| Oracle Database Applianceセキュリティ・ガイド リリース12.1.2.5.0 E69894-01 |
|
 前 |
 次 |
Oracle Database Applianceのハードウェアおよびソフトウェアが強化されました。Oracle Database Applianceを強化するために、次のステップが実施されています。
インストールされるパッケージのリストを整理して、不要なパッケージはサーバーにインストールされなくなりました。
Oracle Database Applianceノードで、必要なサービスのみが有効になりました。
オペレーティング・システム・ユーザーの監査が可能になりました。
Oracleは、NTP、SSHなどのサービスに推奨するセキュアな構成も提供します。また、Oracle Database Applianceアーキテクチャは、コア・コンポーネントのためのセキュリティ機能を提供します。この機能は、次のカテゴリにグループ化されます。
上記のセキュリティ機能は、主に、レイヤー化されたセキュリティ戦略のデプロイを必要とする組織によって適用されます。
ITインフラストラクチャの統合、共有サービス・アーキテクチャの実装およびセキュアなマルチテナント・サービスを求める組織は、サービス、ユーザー、データ、通信およびストレージを分離する必要があります。Oracle Database Applianceは、ニーズに基づいて分離ポリシーと分離戦略を実装できる柔軟性を組織に提供します。
物理ネットワーク・レベルでは、Oracle Database Applianceは、クライアント・アクセスをデバイス管理とデバイス間通信から分離します。クライアントと管理ネットワークのトラフィックは、個別のネットワークに分離されます。クライアント・アクセスは、冗長な10Gbpsイーサネット・ネットワークを介して提供されるので、システム上で実行されるサービスへの信頼性のある高速アクセスが確保されます。管理アクセスは、物理的に分離された1Gbpsイーサネット・ネットワークを介して提供されます。これによって、業務用と管理用のネットワークの分離が実現されます。
組織は、仮想LAN (VLAN)を構成することで、クライアント・アクセスのイーサネット・ネットワーク上のトラフィックをさらに分離することも選択できます。VLANは、要件に基づいてネットワーク・トラフィックを分離します。VLAN上では暗号化プロトコルを使用して、通信の機密性と整合性を保証することをお薦めします。
単一のアプリケーションまたはデータベースへの環境全体を専用化することによる物理的な分離は、最適な分離方法の1つです。ただし、これにはコストがかかります。よりコスト効率の高い分離戦略では、同じオペレーティング・システム・イメージ内で複数のデータベースを使用します。複数データベースの分離は、ユーザー、グループおよびリソース制御の専用の資格証明など、データベースおよびオペレーティング・システム・レベルの制御を組み合せることで実現されます。
Oracle Database Applianceでは、すべてのOracle Databaseセキュリティ・オプションを利用できます。より細分化したデータベース分離を必要とする組織は、Oracle Database Vault、Oracle Virtual Private Database、Oracle Label Securityなどのソフトウェアを使用できます。
Oracle Database Vaultには、単一データベース内で論理レルムを使用した分離を強制するために必須のアクセス制御モデルが含まれています。論理レルムは、アプリケーション・データへの一時的アクセスから管理アカウントをブロックすることで、既存のアプリケーション表の周囲に保護境界を形成します。Oracle Database Vaultのコマンド・ルールは、データベースおよびアプリケーション・データにだれが、いつ、どこで、どのようにアクセスするかを制限する、ポリシーベースの制御を可能にします。これによって、アプリケーション・データへの信頼できるパスが作成されます。Oracle Database Vaultは、時間、ソースIPアドレスおよびその他の条件に基づいてアクセスを制限するためにも採用できます。
Oracle Virtual Private Databaseは、データベース表およびビューへのファイングレイン・アクセスを強制するポリシーの作成を可能にします。Oracle Virtual Private Databaseでは、ポリシーはデータベース・オブジェクトに関連付けられて、データベースへのアクセス方法によらず自動的に適用されるため、セキュリティの移植性が実現されます。Oracle Virtual Private Databaseは、データベース内の細分化した分離に使用できます。
Oracle Label Securityは、データを分類し、分類に基づいてそのデータへのアクセスを仲介するために使用できます。組織は、ニーズに最適な分類戦略(階層、非結合など)を定義できます。この機能によって、様々な分類レベルで保存された情報を、単一の表領域内で行レベルで分離できるようになります。
