| Oracle® Database Firewallインストレーション・ガイド リリース5.0 B65095-01 |
|
 前 |
 次 |
この章は、次の項目を含みます。
このマニュアルの最新バージョンは、Oracle Technology NetworkのデータベースのセクションにあるOracle Database Firewall Webサイトからダウンロードできます。URLは次のとおりです。
http://www.oracle.com/technetwork/indexes/documentation/index.html
Oracle Database Firewallは、SQLデータベースのデータを保護および監視するシステムです。これは、試行された攻撃のブロックと警告の表示、アクティビティの記録、脆弱性を評価するインテリジェント・ツールの提供を行います。
インストールするコンポーネントは、次のとおりです。
1つ以上のDatabase Firewall。各Database Firewallは次のタスクを実行します。
1つ以上のOracle, Microsoft SQL Server、Sybase Adaptive Server Enterprise(ASE)、Sybase SQL AnywhereおよびIBM DB2 LUWのデータベースからのSQLトランザクション・リクエストおよびレスポンスのリアルタイム記録および分析の処理
SQLトランザクションのカテゴリ化
データ・ポリシーの適用
リアルタイム・アラートおよびイベント伝播の有効化
保護されたデータベースからOracle Database Firewall ServerにSQLデータを送信した後、ローカルでSQLデータを削除
Oracle Linuxを使用するLinuxサーバーに、各Database Firewallをインストールします。このLinuxサーバーは、Database Firewall用に排他的に使用されます。『Oracle Database Firewall管理ガイド』では、スタンドアロンのDatabase Firewallの管理方法について説明します。
1つ以上のOracle Database Firewall Management Server。Management Serverは次のタスクを実行します。
1つ以上のDatabase FirewallのSQLデータを集計
このSQLデータを記述するビジネス・レポート用のレポート・プラットフォームとして機能
データ制御ポリシーの配布を一元化しながら、かつ特定のデータベース用に異なるポリシーの使用を有効化
ログ・ファイルのアーカイブおよびリストアなど、ログ・ファイルの格納と管理
接続されたすべてのDatabase Firewallのリモート管理
HP ArcSight SIEMなどのサード・パーティ・アプリケーションと統合
Oracle Linuxを使用するIntel x86サーバーに、各Management Serverをインストールします。このLinuxサーバーは、Management Server用に排他的に使用されます。『Oracle Database Firewall管理ガイド』では、Oracle Database Firewall Management Serverの管理方法について説明します。
1つ以上のOracle Database Firewall Analyzer。Analyzerは、Database Firewallによって作成されたログを読み取り、データベース用にSQL文をブロック、アラート作成、記録または許可するために使用するポリシーを作成または更新します。『Oracle Database Firewallセキュリティ管理ガイド』では、Analyzerの使用方法について説明します。AnalyzerはMicrosoft Windowsクライアント・コンピュータにインストールします。
これらのコンポーネントをインストールした後、監視するデータベースを追加し、データベースごとにリモートまたはローカルの監視を構成する必要があります。『Oracle Database Firewall管理ガイド』では、Oracle Database Firewallに接続するためのデータベースの構成方法について説明します。これらのデータベースでサポートされているデータベース・プラットフォームのリストについては、「サポートされているデータベース・バージョン」を参照してください。
図1-1は、Oracle Database Firewallをインストールおよび構成した後のシステムのアーキテクチャを示しています。この図は、2つのDatabase Firewallの高可用性構成を示しています。「デプロイメント・シナリオ」では、高可用性構成を含むその他の考えられるデプロイメントについて説明しています。この図は、保護されたデータベースからSQLトラフィックを直接送信できる、リモートおよびローカルのモニター構成も示しています。リモート・モニターまたはローカル・モニターを使用しているデータベースは、Database Firewallに直接接続します。
Oracle Database Firewallをインストールする一般的な手順は、次のとおりです。
サイトのニーズに最も適したネットワーク・シナリオを計画します。
「Oracle Database Firewallのインストールの計画」および「デプロイメント・シナリオ」を参照してください。
システムがこのガイドで説明している要件を満たしていることを確認します。
第2章「Oracle Database Firewallのインストール前の要件」を参照してください。
Oracle Database FirewallおよびOracle Database Firewall Management Serverをインストールします。
このプロセスの一部として、管理者パスワードを変更します。
「Database FirewallおよびDatabase Firewall Management Serverのインストール」を参照してください。
Analyzerをインストールします。
「Analyzerのインストール」を参照してください。
インストールの完了後、Database Firewall管理者は、保護されているデータベースのSQLデータを監視するようOracle Database Firewallを構成する必要があります。『Oracle Database Firewall管理ガイド』を参照してください。
レジリエント・ペア(高可用性)構成については、Oracle Database Firewallを定期的に更新する必要があります。第4章「Oracle Database Firewallソフトウェアの更新」で手順を説明しています。
Oracle Database Firewallが保護されているデータベースへのすべてのトラフィックを監視することは非常に重要です。これは一般的に、各Database Firewallが、データベースに近いネットワーク内のポイントに接続する必要があることを意味します。この方法には、Oracle Database Firewallがデータベース以外のトラフィックを監視することが少なくなるという別の利点があります。
