Oracle Database Vaultは、Oracle Enterprise User Securityなどの他のOracle製品と統合できます。
内容は次のとおりです。
Oracle Database Vaultは、Oracle Enterprise User Securityと統合できます。
内容は次のとおりです。
エンタープライズ・ユーザー・セキュリティは、データベース・ユーザーと権限を1箇所で集中管理します。
Oracle Identity Managementと組み合せ、Oracle Database Enterprise Editionで使用できます。
通常、Oracle Database VaultをOracle Enterprise User Securityと統合するには、適切なレルムを構成して、保護の対象となるデータベース内のデータを保護します。
必要に応じてOracle Database Vaultレルムを定義した後に、エンタープライズ・ユーザーに対してアクセスを許可または禁止するルール・セットを作成できます。
関連項目:
エンタープライズ・ユーザー・セキュリティの詳細は、『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』を参照してください
既存のOracle Database Vaultユーザー・アカウントをエンタープライズ・ユーザー・アカウントとして構成できます。
関連項目:
ユーザー移行ユーティリティの詳細は、『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』を参照してください
データがデータベースのセキュアな範囲外にある場合のデータ保護を提供するという意味で、透過的データ暗号化はOracle Database Vaultを補完するものです。
透過的データ暗号化を使用して、データベース管理者またはデータベース・セキュリティ管理者は、アプリケーション表の機密情報の列のみを暗号化したり、アプリケーション表領域全体を暗号化したりできます。アプリケーションを変更する必要はありません。
ユーザーが認証チェックと認可チェックを通ると、透過的データ暗号化によりユーザーの情報は自動的に暗号化および復号化されます。このように、アプリケーションを変更しなくても暗号化を実装できます。
透過的データ暗号化ユーザーに適切な権限を付与したら、透過的データ暗号化を通常どおり管理でき、Database Vaultを補完するものとして使用できます。
図10-1に、暗号化されたデータがOracle Database Vaultレルムでどのように処理されるかを示します。
関連項目:
透過的データ暗号化の詳細は、『Oracle Database Advanced Securityガイド』を参照してください。Oracle Virtual Private Databaseにはファクタを追加できます。
DVF.F$
を使用します。関連項目:
Oracle Databaseセキュリティ・ガイド Oracle Virtual Private Databaseの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください
Oracle Database VaultはOracle Label Securityとの統合が可能で、レポートとデータ・ディクショナリ・ビューを使って統合化をチェックすることができます。
内容は次のとおりです。
Oracle Database VaultとOracle Label Securityを統合化すると、OLSラベルをDatabase Vaultのファクタ・アイデンティティに割り当てることができます。
Oracle Label Securityでは、データベース表またはPL/SQLプログラムのレコードへのアクセスを制限できます。たとえば、アクセスを特定の管理者に限定する必要があるレコードを含むEMPLOYEE
表の、HIGHLY SENSITIVEラベル(Oracle Label Securityラベル)で保護されたデータをMaryは参照できます。もう1つのラベルを、このデータへのよりオープンなアクセスを許可するPUBLICとすることができます。
Oracle Database Vaultでは、データベース・セッションが発生するネットワーク用に、次のアイデンティティを指定してNetworkというファクタを作成できます。
Intranet: 従業員が会社のイントラネット内の場所で作業している場合に使用します。
Remote: 従業員がVPN接続から在宅で作業している場合に使用します。
次に、両方のアイデンティティに最大のセッション・ラベルを割り当てます。次に例を示します。
IntranetアイデンティティをOracle Label SecurityラベルのHIGHLY SENSITIVEに割り当てます。
RemoteアイデンティティをPUBLICラベルに割り当てます。
つまり、MaryがVPN接続を使用して在宅で作業している場合は、PUBLICアイデンティティのもとに保護される、限定された表データにのみアクセスできます。しかし、職場にいる場合は、Intranetアイデンティティを使用しているため、HIGHLY SENSITIVEデータにアクセスできます。「チュートリアル: Oracle Database VaultとOracle Label Securityの統合」に、このような統合を実現する方法の例を示します。
