12 Oracle Audit Vault And Database Firewall Hybrid Cloud Deployment

Oracle Audit Vault and Database Firewall Hybrid Cloud Deploymentの使用を開始するには、このマニュアルの最新バージョンのダウンロードや、この章に記載されているOracle Audit Vault and Database Firewall Hybrid Cloud Deploymentの使用に関する基本的な概念の理解など、いくつかの予備タスクを実行する必要があります。

ここでのトピック

12.1 Oracle Audit Vault And Database Firewall Hybrid Cloud Deploymentと前提条件

次のステップに従ってHybrid Cloudセキュア・ターゲット・インスタンスをデプロイすることをお薦めします。

Oracle Audit Vault and Database Firewall Hybrid Cloud Deploymentモデルでは、Audit Vault ServerはオンプレミスまたはOracle Cloudにデプロイされます。これはOracle Database Cloud Service、Oracle Exadata Cloud Serviceおよびオンプレミスのデータベース・インスタンスを監視します。クラウド・ターゲット専用に構成されたAudit Vault Agentを利用して、Cloud Databaseインスタンスから監査データを収集します。これらのエージェントは、ターゲット・データベースとAudit Vault Serverに接続します。Audit Vault Serverへの接続は、SQL*Netを使用して、ポート1521および1522で行われます。様々なネットワーク構成、ファイアウォールおよびクラウド・プロバイダがあり、それぞれにネットワーク接続を構成する独自の方法があります。この章では、例としてOracle Public Cloudを使用します。

Oracle以外のクラウドの場合、概念は似ていますが、エージェントとデータベース間のネットワーク接続を構成する実際の実行方法は異なります。Oracle以外のクラウドで実行されているOracle DatabaseにHybrid Cloud Deploymentモデルを使用する場合、サポートはデータベースとのエージェントの相互作用に限定されます。様々なクラウド・プロバイダで様々なネットワーク構成パラダイムが使用されているため、ネットワークの接続性に関する問題のサポートは、クラウド・プロバイダに残される必要があります。オンプレミスで実行されているOracle DatabaseのためにHybrid Cloud Deploymentモデルを使用しており、Audit Vault ServerがOracle Public Cloudで実行されている場合は、エージェントとAudit Vault Serverとの接続を可能にするオンプレミス・ネットワークの構成は、お客様の責任で行うことになります。また、サポートは、接続の許可に関連する基礎となるネットワーク・コンポーネントではなく、エージェント自体が対象となります。

DBCSには、TCPとTCPSの2つの接続オプションがあります。TCPとTCPSの接続設定はほぼ同じです。違いはポート番号です。Database Cloud Service (DBCS)クラウド・ターゲットの構成設定の主な特性を次に示します。

TCP接続には、デフォルトで暗号化が適用されます。
Audit Vault Agentとクラウド・ターゲットの間にTCPS接続が構成されます。
- Audit Vault Serverで、クラウド・ターゲットに対してTCPSオプションを設定する必要があります。
- 追加のAudit Vault Agentを使用して、オンプレミスのデータベース、ディレクトリおよびオペレーティング・システムから監査データを収集できます。
  ノート:
  - ユーザーは、複数のAudit Vault Agentを使用してDBCSインスタンスからデータを収集できます。
  - 1つのAudit Vault Serverのホスト上にインストールできるAudit Vault Agentは1つのみです。1つのAudit Vault Agentを使用して、複数の監査証跡収集を開始できます。
- このデプロイメントには、お客様がオンプレミス環境とクラウド環境にまたがる一貫した監査ポリシーまたはセキュリティ・ポリシーに対応できる高い柔軟性があります。

Oracle Audit Vault and Database Firewall Hybrid Cloudをデプロイするための前提条件

Oracle Audit Vault and Database Firewall Hybridをデプロイする前に考慮する要因は、数多く存在します。この表では、オンプレミスのデータベースとOPCのデータベース(DBCSの場合)、およびExadata Express Cloud ServiceでOracle Audit Vault and Database Firewall機能が使用可能であるかどうかの概要を示します。

機能	オンプレミスのDB	OPCのDB	Exadata Express Cloud Service	Data Warehouse Cloud Service
データベース表ベースの監査収集 (SYS.AUD$、SYS.FGA_LOG$など)	可能	可能	不可	不可
統合監査表証跡	可能	可能	可能	可能
データベース・ファイル・ベースの監査収集	可能	不可	不可	不可
REDOログのサポート	可能	不可	不可	不可
OSの監査収集	可能	不可	不可	不可
権限の取得	可能	可能	可能	可能
ポリシーの取得/従来の監査証跡用のプロビジョニング	可能	可能	不可	不可
対話モード・レポートの表示	可能	可能	可能	可能
スケジュールされたレポートの表示	可能	可能	可能	可能
ストアド・プロシージャ監査	可能	不可	不可	不可

Oracle Audit Vault and Database Firewall Hybrid Cloudを監査するための前提条件

DBCSターゲットの監査中に考慮する必要がある側面が複数あります。有効化された監査ポリシーの数とタイプがAudit Vault Serverに送信される監査レポートの数に直接影響するため、DBCSクラウド・ターゲットに関する監査要件と監査ポリシーが重要です。DBCSインスタンスには、様々な監査設定が適用される可能性があります。このため、ユーザーはこれらの情報をAudit Vault Serverで、または直接データベース・インスタンスで確認する必要があります。

ノート:

