この章の項目は次のとおりです。
インフラストラクチャのセキュリティ強化とは、次のようなインフラストラクチャの各コンポーネントにセキュリティを適用することです。
Webサーバー
アプリケーション・サーバー
アイデンティティ管理およびアクセス管理のソリューション
データベース・システム
注意: Oracle WebLogic Serverでは、ロックダウンと呼ばれる固有のタイプのセキュリティ強化が使用され、サーバー・インスタンスで実行されるサブシステムおよびアプリケーションが保護されます。対照的に、インフラストラクチャのセキュリティ強化はより一般的であり、サイトに影響を与える可能性のある脅威モデルを判別するセキュリティ調査を行い、セキュアでない可能性のある環境(Web層のコンポーネントなど)のすべての側面を特定します。 |
具体的には、Oracle Fusion Middleware管理者はインフラストラクチャのセキュリティに関して次のような点に重点を置きます。
SSL対応コンポーネントおよびコンポーネントのルート(Oracle Web CacheからOracle HTTP Serverなど)
SSL対応Webサービス
ポートの管理および、次のようなサイトのその他の機能
デフォルトでデプロイされるアプリケーション
デモ
サンプル管理
パスワード管理
秘密鍵、デジタル証明、信頼できるCA証明書などのSSL通信に必要なオブジェクトは、キーストアに格納されます。
Oracle Fusion Middlewareでは、鍵と証明書用に2種類のキーストアが用意されています。
JKSベースのキーストアおよびトラストストア
JKSキーストアは、Sun Microsystems社によって提供されているJavaキーストアのデフォルトのJDK実装です。11gR1では、すべてのJavaコンポーネントおよびJavaEEアプリケーションでJKSベースのキーストアおよびトラストストアを使用しています。
JKSベースのキーストアは次のものに対して使用します。
Oracle Virtual Directory
Oracle WebLogic Serverにデプロイされた次のアプリケーション
Oracle SOA Suite
Oracle WebCenter
Oracle Walletは証明書、証明書リクエスト、秘密鍵などの資格証明用のキーストアです。
Oracle Walletは次のコンポーネントに使用します。
Oracle HTTP Server
Oracle Web Cache
Oracle Internet Directory
詳細は、『Oracle Fusion Middleware管理者ガイド』のキーストア、ウォレットおよび証明書の管理に関する項を参照してください。
11g リリース1(11.1.1)のSSL管理機能は、次のとおりです。
Oracle WebLogic Serverでは、クライアントとサーバー間の通信のためにSSL機能が用意されています。
Oracle Fusion Middleware 11gにはSSL構成機能があり、次のOracle Fusion Middlewareシステム・コンポーネントでSSLの有効化がサポートされています。
Oracle Web Cache
Oracle HTTP Server
Oracle Internet Directory
Oracle Virtual Directory
SSLの構成機能は次のとおりです。
他の管理タスクからのSSL構成の手順を取得する。
すべてのOracle Fusion Middlewareシステム・コンポーネント間で、SSLの構成で一貫性が保たれ、均一であるようにする。
構成時にSSLを検証する。
様々なSSLパラメータに対しデフォルト値を提供し、構成を簡素化する。
Oracle SSL自動化ツールを含み、これによってドメイン固有のCA証明書を使用した、1つのドメイン内での複数コンポーネントの構成を可能にする。
Oracle Fusion MiddlewareのSSL構成ツール
タスクに応じて、様々な構成ツールを使用できます。
Oracle Enterprise Manager Fusion Middleware ControlおよびWLST
コマンドライン・ツール: システム・コンポーネントでは、リスナーでSSLを有効化し、Oracle WalletおよびJKSキーストアのコンポーネントでは、Oracle WalletおよびJKSキーストアを管理します。
Oracle Wallet Managerとorapki
コマンドライン・ツール: Oracle Wallet用です。
詳細は、次を参照してください。
『Oracle Fusion Middleware管理者ガイド』のOracle Fusion MiddlewareでのSSL構成に関する項
『Oracle Fusion Middleware管理者ガイド』のキーストア、ウォレットおよび証明書の管理に関する項
Oracle WebLogic ServerのSSL構成ツール
Oracle Weblogic Serverでは、次のツールを使用してキーストアを管理し、サーバーへの接続が行われるとSSLを有効化します。
JDK keytool
ユーティリティ
Oracle WebLogic Serverでは、JDKで提供されているJava KeyStore(JKS)がサポートされています。keytool
ユーティリティは、鍵のペアの作成、自己署名された証明書の生成および読取りの他に、キーストアの管理にも使用されます。
WebLogic Server Administrator Console
このコンソールを使用して、WebLogic ServerリスナーのSSL構成を管理します。たとえば、Oracle WebLogic Serverで実行されているOracle SOA SuiteおよびOracle WebCenterでは、SSLを有効にするためにこのような機能が使用されています。
詳細は、次のドキュメントを参照してください。
『Oracle Fusion Middleware管理者ガイド』のOracle WebLogic Server管理コンソールの使用開始に関する項
Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス
記載されているポート管理のための手順は、次のトピックに対応しています。
ファイアウォールで保護されたデプロイメント環境で、開いているポートの数を最小化する方法
このような環境でのポートの管理方法
Oracleでは、製品に付随するデフォルト、デモおよびサンプルの取り扱いには、次のベスト・プラクティスもお薦めします。
必要のないデフォルトのアプリケーションの削除
管理アプリケーションへのアクセスの制限
デプロイ済アプリケーションへのアクセスの制限
詳細は、『Oracle Fusion Middleware管理者ガイド』のポートの管理に関する項を参照してください。
Oracle Fusion Middleware 11gR1では、connection.xml
ファイルやdata-sources.xml
ファイルではなく、資格証明ストアにパスワードを格納することをお薦めします。
Oracle Platform Security ServicesのCredential Store Frameworkには、Javaベース(Java SEやJava EE)アプリケーションの資格証明をセキュアに格納して管理するメカニズムが用意されてます。これは、アプリケーションからアクセスする必要があるシステムに接続するためのアカウント情報、ユーザー名およびパスワードを格納するよう設計されています。