| Oracle® Audit Vault and Database Firewall管理者ガイド リリース12.1.2 B71711-11 |
|
 前 |
 次 |
ここでのトピック
ここでのトピック
Audit Vault Serverは、デフォルトで安全な状態でインストールされます。したがって、デフォルトの設定を変更する場合は安全性が低い状態になることがあるので注意することが重要です。インストールの詳細は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。
データを保護するために次のガイドラインを考慮してください。
アカウント名とパスワード: Audit Vault ServerコンソールUIであるroot、supportおよびsysアカウントにセキュアなパスワードを使用し、これらのパスワードを安全に保持します。
管理者アカウント: Oracle AVDF管理者アカウントは共有できません。これにより、管理者アクティビティの監査の向上が可能になります。
強力なパスワード・ポリシー: パスワード・ポリシーを作成してユーザーに強力なパスワードを使用するように強制します。
インストール済アカウント: Oracle AVDFはターミナル(シェル)アクセス権と組込みデータベース・アカウントとともにインストールされます。このタイプの新規アカウントを追加したり、既存のアカウントをロック解除することは、これらのアカウントがOracle AVDFシステムのデータや操作を改ざんするために使用される可能性があるため避けてください。
セキュアなアーカイブ: アーカイブ・データがネットワーク上を転送されるため、アーカイブ先とネットワーク・インフラストラクチャが安全なことを確認してください。
リモート・アクセス: Oracle AVDFでは、Audit Vault Serverコンソール(「設定」タブ)の「サービス」ページでリモート・アクセス権限を設定できます。リモート・アクセスは、コンソール、シェル(ssh)およびSNMPへのWebアクセス用に付与できます。リモート・アクセスを付与するときは、次のガイドラインに従います。
特定のタスクに必要である場合にのみアクセス権を付与し、その後、そのタスクが完了したらアクセス権を取り消します。
IPアドレスによりアクセスを制限します。これはシステムのインストール後すぐに実行します。
ターミナル(シェル)アクセス権は、パッチ更新の実行時、またはマニュアルもしくはOracleサポートによって求められた場合にのみ付与します。
セキュリティについては、次の推奨事項に従うことをお薦めします。
Database Firewallを使用して不要なトラフィックをブロックしている場合は、データベース・クライアントとデータベースの間のすべてのデータ・フローがDatabase Firewallを経由するようにします。これには、リクエストとレスポンスの両方が含まれます。
サイトに適切なセキュリティ対策を使用してAudit Vault ServerおよびDatabase Firewallアプライアンスを実行しているコンピュータへのアクセスを制御します。アクセス権を特定のユーザーにのみ付与します。
パスワードがベスト・プラクティスに準拠していることを確認します。
管理者と監査者のロールをそれぞれ別のユーザーに割り当て、管理者と監査者の業務を分離します。
Audit Vault Serverのユーザーに適切な管理者ロール、スーパー管理者ロール、監査者ロールおよびスーパー監査者ロールを割り当てます。
ここでのトピック
この項は、Database Firewallに関係があります。
Database Firewallは、データベース層とアプリケーション層の間にデプロイします。Database FirewallではOracleデータベースへのトラフィックおよびOracleデータベースからのトラフィックを復号化できます。Oracle以外のデータベースの場合、データベース層とアプリケーション層の間のSQLトラフィックが暗号化されていると、Database Firewallは、このSQLトラフィックに対する保護ポリシーを理解できず、強制できません。
SSL終了ソリューションを使用して、SQLトラフィックがDatabase Firewallに届く直前にトラフィックを終了できます。
この項は、Database Firewallに関係があります。
Database Firewallポリシー強制は、データベース・クライアントとサーバー間のSQLトラフィックを取得して理解することに依存しています。Database Firewallではアプリケーション層とデータベース・サーバー間のネットワーク・トラフィックのみを分析するため、データベース・サーバー自体から直接起動されるSQLは確認できないことに注意してください。Database Firewallが確認できないSQL文の一般的なタイプには、ストアド・プロシージャやコールアウトから実行されるシステム付属のSQLやユーザー定義のSQL、Oracleデータベース内のDBMS_JOBまたはDBMS_SCHEDULER PL/SQLパッケージによって作成されたSQLなどのバックグラウンド・ジョブから実行されるSQL、DDLや他のSQL文から間接的に実行されるSQLなどがあります。これらのタイプのSQL文はOracle AVDFの監査機能を使用して捕捉できます。
Database Firewallは、その実行コンテキスト全体をネットワーク・トラフィックから取得した情報を使用して作成します。ただし、強制は、サーバー上のコンテキスト情報に基づています。このコンテキストの欠落は、ノベルティ・ポリシーで使用する識別子の解決方法に影響を与えます。
次のタイプのデータベース・アクセス・パスでのOracle AVDFの動作に注意してください。