表ベースの監査証跡からの監査データ収集のみがサポートされています。バージョンごとの情報を次に示します。

リリース	サポートされている監査情報
Oracle Database 11g リリース11.2	ファイングレイン監査 Database Vaultの監査 sys.AUD$に格納された従来の監査データ
Oracle Database 12c以降	統合監査 Database Vaultの監査ファイングレイン監査 sys.AUD$に格納された従来の監査データ

ノート:

SYS.AUD$とSYS.FGA_LOG$の表には、追加の列RLS$INFOがあります。統合監査証跡表にはRLS_INFO列があります。この列には、構成済の行レベルのセキュリティ・ポリシーの説明が示されます。これは、Oracle Audit Vault and Database Firewallの拡張フィールドにマップされます。この列に移入するには、ユーザーがセキュア・ターゲットのAUDIT_TRAILパラメータをDB EXTENDEDに設定する必要があります。

12.2 DBCSでのポートのオープン

この手順は、特定のポートを開くために使用します。これは、Audit Vault and Database Firewall Hybrid Cloudをデプロイする前の前提条件の1つです。

ポートを開くには、次の手順を実行します。

DBCSサービスにログインします。
最上部のOracleロゴの横にあるナビゲーション・メニューをクリックします。
「Oracle Compute Cloud Service」を選択します。
次の画面で、ポート設定または許可リストの上部にある「ネットワーク」タブをクリックします。
セキュリティ・アプリケーションタブをクリックして、使用可能なポートのリストを表示します。
セキュリティ・アプリケーションの作成をクリックし、有効にする必要があるポートを指定します。
セキュリティ・ルールタブをクリックし、セキュリティ・ルールの作成ボタンをクリックします。
セキュリティ・アプリケーションフィールドで、以前に選択したアプリケーションを選択します。
残りのフィールドを入力します。
「作成」をクリックします。

12.3 TCPを使用したHybrid Cloudセキュア・ターゲットの構成

この項では、DBCSインスタンスのクラウド・ターゲットをTCPモードで構成するためのデプロイ・ステップの詳細について説明します。Audit Vault ServerとAudit Vault Agentはオンプレミスでインストールされています。

ここでのトピック

12.3.1 ステップ1: Audit Vault Serverでのオンプレミス・ホストの登録

この構成ステップでは、Audit Vault Serverでオンプレミス・ホストを登録します。

Oracle Database Cloud Servicesインスタンスを監視するためのエージェントにインストールされたAudit Vault Serverにすでに登録済のオンプレミス・ホストが存在する場合は、この手順を省略してください。それ以外の場合は、オンプレミスに存在するどのターゲット・データベースでもステップはほぼ同じです。

12.3.2 ステップ2: 登録されたオンプレミス・ホストでのAudit Vault Agentのインストール

この構成ステップでは、登録されたオンプレミス・ホストにOracle Audit Vaultエージェントをインストールします。

ノート:

DBCSインスタンスを監視するために計画されたオンプレミス・ホストにAudit Vault Agentがすでにインストールされている場合は、このステップを無視してください。エージェントがインストールされていない場合は、DBCSインスタンスを監視するAudit Vault Agentに関して特定の要件があります。要件または機能は次のとおりです。

エージェントはオンプレミスで実行される必要があります。
少なくとも1つのエージェントがDBCSインスタンスの監視専用である必要があります。複数のエージェントをDBCSインスタンスの監視専用にすることもできます。
Audit Vault Serverでエージェントを実行しないでください。

オンプレミス・ホストにAudit Vault Agentをインストールします。
関連項目:
オンプレミス・ホストをインストールするステップの詳細は、「ホスト・コンピュータでのAudit Vault Agentのデプロイおよびアクティブ化」を参照してください。
Audit Vault Agentを起動します。

12.3.3 ステップ3: DBCSターゲット・インスタンスでのユーザー・アカウントの作成

ノート:

オンプレミス・デプロイメントの場合は、TCP接続の接続方法が異なります。

前提条件

後でSQL*PlusやSQL*Developerを使用できるように、DBCSインスタンスのポート1521をTCP接続用に開く必要があります。TCP接続はデフォルトで暗号化されます。ネイティブの暗号化が使用されます。ステップの詳細は、DBCSでのポートのオープンを参照してください。

インストール手順は次のとおりです。

SYSDBA管理権限を持つユーザーとして、TCP経由でDBCSインスタンスへの接続が確立されていることを確認します。

スクリプトとそれぞれのアクションは次のとおりです。

スクリプト	アクション
`oracle_AVDF_dbcs_user_setup.sql`	セキュア・ターゲット・ユーザー・アカウントを設定します。
`oracle_AVDF_dbcs_drop_db_permissions.sql`	ユーザーから権限を取り消します。

スクリプトを実行して、特定のモードでセキュア・ターゲット・ユーザー・アカウントを設定します。

oracle_AVDF_dbcs_user_setup.sql <username> <mode>

ここで、<username>はHybrid Cloudセキュア・ターゲット・ユーザーのユーザー名です。

<mode>は、次のいずれかにすることができます。

モード	用途
`AUDIT_COLLECTION`	Oracle Audit Vault and Database FirewallのOracle CloudインスタンスのTABLE監査証跡からデータを収集します。
`AUDIT_SETTING_PROVISIONING`	Oracle Audit Vault and Database FirewallからOracle Cloudインスタンスの監査ポリシーを管理する権限を設定します。
`STORED_PROCEDURE_AUDITING`	Oracle Cloudインスタンスのストアド・プロシージャ監査を有効にします。
`ENTITLEMENT_RETRIEVAL`	Oracle Cloudインスタンスのユーザー権限の取得を有効にします。
`ALL`	前述のすべてのオプションを有効にします。