あるいは、Oracle Database Firewallをクライアント・アプリケーションの後方、またはネットワーク内の戦略的なポイントに配置するという方法もあります。ただし、いずれの場合も、データベース・トラフィックがOracle Database Firewallシステムをバイパスしないようにする必要があります。
文ブロックを使用していない場合、トラフィックをOracle Database Firewallポートに送るために、スパニング・ポートを使用する必要があります。スパニング・ポートにより、ネットワーク・パフォーマンスに影響しない文スキャンが可能になります。Oracle Database Firewallコンポーネントは、標準ギガビット・イーサネット・ネットワーク・アダプタを使用して接続します。
文ブロックが必要な場合、監視対象のデータベースとデータベース・クライアントおよびアプリケーションの間にOracle Database Firewallを配置する必要があります。Oracle Database Firewallに万一障害が発生した場合は、すべてのトラフィックが通過し、サービスの継続性が維持されます。
ユーザーまたはプロセスがデータベース・サーバー・システムに直接アクセスできる場合、Oracle Database Firewallのローカル監視ソフトウェアを使用して、データベース・サーバー自体から発信されるトラフィックを監視することを検討してください。
|
注意: Oracle Database Firewallでは、デプロイを容易にするために、データベース・サーバーまたは他のネットワーク・デバイスのIPアドレスの変更を必要としません。 |
|
参照: ローカル監視の構成など、構成の詳細は、『Oracle Database Firewall管理ガイド』を参照してください。 |
Database FirewallおよびDatabase Firewall Management Serverを1つのサーバーにインストールします。最も単純なこのシナリオでは、Oracle Linux環境を使用する1つのサーバーにDatabase Firewallをインストールします。次に、Microsoft Windowsクライアント・コンピュータにAnalyzerをインストールします。
1つ以上のDatabase Firewallをそれぞれ独立したサーバーに、また1つのDatabase Firewall Management Serverを1つのサーバーにインストールします。このシナリオでは、Database Firewallを独立したサーバーにインストールします。これらの各サーバーは、集中管理された1つのDatabase Firewall Management Serverと通信します。そして今度は保護された各データベースがDatabase Firewallに接続します。サイトで必要な数のDatabase Firewallをインストールできます。
高可用性のために1つ以上のDatabase FirewallおよびDatabase Firewall Management Serverを構成します。このシナリオでは、高可用性のためにサーバーを追加し、前のシナリオを基礎とすることができます。たとえば、最初のDatabase Firewall Management Serverに対して追加のManagement Serverを1つ構成し、既存のDatabase Firewallごとに追加のDatabase Firewallを構成できます。一方はプライマリ・デバイスとして使用され、もう一方はセカンダリ・デバイスとして指定されます。プライマリ・サーバーは通常の操作をすべて実行しますが、セカンダリ・サーバーはトラフィックを監視します。セカンダリ・サーバーは、プライマリ・サーバーで障害が発生した場合にのみ警告します。
システムには最大2つのManagement Serverをインストールでき、そのうちの1つは高可用性のために使用されます。
ローカル・モニターを構成します。ネットワークを通過しないデータベース・サーバーへの直接接続からSQLデータを監視する場合、保護されたデータベースにローカル監視ソフトウェアをインストールできます。(ローカル監視ではSQL文がブロックされないので注意してください。)次に、Database Firewallと直接通信し、今度はDatabase FirewallがManagement ServerにこのSQLデータを送信するよう、このデータベースを構成します。ローカルの監視の詳細は、『Oracle Database Firewall管理ガイド』を参照してください。
リモート・モニターを構成します。分散環境に多くの小規模データベースがあり、Oracle Database Firewallによって、これらの小規模データベースをすべて一元管理する必要がある場合、そのDatabase Firewallに送信されるすべてのデータベース・トラフィックを参照できるLinuxサーバー上に、リモート・モニターをインストールできます。(リモート監視ではSQL文がブロックされないので注意してください。)通常、Database Firewallサーバーはデータベースの近くに置かれ、スイッチのスパン・ポートに接続されます。リモート・モニターはデータベース・ホストのオペレーティング・システムから実行され、リモート・モニターのインストールを管理するDatabase Firewallに、データベースSQLトラフィックをネットワークを介して送信します。リモート監視の詳細は、『Oracle Database Firewall管理ガイド』を参照してください。
これらすべてのシナリオについて、次のガイドラインに従います。
Oracle Database Firewallは専用のIntel x86サーバーにインストールします。Database Firewallをインストールすると、ハード・ドライブがフォーマットされ、ハード・ドライブ上の既存のデータが失われます。
Oracle Database Firewallは、物理的に安全かつ制御された環境にインストールします。
データベース・ネットワークが、Database Firewallアプリケーションが動作するネットワークから論理的または物理的に切り離されていることを確認します。特に、不要なIPアドレスとの間を送受信されるトラフィックを除外するよう、ネットワーク・ファイアウォール、スイッチ、タップおよびハブを構成します。
Database Firewallが、ネットワークのルートを介して保護するデータベース・サーバーにできるだけ近いようにします。Management Serverは、他のDatabase Firewallコンポーネントにアクセスできるかぎりは、任意の場所に配置できます。
Database Firewallには3つのネットワーク・ポートがあることを確認します。Management Serverで必要なネットワーク・ポートは1つのみです。
DPEモードでは、適用されているポリシーに関係なく、Database FirewallシステムによりすべてのIPv6トラフィックがブロックされる点に注意してください。監視モードでは、Database FirewallはIPv6トラフィックを検出しません。
