この章では、エンタープライズ内のアプリケーションが事前に確立されている規格に準拠していることをEnterprise Manager Grid Controlで検証する方法について説明します。この章の内容は、次のとおりです。
エンタープライズを効率的に運用するには、セキュリティ、構成およびストレージのベスト・プラクティスを推進する規格に準拠する必要があります。これらの規格を策定した後、組織全体にわたってこれらの規格を適用してテストできます。つまり、コンプライアンスをテストできます。コンプライアンスとは、規格または要件、あるいはその両方に準拠することです。
Enterprise Manager Grid Controlを使用すると、ターゲットがセキュリティ規格、構成要件およびストレージ要件に準拠しているかをテストできます。
システム、サービスおよびターゲットを継続的にテストすることにより、システムを最大限に保護し、最高のパフォーマンスを実現できます。
コンプライアンスは、ターゲットのコンプライアンスの評価と、ポリシー・グループのライフサイクル管理の2部構成になっています。次の各項では、これら2つの概念について説明します。
注意: コンプライアンス機能を表示する手順は、次のとおりです。
|
Oracleでは、ポリシーとポリシー・グループという2つのタイプのコンプライアンス管理手段を採用しています。ポリシーとポリシー・グループにより、システムに最適な構成を定義します。
ポリシーとポリシー・グループはその目的は同じです。つまり、両方とも、管理対象のエンティティの評価基準となるルールを提供します。ただし、これらには次のような違いがあります。
ポリシー・グループ内のルールは1セットとして管理されます。これらは、ポリシー・グループのコンテキストにおいて表示、維持、評価および報告されます。
ポリシー・ルールはセットとしては評価されません。ポリシー・ルールは、スタンドアロン・エンティティとして表示、維持および評価されます。
Oracleによって定義された即時利用可能なポリシーとポリシー・グループを使用するか、特定のシステム要件にあわせてポリシーをカスタマイズするかに関係なく、システムまたはアプリケーションからの偏差はすべて報告されます。偏差の例には、不適切な設定や不正なシステム構成などがあります。
この項の内容は、次のとおりです。
Grid Controlのコンプライアンス管理ページにアクセスする手順は、次のとおりです。
「コンプライアンス」タブをクリックし、ポリシーとポリシー・グループに関連する違反を表示します。
すべてのターゲットを対象にすべてのポリシー違反のロールアップ・ビューを表示するには、「ポリシー」タブをクリックします。このタブでは、ポリシー・アソシエーション、ポリシー・ライブラリおよびエラーにアクセスすることもできます。
違反があるポリシー・グループのリストを表示するには、「ポリシー・グループ」タブをクリックします。このタブでは、ポリシー・グループおよびポリシー・グループ評価エラーのライブラリにアクセスすることもできます。
エンタープライズ全体を対象にセキュリティ統計のロールアップ・ビューを表示するには、「セキュリティ一覧」タブをクリックします。
特定のターゲットのホームページに移動します。「ポリシー違反」セクションのリンクには、重大度レベルに応じてポリシー違反の数が表示されます。これらのリンクをクリックし、そのターゲットのクリティカル、警告および情報の各ポリシー違反までドリルダウンします。
ここでは、ポリシー違反の調査に関するいくつかの提案事項を示します。最もクリティカルな違反やエンタープライズに対する影響が最も大きい違反に注意してください。
Enterprise Manager Grid Controlのホームページ上の統計の詳細を確認してください。特に、「すべてのターゲットのポリシー違反」セクションの統計に注意してください。重大度が「クリティカル」であるポリシー違反を最初に処理する必要があります。
「セキュリティ・ポリシー違反」セクションに報告されているセキュリティ関連の違反の詳細を確認してください。これらのポリシー・ルールに対する違反は、エンタープライズのセキュリティに大きな影響を及ぼす可能性があります。
コンプライアンス・スコアが最も低いターゲットには対処が必要です。
特定のターゲットのポリシー違反については、そのターゲットのホームページを調査してください。「ポリシー違反」セクションには概要情報が示されていますが、そのターゲットの「ポリシーの傾向の概要」にもアクセスできます。