12.3.4 ステップ4: ターゲットのOracle Database Cloud Serviceインスタンスでの監査ポリシーの設定または確認

この構成ステップでは、ターゲットのOracle Database Cloud Serviceインスタンスで監査ポリシーを管理する方法について説明します。

有効になっている監査ポリシーを確認し、必要に応じて変更します。Oracle Database 11gリリース11.2およびOracle Database 12cインスタンスで統合監査が有効になっていない場合は、Audit Vault Serverから監査ポリシーをプロビジョニングできます。Oracle12cインスタンスで統合証跡が有効になっている場合は、必ずDBCSインスタンス上で手動で監査ポリシーを変更してください。

ノート:

監査データの収集プロセスを開始する前に、必ずDBCSインスタンスの監査設定を確認してください。現在、1つのAudit Vault Agentで最大10個のクラウド・ターゲットの監査証跡がサポートされています。監査レコードの収集速度は、ターゲットの監査証跡ごとに1日当たり最大2500万件です。推奨されるAudit Vault Agentの構成については、Oracle Audit Vault and Database Firewallインストレーション・ガイドを参照してください。

オンプレミスのAudit Vault Serverによってデータが収集された後は、監査のクリーンアップのため、DBCSインスタンスでDBMS_AUDIT_MGMTパッケージを実行します。Audit Vault Serverは、すべてのターゲットのデータ保持ポリシーをサポートし、コンプライアンス要件を満たします。これにより、オンプレミス・インスタンスとDBCSインスタンスで異なる保持ポリシーを構成できます。

Audit Vault ServerにオンプレミスまたはDBCSインスタンス・ターゲットを追加しながら十分なストレージを確保するには、Audit Vault Serverに対するストレージ要件も確認する必要があります。

12.3.5 ステップ5: Audit Vault ServerでのDBCSインスタンス用のセキュア・ターゲットの作成

DBCSインスタンスに接続するための構成は、オンプレミス・ターゲットの場合と同じです。ユーザーは、「ターゲットの構成」ページでこれらの設定を定義する必要があります。次の手順を実行します。

管理者権限でAudit Vaultコンソールにログインします。
「セキュア・ターゲット」タブをクリックします。
「登録」をクリックします。
「セキュア・ターゲットの場所(監査用)」領域で、「詳細」オプションを選択します。
テキスト・ボックスに次のTCP接続文字列を入力します。
```
jdbc:oracle:thin:@//<Host IP>:<Port Number>/<service name>
```
ノート:
この設定は、「基本」オプションでも可能です。「ホスト名/IPアドレス」、「ポート」、「サービス名」の各フィールドに詳細を入力します。
「保存」をクリックし、構成変更を保存します。

12.3.6 ステップ6: Audit Vault ServerでのDBCSインスタンス用の監査証跡の開始

Audit Vault ServerでDBCSインスタンス用の監査証跡を開始するには、この手順を使用します。

管理者権限でAudit Vaultコンソールにログインします。
「セキュア・ターゲット」で、「監査証跡」→「監査証跡の追加」を選択します。
監査証跡のタイプとしてTABLEを選択します。

ノート:
その他の証跡のタイプは、DBCSセキュア・ターゲット・インスタンスではサポートされません。
前のステップと次のステップの、登録済の収集ホストとセキュア・ターゲットを選択します。
Oracle DBCSセキュア・ターゲットのサポートされる表証跡は、次のとおりです。
1. UNIFIED_AUDIT_TRAIL
2. SYS.AUD$
3. SYS.FGA_LOG$
4. DVSYS.AUDIT_TRAIL$
「保存」をクリックし、監査証跡を追加します。

12.4 DBCSインスタンス用のTCPS接続の構成

DBCSインスタンス用のTCPS接続を構成する高レベルのプロセスは次のとおりです。

ここでのトピック

前提条件

DBCSインスタンスのポート1522をTCPS接続用に開く必要があります。詳細は、DBCSでのポートのオープンを参照してください。後でSQL*PlusやSQL*Developerなどの標準ツールを使用できます。

12.4.1 ステップ1: サーバー・ウォレットおよび証明書の作成

DBCSインスタンス用のTCPS接続を構成するには:

orapkiユーティリティを実行して、新しい自動ログイン・ウォレットを作成します。
mkdir -p <wallet path>

orapki wallet create –wallet <wallet path> -pwd <wallet password> -auto_login

例:

orapki wallet create –wallet /u01/app/example/demowallet -pwd password -auto_login
次のコマンドを実行して、自己署名証明書を作成し、それをウォレットにロードします。
orapki wallet add –wallet <wallet path> -pwd <wallet password> -dn

CN=hostname –keysize 1024 -self_signed –validity 3650

例:

orapki wallet add –wallet /u01/app/example/demowallet -pwd password -dn

CN=CloudAB2.abcdXY.example.somedomain –keysize 1024 -self_signed –validity 3650

次のコマンドを実行して、ウォレットの内容を確認します。

orapki wallet display -wallet <wallet path> -pwd <wallet password>

結果:

ユーザー証明書であり信頼性のある証明書でもある自己署名証明書を表示します。

Requested Certificates:
User Certificates:
Subject:          CN=<hostname>
Trusted Certificates:
Subject:          CN=<hostname>

例:

orapki wallet display –wallet /u01/app/example/demowallet -pwd password

結果:

Oracle PKI Tool : Version 12.1.0.2
Copyright (c) 2004, 2014, Oracle and/or its affiliates. All rights reserved.

