護や監視をすることができるデータ・セーフが追加されました!
諸々今後に期待したい点がございますが、2019年12月現在のデータベース登録時の注意点やサービス内容について紹介します。

以下のサイトを参考にしましたので、併せてご覧ください。

docs.oracle.com

docs.oracle.com

本記事の目次


データ・セーフの紹介

簡単に各機能の紹介をします。
詳細な機能については、上記サイトのスタートガイドをご確認ください。

  • セキュリティ評価 (Security Assessment)
    データベースの構成を評価して、リスクの緩和や軽減の方法の確認ができ
    データベースセキュリティのベストプラクティスを提案してくれます。

  • ユーザー評価 (User Assessment)
    データベースにアクセスしているユーザの情報を確認して、
    ユーザの認証方法、パスワードを設定してから経過した時間などから各ユーザのリスク度合いを計算してくれます。
    これらの情報から、ユーザに対してアクセス制限をかけたり、よりセキュアなパスワード・ポリシーの作成に役立てることができます。

  • データ検出(Data Discovery)
    データベースのメタデータと実際のデータを調べて、機密データの場所や数の確認及び検索ができます。
    その情報を使って、サンプルデータの収集や検出された機密データの検証をすることもできますが
    機密データを使った検証なので、使用する際は注意が必要です。

  • データマスキング(Data Masking)
    本番環境の機密データを、検証環境や開発環境で使用したいときに使用する機能です。
    本番運用で使用するデータと同じ特性を持たせながら、完全な別データに置き換えることができます。

  • アクティビティ監査 (Activity Auditing)
    データベースのユーザーアクティビティの監視や、監視レコードの収集、アラートのトリガー設定などを行うことができます。

サポート対象データベースについて

2019年12月時点で、以下のデータベースのみ登録することができます。
Standard Editionが非対応のようなので、今後サポートしてくれるととてもありがたいです!

Oracle Cloudデータベース バージョン
Autonomous Data Warehouse (サーバーレス) 最新のバージョン
Autonomous Transaction Processing (サーバーレス) 最新のバージョン
ベアメタルDBシステム (Standard Editionは非対応) 12.2.0.1,18.0.0.0
仮想マシンDBシステム (Standard Editionは非対応) 12.2.0.1,18.0.0.0,19.0.0.0

※公式サイト引用


Autonomous Databaseの作成

  • 今回は、Autonomous Transaction Processing(ATP)をデータ・セーフに登録してます。
    リソース画面の「Autonomous Transaction Processing」を選択し、「Autonomous Databaseの作成」ボタンを実行しましょう。
    f:id:k_otsuka_atom:20191223075642p:plain

今回作成したATPの設定値は以下の通りです。
設定値を入力したら「Autonomous Databaseの作成」ボタンを押すこと、10~15分ほどで作成が完了します。

パラメータ 入力値
表示名 otsuka-autonomous
データベース名 otsukautonmous
ワークロード・タイプの選択 トランザクション処理
デプロイメント・タイプの選択 共有インフラストラクチャ
Always Free
パスワード 任意のパスワード
ライセンス・タイプの選択 ライセンス込み

f:id:k_otsuka_atom:20191223080830p:plain

  • また、本記事ではAlways Freeを利用しています。
    Always Freeについては以下の記事からご確認ください。
    www.oracle.com

利用方法

  • データ・セーフを利用する際は
    リソース画面から、データ・セーフを選択してください。
    f:id:k_otsuka_atom:20191129091132p:plain

  • [DataSafeの有効化]ボタンを押し、しばらく待つと[サービス・コンソール]ボタンが表示されて利用可能になります。
    利用にあたって注意する点がありますので、下記ご確認ください。
    f:id:k_otsuka_atom:20191129091251p:plain