ターゲットとは関係なくポリシーを処理するには、「コンプライアンス」タブに移動し、「ポリシー」をクリックします。このタブを使用して、エンタープライズのすべてのポリシー違反、ポリシー・アソシエーション、すべてのポリシーがリストされたポリシー・ルール・ライブラリ、およびポリシー評価エラーにアクセスできます。
「ポリシー違反」ページに移動し、n日以内の最新の違反フィルタに適切な値を入力します。
違反を後で処理する場合は、違反を抑止します。
ターゲットとは関係なくポリシー・グループを処理するには、「ポリシー・グループ」をクリックします。このタブを使用して、エンタープライズのすべての評価結果、ポリシー・グループ・ライブラリ、およびポリシー・グループ評価エラーにアクセスできます。
注意: 表示権限があるターゲットからの結果のみを表示できます。 |
特定のポリシー・グループを参照するには、「評価結果」ページに移動します。ナビゲーション・ツリーでポリシー・グループの名前をクリックすると、サマリー・ページにすべてのターゲットとともに違反の数がリストされます。
「傾向の概要」ページにナビゲートすると、評価されたターゲット数、ターゲットごとの平均違反数、コンプライアンス・スコア別のターゲット数、および平均コンプライアンス・スコアの各グラフが表示されます。
関連項目: ポリシーとポリシー・グループの概要、およびポリシーとポリシー・グループの表示および管理の詳細は、Grid Controlのオンライン・ヘルプのポリシーの概要およびポリシー・グループの概要に関する項を参照してください。 |
セキュリティ・ポリシーは、ホスト、データベース・インスタンス、クラスタ・データベース、リスナー、OC4J、Oracle HTTP ServerおよびWebキャッシュを含む多くのターゲットで使用できます。
セキュリティ・ポリシー・グループは、データベース・インスタンス、クラスタ・データベースおよびリスナーで使用できます。
セキュリティはエンタープライズの安定性を確保する上で非常に重要であるため、Grid Controlではセキュリティ統計が強調表示されます。Enterprise Manager Grid Controlのホームページや多くのターゲットのホームページには、ターゲットのセキュリティ統計を表示する個別セクションがあります。これにより、エンタープライズのセキュリティの状態に細心の注意を払うことができます。
また、セキュリティ一覧機能により、すべてのターゲットまたは特定のグループを対象としてエンタープライズのセキュリティの状態の概要も示されます。この機能を使用すると、セキュリティ・ポリシーの違反に関する統計が表示され、適用されていない重要なセキュリティ・パッチが示されるため、早期にセキュリティ上の問題に重点的に取り組むことができます。
評価の結果を表示するには、次のいずれかまたはすべての方法を使用します。
ターゲットのホームページの「ポリシー違反」セクションの統計の詳細確認
「評価結果」ページから使用可能な「ポリシーの傾向の概要」ページおよび「傾向の概要」ページの使用
「セキュリティ一覧」ページへのアクセス
コンプライアンスの評価は、ターゲットに対してポリシー・ルールとポリシー・グループ・ルールをテストし、任意の違反をOracle Management Repositoryに記録するプロセスです。
評価を行うには、次のいずれかの方法で評価を有効にする必要があります。
ポリシーの場合、「メトリックとポリシー設定」ページの「メトリックしきい値」オプションを使用します。
ポリシー・グループの場合、「ポリシー・グループ・ライブラリ」ページを使用します。
ポリシー・グループ評価の結果を表示するには、「ポリシー・グループ」タブからアクセスするポリシー・グループの「評価結果」ページを使用します。
Enterprise Manager Grid Controlのホームページで「コンプライアンス」タブをクリックします。
「ポリシー・グループ」タブをクリックして「評価結果」ページを選択します。
関連するターゲット・タイプとポリシー・グループを選択します。どのポリシー・グループが使用できるかわからない場合は、「ライブラリ」タブをクリックしてターゲット・タイプを選択します。「実行」をクリックします。ポリシー・グループ情報が表示されます。
Oracleでは、各種ターゲットに対して複数の即時利用可能なポリシー(ポリシー・ルールとも呼ばれる)とポリシー・グループを提供しています。
