| Oracle Fusion Middlewareセキュリティ概要 11g リリース1(11.1.1) B56236-01 |
|
 戻る |
 次へ |
この章の項目は次のとおりです。
インフラストラクチャのセキュリティ強化とは、次のようなインフラストラクチャの各コンポーネントにセキュリティを適用することです。
Webサーバー
アプリケーション・サーバー
アイデンティティ管理およびアクセス管理のソリューション
データベース・システム
|
注意: Oracle WebLogic Serverでは、ロックダウンと呼ばれる固有のタイプのセキュリティ強化を使用します。ロックダウンとは、サーバー・インスタンスで実行されるサブシステムおよびアプリケーションを保護することです。対照的に、インフラストラクチャのセキュリティ強化はより一般的であり、サイトに影響を与える可能性がある脅威モデルを識別するセキュリティ調査を行い、セキュアでない可能性がある環境(Web層のコンポーネントなど)のすべての局面を特定します。 |
具体的には、Oracle Fusion Middleware管理者はインフラストラクチャのセキュリティに関して次のような点に重点を置きます。
SSL対応コンポーネントおよびコンポーネントのルート(Oracle Web CacheからOracle HTTP Serverなど)
SSL対応Webサービス
ポートの管理および、次のようなサイトのその他の機能
デフォルトでデプロイされるアプリケーション
デモ
サンプル管理
パスワード管理
秘密鍵、デジタル証明、信頼できるCA証明書など、SSL通信に必要なオブジェクトはキーストアに格納されています。
Oracle Fusion Middlewareでは、鍵と証明書用に2種類のキーストアが用意されています。
JKSベースのキーストアおよびトラストストア
JKSキーストアは、Sun Microsystems社によって提供されているJavaキーストアのデフォルトのJKD実装です。11gR1では、すべてのJavaコンポーネントおよびJavaEEアプリケーションでJKSベースのキーストアおよびトラストストアを使用しています。
JKSベースのキーストアは次のものに対して使用します。
Oracle Virtual Directory
Oracle WebLogic Serverにデプロイされた次のアプリケーション
Oracle SOA Suite
Oracle WebCenter
Oracle Walletは証明書、証明書リクエスト、秘密鍵などの資格証明用のキーストアです。
Oracle Walletは次のコンポーネントに使用します。
Oracle HTTP Server
Oracle Web Cache
Oracle Internet Directory
詳細は、Oracle Fusion Middlewareの管理者ガイド の「キーストア、ウォレットおよび証明書の管理」を参照してください。
11gリリース1(11.1.1)のSSL管理機能は、次のとおりです。
Oracle WebLogic Serverでは、クライアントとサーバー間の通信のためにSSL機能が用意されています。
Oracle Fusion Middleware 11gには新しいSSL構成機能があり、次のOracle Fusion Middlewareシステム・コンポーネントでSSLの有効化がサポートされています。
Oracle Web Cache
Oracle HTTP Server
Oracle Internet Directory
Oracle Virtual Directory
SSLの構成機能は次のとおりです。
他の管理タスクからのSSL構成の手順を取得する。
すべてのOracle Fusion Middlewareシステム・コンポーネント間で、SSLの構成で一貫性が保たれ、均一であるようにする。
構成時にSSLを検証する。
様々なSSLパラメータに対しデフォルト値を提供し、構成を簡素化する。
Oracle Fusion MiddlewareのSSL構成ツール
タスクに応じて、様々な構成ツールを使用できます。
Oracle Enterprise Manager Fusion Middleware ControlおよびWLSTコマンドライン・ツール: システム・コンポーネントでは、リスナーでSSLを有効化し、Oracle WalletおよびJKSキーストアのコンポーネントでは、Oracle WalletおよびJKSキーストアを管理します。
Oracle Wallet Managerとorapkiコマンドライン・ツール: Oracle Wallet用です。
詳細は、次を参照してください。
Oracle Fusion Middlewareの管理者ガイドのOracle Fusion MiddlewareのSSL構成に関する項
Oracle Fusion Middlewareの管理者ガイドのキーストア、ウォレットおよび証明書の管理に関する項
Oracle WebLogic ServerのSSL構成ツール
Oracle Weblogic Serverでは、次のツールを使用してキーストアを管理し、サーバーへの接続が行われるとSSLを有効化します。
JDK keytoolユーティリティ
Oracle WebLogic Serverでは、JDKで提供されているJava KeyStore(JKS)がサポートされています。keytoolユーティリティは、鍵のペアの作成、自己署名された証明書の生成および読取りの他に、キーストアの管理にも使用されます。
WebLogic Server Administrator Console
このコンソールを使用して、WebLogic ServerリスナーのSSL構成を管理します。たとえば、Oracle WebLogic Serverで実行されているOracle SOA SuiteおよびOracle WebCenterでは、SSLを有効にするためにこのような機能が使用されています。
詳細は、次のドキュメントを参照してください。
Oracle Fusion Middlewareの管理者ガイドのOracle WebLogic Server管理コンソールの概要に関する項
『Oracle Fusion Middleware WebLogic Scripting Tool Command Reference』
記載されているポート管理のための手順は、次のトピックに対応しています。
ファイアウォールで保護されたデプロイメント環境で、開いているポートの数を最小化する方法
このような環境でのポートの管理方法
Oracleでは、製品に付随するデフォルト、デモおよびサンプルの取り扱いには、次のベスト・プラクティスもお薦めします。
必要のないデフォルトのアプリケーションの削除
管理アプリケーションへのアクセスの制限
デプロイ済アプリケーションへのアクセスの制限
詳細は、Oracle Fusion Middlewareの管理者ガイドのポートの管理に関する項を参照してください。
Oracle Fusion Middleware 11gR1では、connection.xmlファイルやdata-sources.xmlファイルではなく、資格証明ストアにパスワードを格納することをお薦めします。
Oracle Platform Security ServicesのCredential Store Frameworkには、Javaベース(Java SEおよびJava EE)のアプリケーションの資格証明を安全に格納および管理するメカニズムが用意されています。これは、アプリケーションからアクセスする必要があると考えられるすべてのシステムに接続するためのアカウント情報、ユーザー名およびパスワードの保持を目的としています。
