オンプレ時代、セキュリティといえば“俺の領域”だった
オンプレでは、セキュリティといえばこの3つだった:
- ネットワークACL
- DBユーザーの権限設計
- 監査ログとポリシー管理
つまり、「誰が、どこから、何をできるか」を、俺が全部コントロールしていた。
「セキュリティはDBAの責任だから」
その自負があった。だが、ADBに転生した俺は――
自分の手から権限が滑り落ちていく感覚を味わうことになる。
クラウドでは“IAM”が王様だった
Autonomous Database(ADB)の世界では、まず最初に出てくるのがOCI IAM(Identity and Access Management)。
OCI IAMの役割は、「誰が」「どのリソースに」「何をできるか」を管理し、OCI環境全体のセキュリティを確保すること。
| 要素名 | 役割 | 説明 |
|---|---|---|
| ユーザー (Users) | 誰がアクセスするか | クラウド・リソースにアクセスする個人やアプリケーション |
| グループ (Groups) | ユーザーの集合 | 複数のユーザーをまとめる単位。ポリシーをグループに適用することで、管理が楽 |
| コンパートメント(Compartments) | リソースの論理的な入れ物 | リソースを階層的に整理・分離する単位。セキュリティとコスト管理の基本 |
| ポリシー (Policies) | 何ができるか、というルール | ユーザーやグループが、どのコンパートメント内のリソースに、どのような操作を許可されるかを定義するルール |
これらの要素を組み合わせることで、
「どのユーザー/グループが、どのコンパートメントにあるリソースに対して、どのような操作を許可されるか」
というアクセス制御を柔軟かつ厳格に設定することができる。
つまりOCI IAMは、この世界の"身分証明ギルド"だ。
ユーザーやグループに役割(ポリシー)を与えて、どの街(コンパートメント)で何が出来るかを管理する。
権限を持たない者は、城門の外から一歩も入れない仕組みってわけだ。
「権限設計=DBユーザーのロール管理」だった俺の常識が、クラウドでは“システム全体のIAM”に吸収されていた。
注:データそのもののセキュリティは、ADBでもDBユーザのロール管理が必要
ファイアウォールが…ない!?
オンプレでは、DBサーバは社内ネットワークの奥にあり、FWで守られていた。
ADBでは、Virtual Cloud Network (VCN) という仮想ネットワーク内にDBが置かれる。
そして、ADBのネットワーク・アクセス・タイプは3つから選べる:
| ネットワーク・アクセス・タイプ | 接続方法と特徴 | 主なセキュリティ |
|---|---|---|
| 1. すべての場所からの セキュア・アクセス |
パブリック・インターネット経由で、あらゆる場所から接続可能。最も柔軟性が高い設定。 | 接続にはウォレット(TLS/SSL)が必須となり、通信は暗号化される。不正アクセスを防ぐにはウォレットの厳重な管理が重要。 |
| 2. 許可されたIPおよびVCN 限定のセキュア・アクセス |
指定されたIPアドレス、CIDR、またはOCI VCN内のサブネットからのみ接続を許可する。 | 接続元が限定されるため、よりセキュアです。事実上のファイアウォールとして機能する。 |
| 3. プライベート・エンドポイント アクセスのみ |
インターネットからのアクセスを完全に遮断し、VCN内のプライベート・サブネットからのみ接続を許可する。 | 最も厳格なセキュリティ設定。ADBはプライベートIPアドレスのみを持つため、外部からの直接アクセスは不可能です。 |
初めてADBを起動したとき、「ADBが作られたのに繋がらない…」という現象が起きた。
答えは、VCNルールを1つ設定し忘れていたからだった。
そう、クラウドでは“ポート空け忘れ”が最も多いトラブル。
DB内のセキュリティも変わった
ADBは、デフォルトで以下が有効になっている:
- 暗号化(TDE)
- 監査ログ
- デフォルト強めのパスワードポリシー
オンプレで「これは要件があればやるもの」だったセキュリティ設定が、ADBでは標準装備。
「何もしない方がセキュア」という、不思議な世界だった。
でも、それを“知らない”と事故る
自動化・デフォルト化は便利。だが、挙動を理解していないと、逆にセキュリティリスクにもなる。
たとえば:
- WalletをGitに誤ってコミットしてしまった
- パブリックエンドポイントが開きっぱなしになっていた
- IAMユーザーに誤って強いロールを付けてしまった
こういったことは オンプレでは考えられないクラウド特有の事故だ。
クラウドDBAに求められる“新・セキュリティ感覚”
クラウド時代のDBAには、以下のような意識が求められる:
- DB内だけでなく「OCI全体のセキュリティ」設計を理解する
- ネットワーク設計と連携できる
- 最小権限の原則をIAMで実装できる
- 自動化されている機能を“信じて、確認”する目を持つ
つまり、「セキュリティもDBAの仕事です」は、変わっていない。
変わったのは「見る場所」と「守る範囲」だけ。
セキュリティは、クラウドDBAの“新しい剣”
オンプレDBAとして培った
- ロールの使い方
- 最小権限設計
- アクセス制御の考え方
…は、クラウドでもそのまま活かせる。
ADBという新しい世界では、それをOCIの知識と組み合わせることが、次なる進化の鍵だ。
次回予告
第8話|コストとリソース管理という新たなスキルツリーの解放
「CPU使ったら課金されるだと…!?止めるの忘れて○万円…」
クラウドでは、“性能”だけでなく“コスト”もチューニング対象だった。