非統合監査環境では、Oracle Label Securityとの統合は、「Label Security統合の監査」レポートを使用して監査できます。Oracle Database Vaultは、監査証跡をDVSYS.AUDIT_TRAIL$
表に書き込みます。統合監査が有効な場合、『Oracle Databaseセキュリティ・ガイド』の説明に従い、この情報を取得する監査ポリシーを作成できます。
関連項目:
Database VaultとOracle Label Securityを統合するために使用できるDatabase Vault APIの詳細は、「Oracle Database Vault Oracle Label SecurityのAPI」を参照してください
Oracle Database VaultとOracle Label Securityの統合で実行できるレポートの詳細は、「関連するレポートおよびデータ・ディクショナリ・ビュー」を参照してください
Oracle Label Securityのラベルの詳細は、『Oracle Label Security管理者ガイド』を参照してください
Oracle Database VaultとOracle Label Securityを使用する前に、特定の要件を満たす必要があります。
Oracle Label Securityは別個にライセンス許可されます。それを使用するためのライセンスを購入済であることを確認してください。
Oracle Database Vaultをインストールする前に、Oracle Label Securityのインストールを済ませておく必要があります。
Oracle Label Securityのインストール・プロセスでLBACSYS
ユーザー・アカウントが作成されます。DV_ACCTMGR
ロールを付与されているユーザーとして、このアカウントをロック解除し、新しいパスワードを付与します。次に例を示します。
sqlplus bea_dvacctmgr -- Or, sqlplus bea_dvacctmgr@hrpdb for a PDB Enter password: password ALTER USER LBACSYS ACCOUNT UNLOCK IDENTIFIED BY password;
password
を安全なパスワードに置き換えるには、『Oracle Databaseセキュリティ・ガイド』のガイドラインに従ってください。
Oracle Enterprise ManagerでLBACSYS
ユーザー・アカウントを使用する場合、SYSDBA
管理権限を持つユーザーSYS
としてEnterprise Managerにログインし、このユーザーにSELECT ANY DICTIONARY
およびSELECT_CATALOG_ROLE
システム権限を付与します。
適切なOracle Label Securityポリシーが定義されていることを確認してください。詳細は、『Oracle Label Security管理者ガイド』を参照してください。
Oracle Label SecurityポリシーをDatabase Vaultポリシーと統合する場合、Oracle Label Securityのポリシー名が24文字未満であることを確認します。ALL_SA_POLICIES
データ・ディクショナリ・ビューのPOLICY_NAME
列を問い合せることで、Oracle Label Securityポリシーの名前がチェックできます。
セキュリティを強化するには、Oracle Database VaultのファクタとOracle Label Securityポリシーを統合します。
内容は次のとおりです。
また、Oracle Database VaultとOracle Label Securityを統合化すると、データベース・セッションのセキュリティ・クリアランスを最大限に制御できるようになります。
Oracle Database Vaultでは、Oracle Label Securityポリシーに関連付けられているOracle Database Vaultファクタのラベルをマージすることによって、データベース・セッションにおける各ラベルの最大許容データをマージして、データベース・セッションの最大セキュリティ・チェックを制御します。
つまり、ラベルは、データベース表の行のアクセス権限に対する識別子として機能します。ポリシーは、表の行へのアクセスを管理するラベル、ルールおよび認可と関連付けられた名前です。行ラベルおよびポリシーの詳細は、『Oracle Label Security管理者ガイド』を参照してください。
Oracle Database VaultとOracle Label Securityを統合化すると、同じ権限を持つ二人の管理者に、異なるレベルのアクセス権を付与することができます。
内容は次のとおりです。
Oracle Database VaultファクタをOracle Label SecurityおよびOracle Virtual Private Database(VPD)とともに使用すると、機密データへのアクセスを制限できます。
このようなデータを制限して、セキュリティ管理者が任意のデータ・セッションに対して定義するファクタの適切な組合せが存在する場合にのみデータベース・セッションに公開されるようにすることができます。
Oracle Label Securityポリシーを作成すれば、これと連携するDatabase Vaultルールを作成することができます。