SQL以外のプロトコルのアクセス。データベース・プラットフォームでは、データベースSQLベースのプロトコルの他に様々なネットワーク・プロトコルをサポートしています。たとえば、Oracle Databaseでは、データベースに格納されているデータに対してHTTP、FTP、アドバンスト・キューイング、ダイレクト・パスおよびNFSアクセスがサポートされています。Database Firewallでポリシー強制が適用されるのは、データベースへのSQLベースのアクセスに対してのみです。Database Firewallで理解可能なプロトコルは、Oracle TTC/Net、Microsoft SQL ServerやSybase ASEに使用されるTabular Data Stream (TDS)、およびIBM Distributed Relational Database Architecture (DRDA)です。
IPv6接続。Oracle AVDFでは、IPv6デプロイメントをサポートしていません。Database Firewallでは、IPv6接続からのすべてのトラフィックは自動的にブロックされます。
非TCPベースの接続。Database Firewallでは、TCPベースによるデータベース・サーバーへのネットワーク接続のみをサポートしています。Systems Network Architecture (SNA)、Internetwork Packet Exchange/Sequenced Packet Exchange (IPX/SPX)など、TCPでないプロトコルを使用したデータベース・サーバーへの接続は監視できません。
ここでのトピック
この項は、Database Firewallに関係があります。
データベース・サーバーは、共有サーバー・アーキテクチャを使用して、少数のサーバー・プロセスを多数のユーザー・プロセスが共有できるようにしています。ディスパッチャ・プロセスは、受信した複数のネットワーク・セッション・リクエストを共通キューに送信し、次に、これらのセッション・リクエストを共有サーバーで使用可能な次のプロセスにリダイレクトします。デフォルトでは、Oracle DatabaseでTCPプロトコルに対するディスパッチャ・サービスが1つ作成されます。init.oraファイルでは、この設定は次のようにDISPATCHERSパラメータによって制御されます。
dispatchers="(PROTOCOL=tcp)"
デフォルトの構成では、動的ポートは、TCPプロトコルを使用して受信接続をリスニングします。共有サーバー構成では、多数のユーザー・プロセスがこの動的ポートでディスパッチャに接続します。このポートでの接続を監視するようにDatabase Firewallが構成されていない場合は、これらの接続にポリシーを強制することはできません。Database Firewallの接続を簡単に構成するには、DISPATCHERSパラメータにポート番号を明示的に指定してください。次に例を示します。
dispatchers="(PROTOCOL=tcp)(PORT=nnnn)"
nnnnの値を選択し、そのアドレスを通常のリスナー・アドレスとともに保護するようにDatabase Firewallを構成します。
共有サーバーの管理に関する詳細は、『Oracle Database管理者ガイド』も参照してください。DISPATCHERSパラメータに関する詳細は、『Oracle Databaseリファレンス』を参照してください。
Database Firewallがデータベース・ポリシー強制(DPE)モードの場合、セキュア・ターゲット・データベースは、Database FirewallのIPアドレス、つまりDatabase Firewallブリッジ(「Database Firewallでのブリッジの構成」を参照)に割り当てられているIPアドレスのみを認識します。保護対象データベースのクライアントのIPアドレスは認識されないため、結果的に、ユーザーはこのデータベースに接続できません。
この問題は、sqlnet.oraファイルのTTC/NetパラメータTCP.INVITED_NODESの設定に、Database FirewallブリッジIPアドレスを指定することで修正できます。データベースへのアクセスが許可されているクライアントのノードは、TCP.INVITED_NODESパラメータで指定します。Database Firewallをデプロイする場合は、ポリシー・プロファイル機能を使用して、TCP.INVITED_NODESによって提供されるネットワーク・アクセス制限と類似したアクセス制限を実装してください。Database Firewallのポリシー・プロファイル機能では、IPアドレス・セット、時刻、ユーザーなどの追加の要因をサポートしています。プロファイルの詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。
この項に説明されているように、データベース・サーバーが認識するクライアントIPアドレスは、Database Firewallのブリッジに割り当てられているアドレスです。この機能は、元のクライアントIPアドレスに依存しているデータベース・サーバーの機能に影響を与える可能性があります。クライアントIPアドレスに依存している可能性があるこの機能には、ログオン・トリガー、監査データの分析およびOracle Database Vaultファクタがあります。
クライアント側のコンテキスト。Database Firewallのポリシーは、クライアント・プログラム名、クライアントOSユーザー名など、クライアント側のコンテキスト情報を使用するように構成できます。クライアントがこの情報をデータベース・サーバーに送信すると、Database Firewallはその情報をネットワークから取得します。Database Firewallでは、クライアント側またはネットワークの整合性が制御または強制されないため、この情報を使用してセキュリティ・ポリシーを定義する場合は、事前に情報の整合性を考慮する必要があります。
複数のデータベースと共有リスナーでのサービス。Database Firewallでは、Oracle Databaseサービス名に基づいたポリシーがサポートされます。Oracle以外のデータベースの場合は、IPアドレスとポート番号に基づいたポリシーが強制されます。単一のリスナー・エンドポイント(IP_address:port)が複数のデータベースで共有されている構成では、個々の各データベースに対するトラフィックをDatabase Firewallで区別できません。