Requested Certificates:
User Certificates:
Subject:         CN=CloudAB2.abcdXY.example.somedomain
Trusted Certificates:
Subject:         CN=CloudAB2.abcdXY.example.somedomain

次のコマンドを実行して、証明書を将来の使用のためにクライアント・ウォレットにエクスポートします。
orapki wallet export –wallet <wallet path> -pwd <wallet password> -dn CN=hostname

-cert <certificate file name>.crt

例:

orapki wallet export –wallet /u01/app/example/demowallet -pwd password –dn

CN=CloudAB2.abcdXY.example.somedomain -cert CloudAB2-certificate.crt

次のコマンドを実行して、証明書が想定どおりにエクスポートされたことを確認します。

cat <certificate file name>.crt

例:

cat CloudAB2-certificate.crt

結果:

12.4.2 ステップ2: クライアント(エージェント)ウォレットおよび証明書の作成

この構成ステップでは、クライアント・ウォレットおよび証明書の作成方法について説明します。

次のコマンドを実行して、新しい自動ログイン・ウォレットを作成します。
c:\>mkdir -p <client wallet dir>

c:\>orapki wallet create –wallet "<wallet path>" -pwd <wallet password> -auto_login
例:
```
C:\Work\CloudWallet>orapki wallet create –wallet C:\Work\CloudWallet -pwd password -auto_login
```
結果:
```
Oracle PKI Tool : Version 12.1.0.1
Copyright (c) 2004, 2012, Oracle and/or its affiliates. All rights reserved.
```

次のコマンドを実行して自己署名証明書を作成し、ウォレットにロードします。

c:\>orapki wallet add –wallet <client wallet path> -pwd <wallet password> -dn

CN=%client computer name% –keysize 1024 -self_signed –validity 365

例:

C:\Work\CloudWallet>orapki wallet add –wallet C:\Work\CloudWallet -pwd password -dn

CN=machine1.somedomain.com –keysize 1024 -self_signed –validity 365

結果:

Oracle PKI Tool : Version 12.1.0.1
Copyright (c) 2004, 2012, Oracle and/or its affiliates. All rights reserved.

次のコマンドを実行して、ウォレットの内容を確認します。

orapki wallet display –wallet <client wallet path> -pwd <wallet password>

例:

C:\Work\CloudWallet>orapki wallet display –wallet C:\Work\CloudWallet pwd password

結果:

Oracle PKI Tool : Version 12.1.0.1
Copyright (c) 2004, 2012, Oracle and/or its affiliates. All rights reserved.

Requested Certificates:
User Certificates:
Subject:       CN=machine1.foobar.example.com
Trusted Certificates:
Subject:       OU=Class 3 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
Subject:       CN=GTE CyberTrust Global Root,OU=GTE CyberTrust Solutions\, Inc.,O=GTE Corporation,C=US
Subject:       OU=Class 2 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
Subject:       OU=Class 1 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
Subject:       CN=machine1.foobar.example.com

次のコマンドを実行して証明書をエクスポートし、サーバーにロードします。

orapki wallet export –wallet <client wallet path> -pwd <wallet password> -dn

CN=<client computer name> -cert <clent computer name>-certificate.crt

例:

C:\Work\CloudWallet>orapki wallet export –wallet C:\Work\CloudWallet -pwd password -dn

CN=machine1.foobar.example.com -cert machine1-certificate.crt

結果:

Oracle PKI Tool : Version 12.1.0.1
Copyright (c) 2004, 2012, Oracle and/or its affiliates. All rights reserved.

次のコマンドを実行して、証明書を確認します。

more c:\%computername%-certificate.crt

例:

C:\Work\CloudWallet>more machine1-certificate.crt

結果:

12.4.3 ステップ3: クライアント(エージェント)証明書とサーバー証明書の交換

この構成ステップでは、クライアント(エージェント)証明書とサーバー証明書の交換方法について説明します。

クライアント(エージェント)証明書とサーバー証明書を交換します。接続の両側がそれぞれもう一方を信頼する必要があります。したがって、証明書を必ず信頼性のある証明書としてサーバーからクライアント・ウォレットに(およびその逆に)ロードしてください。次のコマンドを実行して、サーバー証明書をクライアント・ウォレットにロードします。
orapki wallet add –wallet <client wallet path> -pwd <wallet password> -trusted_cert -cert

<server certificate path>

例:

C:\Work\CloudWallet>orapki wallet add –wallet C:\Work\CloudWallet -pwd password -trusted_cert

-cert C:\Work\CloudWallet\CloudAB2-certificate.crt
結果:
```
Oracle PKI Tool : Version 12.1.0.1
Copyright (c) 2004, 2012, Oracle and/or its affiliates. All rights reserved.
```

次のコマンドを実行して、クライアント・ウォレットの内容を確認します。

orapki wallet display –wallet <client wallet path> -pwd <wallet password>

例:

C:\Work\CloudWallet>orapki wallet display –wallet C:\Work\CloudWallet -pwd password

この自己署名証明書は信頼性のあるユーザー証明書であることに注意してください。

結果:

Oracle PKI Tool : Version 12.1.0.1
Copyright (c) 2004, 2012, Oracle and/or its affiliates. All rights reserved.