アプリケーション・データ、ワークロードおよびその実行の基礎となるインフラストラクチャを保護するため、Oracle Database Applianceは、包括的かつ柔軟性のあるアクセス制御機能を、ユーザーと管理者の両方に提供します。この制御機能には、ネットワーク・アクセスとデータベース・アクセスが含まれます。
ファイングレイン・アクセス制御ポリシーは、単純なネットワークレベルの分離を超えて、デバイス・レベルで導入できます。Oracle Database Applianceのすべてのコンポーネントには、ネットワーク分離などのアーキテクチャを利用した方法で、またはパケット・フィルタリングとアクセス制御リストを使用してコンポーネントおよびサービスへの入出力とそれらの間の通信を制御することで、サービスへのネットワーク・アクセスを制限する機能が組み込まれています。
職務の分離は、結託した行動の危険性を低減し、不注意によるエラーを防ぐため、アーキテクチャのすべてのレイヤーで重要です。たとえば、異なるオペレーティング・システム・アカウントを使用して、Oracle ASMをサポートする管理者を含む、データベース管理者およびストレージ管理者のロールを分離します。Oracle Database内では、ユーザーに特定の権限およびロールを割り当てることで、そのユーザーがアクセスを認可されたデータ・オブジェクトのみにアクセスすることを保証できます。明示的に許可された場合を除き、データは共有できないようにします。
Oracle Databaseで利用できるパスワードベースの認証に加えて、Oracle Advanced Securityオプションを使用すると、公開鍵の資格証明、RADIUSまたはKerberosインフラストラクチャを使用して強力な認証を実装できます。Oracle Enterprise User Securityを使用すると、認証および認可のためにデータベースを既存のLDAPリポジトリに統合できます。これらの機能によって、データベースに接続するユーザーのIDをより強力に保証できます。
Oracle Database Vaultは、管理ユーザーおよび特権ユーザーのアクセスを管理し、アプリケーション・データにアクセスする方法、時間および場所を制御するために使用できます。Oracle Database Vaultは、盗難にあったログイン資格証明の不正使用、アプリケーション・バイパス、アプリケーションおよびデータの未許可の変更(アプリケーション・データのコピー作成を含む)に対する保護を提供します。Oracle Database Vaultは、ほとんどのアプリケーションと日常業務に対して透過的です。マルチファクタの認可ポリシーをサポートして、ビジネス処理を中断させることなく、ポリシーのセキュアな強制を可能にします。
Oracle Database Vaultは職務の分離を強制して、アカウント管理、セキュリティ管理、リソース管理およびその他の機能が、権限を付与されたユーザーにのみ許可されるようにします。
システムの管理がデータベースの管理とは別のグループによって行われる環境であったり、セキュリティへの強い懸念がある環境では、rootユーザーのアカウントやパスワードへのアクセスを制限したいことがあります。SUDOにより、すべてのコマンドと引数をログに記録する際にrootとしてコマンドを実行できる権限を、管理者が特定のユーザー(またはユーザー・グループ)に与えられるようになります。
SUDOセキュリティ・ポリシーを構成するには、ファイル/etc/sudoersを使用します。sudoersファイルの中でユーザー・グループやコマンド・セットを構成すると、SUDOの管理を簡素化できます。
|
注意: ユーザーが任意の操作を実行できるようにSUDOを構成することは、そのユーザーにroot権限を与えることに相当します。これがセキュリティのニーズに適しているかどうかを慎重に検討してください。 |
SUDO例1: ユーザーによる任意のOAKCLI操作実行を許可
ユーザーが任意のOAKCLI操作を実行できるようにSUDOを構成するには、/etc/sudoersファイルのコマンド・セクションに、次のように行を追加します。
## The commands section may have other options added to it. ## Cmnd_Alias OAKCLI_CMDS=/opt/oracle/oak/bin/oakcli * jdoe ALL = OAKCLI_CMDS
この例では、jdoeがユーザー名です。ALL= OAKCLI_CMDSはjdoeに、コマンド別名OAKCLI_CMDSで定義されているすべてのoakcliコマンドを実行するユーザー権限を付与します。sudoersファイルは、ホストごとに異なるルールを持つ複数のホストに1つのsudoersファイルをコピーできるように設計されています。
|
注意: データベース作成時には、同等のSSHがすでに設定されている場合を除き、ルート・パスワードが必要になる点に注意してください。 |
sudoerファイルを構成した後、ユーザーjdoeは次のようなoakcliコマンドを実行できます。