ルール・セットを使用する前に、デフォルト・コマンド・ルールであるALTER SYSTEMコマンド・ルールを更新する必要があります。
Oracle Database Vaultには、Oracle Database VaultとOracle Label Securityの統合化に関する情報をリストする、レポートとデータ・ディクショナリ・ビューが用意されています。
表10-1では、Oracle Database Vaultレポートを示します。これらのレポートの実行方法の詳細は、「Oracle Database Vaultレポート」を参照してください。
表10-1 Oracle Database Vault-Oracle Label Security統合に関連するレポート
レポート | 説明 |
---|---|
Oracle Label Securityポリシーが存在しないファクタが表示されます。 |
|
無効なラベル・アイデンティティ(このアイデンティティのOracle Label Securityラベルが削除されていて、すでに存在しない)が表示されます。 |
|
|
表10-2に、Oracle Database Vaultで使用される既存のOracle Label Securityポリシーに関する情報を提供するデータ・ディクショナリ・ビューを示します。
表10-2 Oracle Label Securityに使用されるデータ・ディクショナリ・ビュー
データ・ディクショナリ・ビュー | 説明 |
---|---|
定義されているOracle Label Securityポリシーが表示されます。 |
|
Oracle Label Securityポリシーに関連付けられているファクタが表示されます。 |
|
各ポリシーの |
Oracle Database VaultとOracle Data Guardの統合化には、まずプライマリ・データベースを構成して、それからスタンバイ・データベースを構成する必要があります。
内容は次のとおりです。
プライマリ・データベースを構成するには、DGMGRLユーティリティとDBCAユーティリティを実行してから、ALTER SYSTEM
文を実行する必要があります。
LinuxおよびUNIXシステムの場合、Oracle Database Vaultをインストールするノードのデータベースに/etc/oratab
エントリがあることを確認します。
Data Guard Brokerを使用している場合は、コマンド・プロンプトから次のように構成を無効化します。
dgmgrl sys
Enter password: password
DGMGRL> disable configuration;
Database Configuration Assistant (DBCA)を実行してデータベース・オプションを構成し、Oracle Database Vaultをプライマリ・データベースに追加します。
コマンド・ラインに次のコマンドを入力して、DBCAを起動します。
dbca
適切なデータベース・タイプ(「クラスタ」または「シングル・インスタンス」)を選択して、「次へ」をクリックします。
「データベース操作」ページで、「データベース・オプションの構成」を選択し、「次へ」をクリックします。
適切なデータベースを選択して、「次へ」をクリックします。
「Oracle Label Security」を選択すると「Oracle Database Vault」が選択可能になります。その後、「次へ」をクリックします。
Database Vault所有者(必須)およびDatabase Vaultアカウント・マネージャ(推奨)の名前を入力します。
パスワードには、アルファベット、数字および特殊文字をそれぞれ1つ以上使用する必要があります。
「次へ」をクリックします。
適切な接続モードを選択して、「次へ」をクリックします。
「OK」をクリックしてデータベースを再起動します。
追加コンポーネントの構成で「OK」をクリックします。
この時点で、プライマリ・サイトのインストールは完了しました。
SYSDBA
管理権限を持つユーザーSYS
として、データベース・インスタンスにログインします。
sqlplus sys as sysdba
Enter password: password
次のALTER SYSTEM
文を実行します。
ALTER SYSTEM SET AUDIT_SYS_OPERATIONS=TRUE SCOPE=SPFILE; ALTER SYSTEM SET OS_ROLES=FALSE SCOPE=SPFILE; ALTER SYSTEM SET RECYCLEBIN='OFF' SCOPE=SPFILE; ALTER SYSTEM SET REMOTE_LOGIN_PASSWORDFILE='EXCLUSIVE' SCOPE=SPFILE; ALTER SYSTEM SET SQL92_SECURITY=TRUE SCOPE=SPFILE; ALTER SYSTEM SET REMOTE_OS_AUTHENT=FALSE SCOPE=SPFILE; ALTER SYSTEM SET REMOTE_OS_ROLES=FALSE SCOPE=SPFILE;
各データベース・インスタンスでALTER SYSTEM
文を実行して、手順5に示すとおりにパラメータを設定します。
各データベース・インスタンスを再起動します。
CONNECT SYS AS SYSOPER
Enter password: password
SHUTDOWN IMMEDIATE
STARTUP