Requested Certificates:
User Certificates:
Subject:       CN=machine1.foobar.example.com
Trusted Certificates:
Subject:        OU=Class 1 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
Subject:        CN=machine1.foobar.example.com
Subject:        CN=GTE CyberTrust Global Root,OU=MNO CyberTrust Solutions\, Inc.,O=MNO Corporation,C=US
Subject:        CN=CloudAB2.abcxy10.example.somedomain
Subject:        OU=Class 3 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
Subject:        OU=Class 2 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US

次のコマンドを実行して、クライアント証明書をサーバーにロードします。
orapki wallet add –wallet <server wallet path> -pwd password -trusted_cert -cert <client certificate file>

例:

orapki wallet add –wallet /u01/app/example/demowallet -pwd password -trusted_cert -cert machine1-certificate.crt
結果:
```
Oracle PKI Tool : Version 12.1.0.2
Copyright (c) 2004, 2014, Oracle and/or its affiliates. All rights reserved.
```

次のコマンドを実行して、クライアント・ウォレットの内容を確認します。

orapki wallet display –wallet <client wallet path> -pwd <wallet password>

例:

C:\Work\CloudWallet>orapki wallet display –wallet C:\Work\CloudWallet -pwd password

これで、サーバー証明書が信頼性のある証明書のリストに追加されました。

結果:

Oracle PKI Tool : Version 12.1.0.1
Copyright (c) 2004, 2012, Oracle and/or its affiliates. All rights reserved.


Requested Certificates:
User Certificates:
Subject:        CN=machine1.foobar.example.com
Trusted Certificates:
Subject:        OU=Class 1 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
Subject:        CN=machine1.foobar.example.com
Subject:        CN=GTE CyberTrust Global Root,OU=MNO CyberTrust Solutions\, Inc.,O=MNO Corporation,C=US
Subject:        CN=CloudAB2.abcdXY.example.somedomain
Subject:        OU=Class 3 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US
Subject:        OU=Class 2 Public Primary Certification Authority,O=VeriSign\, Inc.,C=US

次のコマンドを実行して、クライアント証明書をサーバーにロードします。
orapki wallet add –wallet <server wallet path> -pwd password -trusted_cert -cert <client certificate file>

例:

orapki wallet add –wallet /u01/app/example/demowallet -pwd password -trusted_cert -cert machine1-certificate.crt
結果:
```
Oracle PKI Tool : Version 12.1.0.2
Copyright (c) 2004, 2014, Oracle and/or its affiliates. All rights reserved.
```

次のコマンドを実行して、サーバー・ウォレットの内容を確認します。

orapki wallet display –wallet <wallet path> -pwd <wallet password>

例:

orapki wallet display –wallet /u01/app/example/demowallet -pwd password

結果:

Oracle PKI Tool : Version 12.1.0.2
Copyright (c) 2004, 2014, Oracle and/or its affiliates. All rights reserved.

Requested Certificates:
User Certificates:
Subject:        CN=CloudAB2.abcdXY.example.somedomain
Trusted Certificates:
Subject:        CN=CloudAB2.abcdXY.example.somedomain
Subject:        CN=machine1.foobar.example.com

12.4.4 ステップ4: サーバー・ネットワークの構成

このステップでは、サーバー・ネットワークを構成する方法について説明します。

サーバー・ネットワークを構成します。次のエントリをサーバーの$ORACLE_HOME/network/admin/sqlnet.oraファイルに追加します。

orapki wallet add –wallet <client wallet path> -pwd <wallet password> -trusted_cert -cert

<server certificate path>

WALLET_LOCATION =
   (SOURCE =
     (METHOD = FILE)
     (METHOD_DATA =
       (DIRECTORY = /u01/app/oracle/demowallet)
     )
   )
 
SQLNET.AUTHENTICATION_SERVICES = (TCPS,TCP,NTS,BEQ)
SSL_CLIENT_AUTHENTICATION = TRUE
 
SQLNET.ENCRYPTION_SERVER = ACCEPTED/REQUESTED/REJECTED
SQLNET.CRYPTO_CHECKSUM_SERVER = ACCEPTED/REQUESTED/REJECTED

ノート:

DBCSインスタンスおよびオンプレミスでは、サーバーの暗号化は、デフォルトでREQUIREDに設定されています。サーバーの暗号化をACCEPTED、REQUESTEDまたはREJECTEDに設定してください。
REJECTEDは推奨されるオプションではありません。次の表では、これらのオプションについて詳しく説明します。

オプション	説明
ACCEPTED	サーバーは、暗号化された接続も暗号化されていない接続も許可しません。これは、パラメータが設定されていない場合のデフォルト値です。
REJECTED	サーバーは、暗号化されたトラフィックを許可しません。
REQUESTED	サーバーは、可能な場合は暗号化されたトラフィックをリクエストしますが、暗号化が使用できない場合は暗号化されていないトラフィックを受け入れます。
REQUIRED	サーバーは、暗号化されたトラフィックのみを受け入れます。

SSLまたはTLS暗号化接続を受け入れるようにリスナーを構成します。$ORACLE_HOME/network/admin/listener.oraファイルを編集します。ウォレットの情報とTCPSのエントリを追加します。ご使用の環境で指定したディレクトリの場所を使用して、次のように値を設定します。

SSL_CLIENT_AUTHENTICATION = TRUE

WALLET_LOCATION =
  (SOURCE =
    (METHOD = FILE)
    (METHOD_DATA =
      (DIRECTORY = /u01/app/oracle/demowallet)
    )
  )