[jdoe@servernode1 ~]$ sudo /opt/oracle/oak/bin/oakcli create database -db newdbINFO: 2015-08-05 14:40:55: Look at the logfile '/opt/oracle/oak/log/scaoda1011/tools/12.1.2.4.0/createdb_newdb_91715.log' for more detailsINFO: 2015-08-05 14:40:59: Database parameter file is not provided. Will be using default parameters for DB creationPlease enter the 'SYSASM' password : (During deployment we set the SYSASM password to 'welcome1'):Please re-enter the 'SYSASM' password:INFO: 2015-08-05 14:41:10: Installing a new home: OraDb12102_home3 at /u01/app/oracle/product/12.1.0.2/dbhome_3Please select one of the following for Database type [1 .. 3]:1 => OLTP 2 => DSS 3 => In-Memory
SUDO例2: 選択されたOAKCLI操作のみの実行をユーザーに許可
ユーザーが選択されたOAKCLI操作のみを実行できるようにSUDOを構成するには、/etc/sudoersファイルのコマンド・セクションに、次のように行を追加します。
[jdoe2@servernode1 ~]$ sudo /opt/oracle/oak/bin/oakcli create database -db test INFO: 2015-09-30 15:49:07: Look at the logfile '/opt/oracle/oak/log/servernode1/tools/12.1.2.4.0/createdb_test_59955.log' for more details INFO: 2015-09-30 15:49:12: Database parameter file is not provided. Will be using default parameters for DB creation Please enter the 'SYSASM' password : (During deployment we set the SYSASM password to 'welcome1'): Please re-enter the 'SYSASM' password: INFO: 2015-09-30 15:49:27: Installing a new home: OraDb12102_home2 at /u01/app/oracle/product/12.1.0.2/dbhome_2 Please select one of the following for Database type [1 .. 3]: 1 => OLTP 2 => DSS 3 => In-Memory
ここでは、ユーザーjdoe2がoakcli show databasesコマンドの実行を試みて、エラー・メッセージが表示されます。
[jdoe2@servernode1 ~]$ sudo /opt/oracle/oak/bin/oakcli show database Sorry, user jdoe2 is not allowed to execute '/opt/oracle/oak/bin/oakcli show database' as root on servernode1.
|
注意: データベース作成時には、同等のSSHがすでに設定されている場合を除き、ルート・パスワードが必要になります。 |
関連項目
SUDOの構成と使用方法の詳細は、>http://www.sudo.ws/sudo.htmlのmanのSUDOについてのページを参照してください
保存済、送信中および使用中の情報を保護する必要があると、多くの場合は暗号化サービスが採用されます。暗号化および復号化から、デジタル・フィンガープリントおよび証明書検証まで、暗号化はIT組織で最も広く採用されているセキュリティ制御です。
Oracle Database Applianceは、可能な場合は常に、Intel AES-NIおよびOracle SPARCが提供するプロセッサ・チップに組み込まれたハードウェアベースの暗号化エンジンを使用します。暗号化処理にハードウェアを使用することで、ソフトウェアで処理を実行する場合に比べてパフォーマンスが大幅に向上します。いずれのエンジンもハードウェアで暗号化処理を実行する機能を提供し、データベース・サーバーおよびストレージ・サーバー上のOracleソフトウェアによって活用されます。
ネットワーク暗号化サービスは、暗号によって保護されたプロトコルを使用して、通信の機密性と整合性を保護します。たとえばセキュア・シェル(SSH)はシステムおよびIntegrated Lights Out Manager (ILOM)への安全な管理アクセスを提供します。SSL/TLSは、アプリケーションと他のサービスとの間のセキュアな通信を可能にします。