ターゲットをEnterprise Managerに追加すると、このターゲットでは、このターゲットのタイプに応じて事前に定義されたポリシー・ルールが自動的に使用されます。たとえば、Oracleでは、データベース・インスタンスとクラスタ・データベースに対してセキュリティ、構成およびストレージのポリシー・ルールを提供しています。セキュリティと構成のポリシー・ルールはホストに対して提供されます。
注意: ポリシー・グループは、ターゲットに自動的には関連付けられません。 |
ポリシーをカスタマイズするには、既存のポリシー・ルール設定を編集します。ポリシー評価の有効化または無効化、コンプライアンス・スコア計算の重要性の変更、修正処理の割当て、テンプレートの上書きの回避、デフォルトのパラメータ値の上書き(可能な場合)、およびポリシー評価からのオブジェクトの除外(可能な場合)が可能です。
関連項目: コンプライアンス・スコアのオンライン・ヘルプ |
ポリシーのカスタマイズの機能の1つに、修正処理を定義する機能があります。修正処理は、ポリシー違反に応じて自動的に実行される特別なタイプのジョブです。
修正処理では、Enterprise Manager Grid Controlのジョブ・システムを使用します。修正処理は、通常のジョブと同じように複数のステップで構成され、任意のホストおよびターゲット資格証明を使用して実行でき、成功または失敗、およびその出力を管理リポジトリに報告します。
ポリシー・グループは、ターゲットを測定するための規格としての役割を持ちます。ポリシー・グループにより、偏差が報告され、システムをコンプライアンス状態に戻すための任意のアクション実行によるクローズド・ループの修復が可能になります。Oracleでは、次のポリシー・グループを提供しています。
これらの規格はベスト・プラクティスを表します。これらの規格により、エンタープライズ・システムおよび構成全体にわたって一貫性を維持できます。傾向分析機能を使用すると、一定期間にわたってコンプライアンスの進行状況を詳細に追跡できます。
次の各項では、各ポリシー・グループの重要事項について説明します。
このポリシー・グループは、Oracle Databaseに対応したセキュリティ規格に準拠しています。このポリシー・グループで最も重要と考えられるカテゴリは、次のとおりです。
インストール後
これらのルールでは、デフォルトのパスワードを使用するデフォルトのデータベース・サーバー・アカウントが開かれたままになっていることが原因で発生する、データベースのセキュリティ侵害を回避します。
Oracleディレクトリとファイル権限
これらのルールでは、アクセスを制限することにより、オペレーティング・システムのユーザーによるデータベースへの攻撃を困難にします。
Oracleパラメータ設定
これらのルールでは、セキュアなデータベース初期化パラメータ設定を確実に実施します。
データベース・パスワード・プロファイル設定
これらのルールでは、データベース・プロファイル設定の正確な定義を確実に実施します。Oracleのパスワード管理は、ユーザー・プロファイルを使用して制御されます。ユーザー・プロファイルはデータベース・ユーザーに割り当てられます。これにより、データベース・セキュリティの制御が強化されます。
データベース・アクセス設定
これらのルールでは、ジョブの効率的な実行に実際必要な権限のみをユーザーに付与するなど、オブジェクト・レベルでのデータベースのアクセスおよび使用の制限を確実に実施します。
このポリシー・グループは、Oracle Cluster Databaseに対応したセキュリティ規格に準拠しています。このポリシー・グループで最も重要と考えられるカテゴリは、次のとおりです。
インストール後
これらのルールでは、デフォルトのパスワードを使用するデフォルトのデータベース・サーバー・アカウントが開かれたままになっていることが原因で発生する、データベースのセキュリティ侵害を回避します。
Oracleディレクトリとファイル権限
これらのルールでは、アクセスを制限することにより、オペレーティング・システムのユーザーによるデータベースへの攻撃を困難にします。
データベース・パスワード・プロファイル設定
これらのルールでは、データベース・プロファイル設定の正確な定義を確実に実施します。Oracleのパスワード管理は、ユーザー・プロファイルを使用して制御されます。ユーザー・プロファイルはデータベース・ユーザーに割り当てられます。これにより、データベース・セキュリティの制御が強化されます。
データベース・アクセス設定
これらのルールでは、ジョブの効率的な実行に実際必要な権限のみをユーザーに付与するなど、オブジェクト・レベルでのデータベースのアクセスおよび使用の制限を確実に実施します。