LISTENER =
  (DESCRIPTION_LIST =
    (DESCRIPTION =
      (ADDRESS = (PROTOCOL = TCP)(HOST = <host name>.localdomain)(PORT = 1521))
      (ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC1521))
      (ADDRESS = (PROTOCOL = TCPS)(HOST = <host name>.localdomain)(PORT = 1522))
    )
  )

次のコマンドを実行して、リスナーを再起動します。
$ lsnrctl stop

例:

$ lsnrctl start

12.4.5 ステップ5: TCPSモードでのDBCSインスタンスへの接続

TCPSでOracle Database Cloud Serviceインスタンスに接続するには、次のステップを実行します。

クラウド・サービスのポート1522を有効にします。
ポート1522が開いたら、DBCSインスタンス用のTCPS接続を構成します。
サーバーのウォレットと証明書を作成します。
クライアント(エージェント)のウォレットと証明書を作成します。
クライアント(エージェント)証明書とサーバー証明書を交換します。
サーバー・ネットワークを構成します。
Audit Vault AgentまたはSQL*PlusやSQL*Developerのようなツールを使用して、TCPSを介してDBCSインスタンスに接続します。
関連項目:
- DBCSインスタンス用のTCPS接続の構成ステップの詳細は、「DBCSインスタンス用のTCPSの構成」を参照してください。
- DBCSでのポートのオープン

12.5 TCPSを使用したHybrid Cloudセキュア・ターゲットの構成

この項では、DBCSインスタンスのクラウド・ターゲットをTCPSモードで構成するためのデプロイ・ステップの詳細について説明します。Audit Vault ServerとAudit Vault Agentはオンプレミスでインストールされています。

ここでのトピック

12.5.1 ステップ1: Oracle Audit Vault Serverでのオンプレミス・ホストの登録

Oracle Audit Vault Serverにオンプレミス・ホストを登録するには、この構成手順に従います。

このステップでは、Audit Vault Serverでオンプレミス・ホストを登録します。

ノート:

DBCSインスタンスを監視するためのエージェントにインストールされたAudit Vault Serverにすでに登録済のオンプレミス・ホストが存在する場合は、この手順をスキップしてください。それ以外の場合は、オンプレミスに存在するどのターゲット・データベースでもステップはほぼ同じです。ステップの詳細は、Audit Vault Serverでのホストの登録を参照してください。

12.5.2 ステップ2: 登録されたオンプレミス・ホストでのOracle Audit Vault AgentのインストールおよびTCPSの構成

この構成手順では、登録されたオンプレミス・ホストにOracle Audit Vaultエージェントをインストールし、TCPSを構成します。

ノート:

エージェントはオンプレミスで実行される必要があります。
少なくとも1つのエージェントがDBCSインスタンスの監視専用である必要があります。複数のエージェントをDBCSインスタンスの監視専用にすることもできます。
Audit Vault Serverでエージェントを実行しないでください。

オンプレミス・ホストにAudit Vault Agentをインストールします。オンプレミス・ホストをインストールするステップの詳細は、ホスト・コンピュータでのAudit Vault Agentのデプロイおよびアクティブ化を参照してください。
Audit Vault Agentを起動します。

12.5.3 ステップ3: Oracle Database Cloud Serviceターゲット・インスタンスでのユーザー・アカウントの作成

このステップでは、Oracle Database Cloud Serviceインスタンスでユーザー・アカウントを作成します。

ノート:

オンプレミス・デプロイメントの場合は、利用する接続方法とスクリプトが異なります。

前提条件

後でSQL*PlusやSQL*Developerを使用できるように、DBCSインスタンスのポート1522をTCP接続用に開く必要があります。TCP接続はデフォルトで暗号化されます。ネイティブの暗号化が使用されます。ステップの詳細は、DBCSでのポートのオープンを参照してください。

手順:

SYSDBA管理権限を持つユーザーとして、TCPS経由でDBCSインスタンスへの接続が確立されていることを確認します。
サーバーのウォレットと証明書を作成します。
クライアントのウォレットと証明書を作成します。
クライアント証明書とサーバー証明書を交換します。
サーバー・ネットワークを構成します。
ノート:
サーバー・ウォレット、クライアント・ウォレット、証明書の作成および証明書の交換の詳細は、「DBCSインスタンス用のTCPS接続の構成」を参照してください。
前述のステップを完了すると、ユーザーはAudit Vault AgentやSQL*PlusやSQL*Developerのようなツールを使用してTCPSでDBCSインスタンスに接続できるようになります。
次のコマンドを実行して、監査取得ユーザー・アカウント作成スクリプトを作成します。
1. oracle_AVDF_dbcs_user_setup.sql
2. oracle_AVDF_dbcs_drop_db_permissions.sql
ノート:
これらのスクリプトは、オンプレミスのデータベース・インスタンスのスクリプトとは異なります。

12.5.4 ステップ4: ターゲットのOracle Database Cloud Serviceインスタンスでの監査ポリシーの設定または確認

この手順を使用して、ターゲットのOracle Database Cloud Serviceインスタンスの監査ポリシーを設定および確認します。

有効になっている監査ポリシーを確認し、必要に応じて変更します。Oracle Database 11g、Oracle Database 11.2およびOracle Database 12cリリース・インスタンスで統合監査が有効になっていない場合は、Audit Vault Serverから監査ポリシーをプロビジョニングできます。Oracle Database 12cインスタンスで統合証跡が有効になっている場合は、DBCSインスタンス上で手動で監査ポリシーを変更してください。

ノート:

監査データの収集プロセスを開始する前に、DBCSインスタンスの監査設定を確認してください。現在、1つのAudit Vault Agentで最大10個のクラウド・ターゲットの監査証跡がサポートされています。監査レコードの収集速度は、ターゲットの監査証跡ごとに1日当たり最大2500万件です。推奨されるAudit Vault Agentの構成については、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。
オンプレミスのAudit Vault Serverによってデータが収集された後は、監査のクリーンアップのため、DBCSインスタンスでDBMS_AUDIT_MGMTパッケージを実行します。Audit Vault Serverは、すべてのターゲットのデータ保持ポリシーをサポートし、コンプライアンス要件を満たします。これにより、オンプレミス・インスタンスとDBCSインスタンスで異なる保持ポリシーを構成できます。

12.5.5 ステップ5: Audit Vault ServerでのDBCSインスタンス用のセキュア・ターゲットの作成

ユーザーは、「ターゲットの構成」ページでこれらの設定を定義する必要があります。次の手順を実行します。

管理者権限でAudit Vaultコンソールにログインします。
「セキュア・ターゲット」タブをクリックします。
「登録」をクリックします。
「セキュア・ターゲットの場所(監査用)」領域で、「詳細」オプションを選択します。
「セキュア・ターゲットの場所」テキスト・ボックスに次のTCPS接続文字列を入力します。
```
jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=<Host IP>)(PORT=<Port Number>))(CONNECT_DATA=(SERVICE_NAME=<service name>)(SERVER=DEDICATED))(SECURITY= (SSL_SERVER_CERT_DN="DN")))
```
ノート:
この設定は、「基本」オプションでも可能です。「ホスト名/IPアドレス」、「サーバーDN」および「ウォレット」フィールドに詳細を入力します。
「ウォレット」フィールドで、以前にウォレットを作成した場所に移動して、クライアント・ウォレットを選択します。
「保存」をクリックし、構成変更を保存します。
関連項目:
ウォレットの作成の詳細は、「DBCSインスタンス用のTCPS接続の構成」を参照してください。

12.5.6 ステップ6: Audit Vault ServerでのDBCSインスタンス用の監査証跡の開始

Audit Vault ServerでDBCSインスタンス用の監査証跡を開始するには、この手順を使用します。

管理者権限でAudit Vaultコンソールにログインします。
「セキュア・ターゲット」領域で、「監査証跡」→「監査証跡の追加」オプションを選択します。
監査証跡のタイプとしてTABLEを選択します。
ノート:
その他の証跡のタイプは、DBCSセキュア・ターゲット・インスタンスではサポートされません。
前のステップと次のステップで説明されている、登録済の収集ホストとセキュア・ターゲットを選択します。
Oracle DBCSセキュア・ターゲットのサポートされる表証跡は、次のとおりです。
1. UNIFIED_AUDIT_TRAIL
2. SYS.AUD$
3. SYS.FGA_LOG$
4. DVSYS.AUDIT_TRAIL$
「保存」をクリックし、監査証跡を追加します。

12.6 TCPSを使用したOracle Database Exadata Express Cloud Serviceセキュア・ターゲットの構成

この項では、Oracle Database Exadata Express Cloud Serviceセキュア・ターゲットをTCPSモードで構成するための詳細なデプロイ・ステップについて説明します。

ここでのトピック

前提条件

正しいバージョンのJDKがインストールされていることを確認します。サポートされているJDKのバージョンは次のとおりです。
- JDK7u80以上
- JDK8u71
- JDK7およびJDK8の両方のJCE Unlimited Strength Jurisdiction Policy Files。JDK 8の.jarファイルは、http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.htmlからダウンロードできます

12.6.1 ステップ1: 登録されたオンプレミス・ホストでのAudit Vault AgentのインストールおよびTCPSの構成

ステップ2: 登録されたオンプレミス・ホストでのOracle Audit Vault AgentのインストールおよびTCPSの構成を参照してください。

12.6.2 ステップ2: Oracle Exadata Express Cloud Serviceインスタンスでのユーザー・アカウントの作成

この構成ステップでは、Oracle Exadata Express Cloud Serviceインスタンスにユーザー・アカウントを作成します。

手順:

SYSDBA管理権限を持つユーザーとして、TCPS経由でOracle Database Cloud Serviceインスタンスへの接続が確立されていることを確認します。
サーバーのウォレットと証明書を作成します。
クライアントのウォレットと証明書を作成します。
クライアント証明書とサーバー証明書を交換します。
サーバー・ネットワークを構成します。
前述のステップを完了したら、Audit Vault AgentやSQL*PlusやSQL*Developerのようなツールを使用してTCPSでDBCSインスタンスに接続できるようになります。
次のコマンドを実行して、監査取得ユーザー・アカウント・スクリプトを作成します。

oracle_AVDF_E1_user_setup.sql

oracle_AVDF_E1_drop_db_permissions.sql

関連項目:

サーバー・ウォレット、クライアント・ウォレット、証明書の作成および証明書の交換の詳細は、「DBCSインスタンス用のTCPS接続の構成」を参照してください。

12.6.3 ステップ3: Audit Vault ServerでのExadata Express Cloud Serviceインスタンス用のセキュア・ターゲットの作成

Audit Vault ServerでDBCSインスタンス用のセキュア・ターゲットを作成します。「ステップ5: Audit Vault ServerでのDBCSインスタンス用のセキュア・ターゲットの作成」を参照してください。
次のコマンドを実行して、SSLバージョンのセキュア・ターゲットの必須属性を設定します。
av.collector.stconn.oracle.net.ssl_version = 1.2

