| Oracle® Coherenceセキュリティ・ガイド リリース3.7.1 B71689-01 |
|
 前 |
 次 |
この章では、Coherenceセキュリティ機能の概要について説明します。Coherenceセキュリティ機能はセキュリティ・レベルが様々で、必要に応じて実装できます。このセキュリティ機能には、業界標準の機能とCoherence固有の機能が含まれます。
|
注意: このガイドでは、クラスタの設定やCoherence*Extendクライアントの作成に関する詳細な手順については説明しません。クラスタの設定またはCoherence*Extendクライアントの作成の詳細はそれぞれ、『Oracle Coherence開発者ガイド』および『Oracle Coherenceクライアント・ガイド』を参照してください。 |
この章には次の項が含まれます:
Coherenceセキュリティには、クラスタ・メンバーとExtendクライアントの両方の保護が含まれます。セキュリティの有効化は、アプリケーションまたはクラスタの実装、組織のセキュリティへの関心とセキュリティの許容度に基づき、必要に応じて行われます。この項では、各セキュリティ機能を簡単に説明し、それらが対応している関心領域を示します。ここで(およびこのガイド全体で)示す機能は、基本的なセキュリティ対策から高度なセキュリティ対策までが含まれます。
Javaポリシー・セキュリティ
Coherenceでは、Coherenceの実行に必要な最小限のセキュリティ・パーミッションを含むJavaセキュリティ・ポリシー・ファイルが提供されています。このファイルを編集し、アプリケーションの要件に応じてパーミッションを変更します。セキュリティ・ポリシーは、Coherenceライブラリや構成ファイルの悪質な使用および変更を防ぎます。詳細は、第2章「全般的なセキュリティ対策の有効化」を参照してください。
ホストベースの認可
ホストベースの認可は、クラスタのメンバーになることができるホストおよびクラスタに接続可能なExtendクライアントの明示的な指定に使用されます。このタイプのアクセス制御は、ホスト名(またはIPアドレス)が事前にわかっている環境に適しています。ホストベースの認可は、無許可のホストによるクラスタへの参加またはアクセスを防ぎます。詳細は、第2章「全般的なセキュリティ対策の有効化」を参照してください。
クライアント・サスペクト・プロトコル
クライアント・サスペクト・プロトコルは、Extendクライアントが悪質な動作を行っているかどうかを自動的に判断するために使用されます。クライアントが悪質と判断された場合、クラスタへの接続が自動的にブロックされます。サスペクト・プロトコルは、サービス拒否攻撃を防ぎます。詳細は、第2章「全般的なセキュリティ対策の有効化」を参照してください。
クライアントIDトークン
クライアントIDトークンは、クラスタにアクセス可能なExtendクライアントの制御に使用されます。有効なトークンを提示するクライアントのみがプロキシ・サーバーへの接続を許可されます。この機能では、既存のクライアント認証実装を活用できます。IDトークンは、好ましくないクライアントや悪質なクライアントがクラスタにアクセスするのを防ぎます。詳細は、第4章「Extendクライアント接続の保護」を参照してください。
クライアント認可
クライアント認可は、特定のユーザーがそのアクセス制御権限に基づいて実行可能なアクションの制御に使用されます。クライアント認可は、プロキシ・サーバー上で実行され、Extendクライアントがリソース(キャッシュ、キャッシュ・サービスまたは起動サービス)へのアクセスを許可される前に行われます。クライアント認可は、アプリケーション固有であり、クラスタ・リソースの無許可の使用を防ぎます。詳細は、第4章「Extendクライアント接続の保護」を参照してください。
アクセス・コントローラのセキュリティ・フレームワーク
アクセス・コントローラは、クラスタ・サービスやクラスタ・キャッシュなどのクラスタ・リソースへのアクセスを管理し、ユーザーがそれらのリソースで実行できる操作を制御します。クラスタ・メンバーは、ログイン・モジュールを使用してIDの証明を提示し、通信の暗号化/復号化は、信頼性の証明としての役割を果たします。フレームワークにより、キーストアの使用が求められ、パーミッション・ファイル内のパーミッションが定義されます。アクセス・コントローラは、悪質なクラスタ・メンバーがクラスタ・リソースにアクセスしたり、クラスタ・リソースを作成したりするのを防ぎます。詳細は、第3章「アクセス・コントローラの使用方法」を参照してください。
SSL
SSLは、クラスタ・ノード間のTCMP通信やCoherence*Extendクライアントとプロキシ間のTCP通信の保護に使用されます。SSLは、デジタル署名を使用して識別/信頼を確立し、キーベースの暗号化を使用してデータが確実に保護されるようにします。SSLは、悪質なクライアントおよびクラスタ・メンバーによる無許可のアクセスやデータの改ざんの保護に使用される業界標準です。詳細は、第5章「SSLを使用した通信の保護」を参照してください。
Coherenceセキュリティ機能は通常、オペレーション・オーバーライド・ファイルまたはキャッシュ構成ファイルのいずれかで有効化および構成されます。Coherence構成の詳細は、『Oracle Coherence開発者ガイド』を参照してください。
オペレーション・オーバーライド・ファイル: tangosol-coherence-override.xmlファイルは、オペレーション・デプロイメント・ディスクリプタをオーバーライドするために使用します。クラスタ・サービス、通信サービス、データ管理サービスを作成、構成および維持するために使用する、操作設定およびランタイム設定を指定します。このファイルを使用してクラスタのセキュリティを構成します。これは、クラスタ・メンバー間のセキュリティを示しています。
キャッシュ構成ファイル: coherence-cache-config.xmlファイルはデフォルトのキャッシュ構成ファイルであり、クラスタ内で使用可能な様々な種類のキャッシュの指定に使用されます。この構成ファイルを使用して、Coherence*Extendのセキュリティを構成します。キャッシュ構成ファイルは、Coherence*Extendのクライアント側およびクラスタ側の両方に必要です。Coherence*Extendの設定の詳細は、『Oracle Coherenceクライアント・ガイド』を参照してください。