データ・セーフ利用時の注意点

  1. 無料トライアルアカウントでは利用できない
    「Autonomous Databaseの作成の紹介」で紹介したリンクに記載がありますが、
    Autonomous Databaseは無料トライアルアカウントで無料で使用することができます!
    しかし、本記事で紹介するデータ・セーフのサービスは無料トライアルアカウントでは利用することができません。
    データ・セーフを利用したい方は、ご注意ください。
    f:id:k_otsuka_atom:20191128144859p:plain

  2. フェデレーテッドユーザ(IDCSユーザ)は利用できない
    Single Sign-On (SSO)でログインするフェデレーテッドユーザでは、今現在利用することはできません。
    非フェデレーテッドユーザからログインして利用しましょう。
    ※今後のアップデートで利用することができるようになるみたいです。 f:id:k_otsuka_atom:20191128145457p:plain

  3. 他リージョンにあるデータベースは登録することができない
    複数のリージョンにデータベースを用意している場合は、リージョン毎にデータ・セーフを用意する必要があるので、
    ご利用する際はどのリージョンにデータベースがあるのかをご確認ください。
    例:東京リージョンに作成したデータ・セーフ対して、アッシュバーンリージョンに作成したデータベースを登録することはできません。

Autonomous Databaseの登録方法

  • Autonomous Databeseを作成したら、データ・セーフへデータベースを登録します。
    2019年12月時点では、OCIの日本語表記に[登録]ボタンが存在せず、登録することができないので、右上の[言語]ボタンから「English」を選択してください。
    f:id:k_otsuka_atom:20191129095007p:plain

  • OCIを英語表記にすることで、詳細タブのData Safeの項目に、[Register]のボタンが表示されるので、
    画面の表示に従ってデータベースの登録を行いましょう。
    f:id:k_otsuka_atom:20191128151435p:plain

  • OCIを日本語表記に戻してみると 登録が完了していることが確認できます。
    f:id:k_otsuka_atom:20191129095808p:plain

  • データ・セーフの管理画面からも、データベースが登録されていることが確認できます。
    f:id:k_otsuka_atom:20191129100010p:plain

参考情報

仮想マシンDB及びベアメタルマシンDBを登録する際は、
データ・セーフコンソール画面より、[Targets]→[Register]から登録を行います。
※登録するまでに行うことがほかにもありますので、別の機会に紹介しようかと思います。
f:id:k_otsuka_atom:20191223172320p:plain

  • Autonomous Databaseはこの画面から登録することができませんが[Test Connection]ボタンから、疎通確認の実行はできます。
    私が疎通確認時に以下の設定を行ったので、ご参考ください。

  • 疎通確認時に使う情報(主にtnsnames.ora)は、
    データベース詳細画面→[DB接続]ボタンから
    ウォレットタイプを「インスタンスウォレット」に選択して、[ウォレットのダウンロード]ボタンを押すことで取得することができます。
    f:id:k_otsuka_atom:20191128164615p:plain

パラメータ 入力値
Target Name 任意の名前
Target Type Oracle Database
Target Descriotion 登録するDBの説明(無記入可能)
Resource Group Default Resource Group
OCID データベースのOCID
ConnectionType TLS
Hostname/IP Address tnsname.oraに記載されているhost=から先の文字列
Port Number tnsname.oraに記載されているport=から先の文字列
Database Service Name tnsname.oraに記載されているservice_name=から先の文字列
Target Distinguished Name tnsname.oraに記載されているssl_server_cert_dn=から先の文字列
Certificate/Wallet Type JKS Wallet
Certificate/Wallet truststore.jks
Keystore Wallet keystore.jks
Wallet Password DB作成時に設定したパスワード
Database User Name ADMIN
Database Password DB作成時に設定したパスワード

おわりに

日本語表記にまだ対応していないのか、ATPの登録にかなり四苦八苦してしまいました。
今後、修正してくれるとは思いますが
修正がされるまでは、紹介した手順で登録をしてみてください。
近いうちにデータ・セーフ監視編の記事をアップしますので、そちらも併せて読んでいただければと思います!