12.7 TCPを使用したOracle Database Exadata Express Cloud Serviceセキュア・ターゲットの構成

この項では、Exadata Expressクラウド・ターゲットをTCPモードで構成するための詳細なデプロイ・ステップについて説明します。Audit Vault ServerとAudit Vault Agentはオンプレミスでインストールされています。

ここでのトピック

12.7.1 ステップ1: Audit Vault Serverでのオンプレミス・ホストの登録

ステップ1: Audit Vault Serverでのオンプレミス・ホストの登録を参照してください。

12.7.2 ステップ2: 登録されたオンプレミス・ホストでのAudit Vault Agentのインストール

ステップ2: 登録されたオンプレミス・ホストでのAudit Vault Agentのインストールを参照してください。

12.7.3 ステップ3: Oracle Exadata Express Cloudターゲット・インスタンスでのユーザー・アカウントの作成

この構成ステップでは、Oracle Exadata Express Cloudターゲット・インスタンスでユーザー・アカウントを作成します。

SYSDBA管理権限でログインし、TCPを介したDBCSインスタンスへの接続を確立します。
次のコマンドを実行して、監査取得ユーザー・アカウント・スクリプトを作成します。
oracle_AVDF_E1_user_setup.sql

oracle_AVDF_E1_drop_db_permissions.sql

12.7.4 ステップ4: ターゲットのOracle Exadata Express Cloudインスタンスでの監査ポリシーの設定または確認

この構成ステップを使用すると、ターゲットのOracle Exadata Express Cloudインスタンス上で監査ポリシーを設定および確認できます。

ノート:

これはOracle Exadata Express Cloud Serviceインスタンスではサポートされていません。

12.7.5 ステップ5: Audit Vault ServerでのExadata Express Cloudインスタンス用のセキュア・ターゲットの作成

ステップ5: Audit Vault ServerでのDBCSインスタンス用のセキュア・ターゲットの作成を参照してください。

12.7.6 ステップ6: Audit Vault ServerでのExadata Express Cloudインスタンス用の監査証跡の開始

Audit Vault ServerでExadata Express Cloudインスタンス用の監査証跡を開始するには、この手順を使用します。

管理者権限でAudit Vaultコンソールにログインします。
「セキュア・ターゲット」領域で、「監査証跡」→「監査証跡の追加」オプションを選択します。
監査証跡のタイプとしてTABLEを選択します。
ノート:
その他の証跡のタイプは、Exadata Express Cloudセキュア・ターゲット・インスタンスではサポートされません。
前のステップと次のステップで説明されている、登録済の収集ホストとセキュア・ターゲットを選択します。
Oracle Exadata Express Cloudセキュア・ターゲットのサポートされる表証跡は、次のとおりです。
1. UNIFIED_AUDIT_TRAIL
「保存」をクリックし、監査証跡を追加します。

12.8 Autonomous Data WarehouseおよびAutonomous Transaction Processingの構成

この項では、TCPSモードでセキュア・ターゲットとして次のOracle Database Cloud Serviceタイプを構成するためのデプロイメント・ステップの詳細を説明します。

Autonomous Data Warehouse
Autonomous Transaction Processing

ここでのトピック

前提条件

正しいバージョンのJDKがインストールされていることを確認します。サポートされているJDKのバージョンは次のとおりです。
- JDK7u80以上
- JDK8u71
- JDK7およびJDK8の両方のJCE Unlimited Strength Jurisdiction Policy Files。JDK 8の.jarファイルは、http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.htmlからダウンロードできます

12.8.1 ステップ1: 登録されたオンプレミス・ホストでのAudit Vault AgentのインストールおよびTCPSの構成

ステップ2: 登録されたオンプレミス・ホストでのOracle Audit Vault AgentのインストールおよびTCPSの構成を参照してください。

12.8.2 ステップ2: Oracle Cloudインスタンスでのユーザー・アカウントの作成

この構成ステップでは、Oracle Cloudインスタンスにユーザー・アカウントを作成します。

この手順を完了し、Autonomous Data WarehouseまたはAutonomous Transaction Processing Cloudインスタンスのユーザー・アカウントを作成します。

SYSDBA管理権限を持つユーザーとして、TCPS経由でAutonomous Data Warehouse Cloudインスタンスへの接続が確立されていることを確認します。
サーバーのウォレットと証明書を作成します。
クライアントのウォレットと証明書を作成します。
クライアント証明書とサーバー証明書を交換します。
サーバー・ネットワークを構成します。
前述のステップを完了すると、ユーザーはAudit Vault AgentやSQL*PlusやSQL*Developerのようなツールを使用してTCPSでAutonomous Data Warehouse Cloudインスタンスに接続できるようになります。
次のコマンドを実行して、監査取得ユーザー・アカウント・スクリプトを作成します。
oracle_AVDF_E1_user_setup.sql

oracle_AVDF_E1_drop_db_permissions.sql

関連項目:
サーバー・ウォレット、クライアント・ウォレット、証明書の作成および証明書の交換の詳細は、「DBCSインスタンス用のTCPS接続の構成」を参照してください。

12.8.3 ステップ3: Audit Vault ServerでのCloudインスタンス用のセキュア・ターゲットの作成

Autonomous Data WarehouseまたはAutonomous Transaction ProcessingのCloudインスタンスのAudit Vault Serverにセキュア・ターゲットを作成します。「ステップ5: Audit Vault ServerでのDBCSインスタンス用のセキュア・ターゲットの作成」を参照してください。