Oracle Advanced Securityからデータベース暗号化サービスを使用できます。Oracle Advanced Securityは、透過的データ暗号化(TDE)機能を使用してデータベース内の情報を暗号化します。TDEはアプリケーション表領域の暗号化と、表内の個々の列の暗号化をサポートします。一時表領域に格納されたデータと、REDOログも暗号化されます。データベースがバックアップされるとき、格納先メディアでもデータは暗号化されたままです。これによって、物理的な格納場所に関係なく保存済データが保護されます。表領域レベルまたは列レベルでの、保存済データベース・コンテンツの機密性、データベース暗号化を必要とする組織は、Oracle Advanced Securityの利用を検討してください。
また、Oracle Advanced Securityは、ネイティブの暗号化またはSSLを使用してネットワーク上で送信中の情報を保護することで、Oracle Net ServicesおよびJDBCトラフィックを暗号化できます。管理接続とアプリケーション接続の両方を保護して、送信中のデータを確実に保護できます。SSL実装は、匿名(Diffie-Hellman)、X.509証明書によるサーバーのみのSSL認証、X.509を使用した相互(クライアント/サーバー)認証など、認証方法の標準セットをサポートします。
コンプライアンス・レポートとインシデント対応のいずれについても、監視および監査は、IT環境の可視性を向上するために必要な重要な機能です。導入する監視および監査の程度は、一般的に、環境のリスクまたは重要性に基づいて決まります。Oracle Database Applianceは、サーバー、ネットワーク、データベースおよびストレージの各レイヤーで包括的な監視および監査の機能を提供し、その情報によって組織の監査およびコンプライアンスの要件をサポートできるように設計されています。
Oracle Databaseのファイングレイン監査サポートによって、組織は、監査レコードが生成されるタイミングを選択的に決定するポリシーを設定できます。これは、組織が他のデータベース活動に集中し、監査アクティビティに関連するオーバーヘッドを削減するために役立ちます。
Oracle Audit Vaultは、データベース監査設定を集中管理して、監査データのセキュアなリポジトリへの統合を自動化します。Oracle Audit Vaultには、特権ユーザーのアクティビティやデータベース構造への変更を含む、幅広いアクティビティを監視するための組込みのレポート機能があります。Oracle Audit Vaultによって生成されたレポートは、様々なアプリケーションおよび管理データベースのアクティビティへの可視性を実現し、アクションのアカウンタビリティをサポートする詳細情報を提供します。
Oracle Audit Vaultによって、不正なアクセスの試みまたはシステム権限の悪用を示している可能性のあるアクティビティのプロアクティブな検出とアラートが可能になります。アラートには、特権ユーザー・アカウントの作成、機密情報を含む表の変更など、システム定義とユーザー定義の両方のイベントおよび条件を含めることができます。
Oracle Database Firewallのリモート・モニターは、リアルタイムのデータベース・セキュリティ監視を提供できます。Oracle Database Firewallリモート・モニターはデータベース接続の問合せを実行して、アプリケーション・バイパス、認可されていないアクティビティ、SQLインジェクション、その他の脅威などの悪意のあるトラフィックを検出します。Oracle Database Firewallは、SQL構文ベースの精度の高いアプローチで、組織が不審なデータベース・アクティビティを迅速に検出できるように支援します。
セキュリティ制御とセキュリティ機能のコレクションは、個々のアプリケーションおよびサービスを適切に保護するために必要です。デプロイ済のサービスおよびシステムのセキュリティを維持するために、包括的な管理機能を持つことも同様に重要です。Oracle Database Applianceは、Oracle ILOMのセキュリティ管理機能を利用します。
Oracle ILOMは、アウトオブバンド管理アクティビティを実行する多くのOracle Database Applianceコンポーネントに組み込まれているサービス・プロセッサです。Oracle ILOMでは、次のことができます。
データベース・サーバーおよびストレージ・サーバーのセキュアなLights-Out Managementを実行するための、セキュアなアクセス。アクセスには、SSLによって保護されたWebベースのアクセス、セキュア・シェルを使用したコマンドライン・アクセス、IPMI v2.0およびSNMPv3のプロトコルが含まれます。
ロール・ベースのアクセス制御モデルを使用した職務の分離の要件。個々のユーザーには、実行できる機能を制限するために特定のロールが割り当てられます。
すべてのログインおよび構成変更の監査レコード。各監査ログ・エントリは、アクションを実行したユーザーとタイムスタンプをリストします。これによって、組織は、認可されていないアクティビティまたは変更を検出し、それらのアクションを起こしたユーザーを特定できます。
