この章では、セキュアインストールの計画プロセスについて説明し、システムの推奨される配備トポロジをいくつか紹介します。
セキュリティーニーズをよりよく理解するには、次の質問を尋ねる必要があります。
本番環境内の多くのリソースを保護できます。提供するセキュリティーレベルを決定する際は、保護するリソースの種類を考慮してください。
DIVAnet を使用している場合は、次のリソースを保護する必要があります。
DIVAnet は、1 つ以上のディスク (DIVAnet システムに直接接続されたローカルディスクまたはリモートディスク) に接続されたサーバーにインストールされます。こうしたディスクに (DIVAnet を使わずに) 単独でアクセスすると、セキュリティー上のリスクが生じます。この種の外部アクセスは、こうしたディスクに対して読み取りや書き込みを行う悪質なシステムか、またはこうしたディスクデバイスへのアクセスを誤って提供する内部システムから発生している可能性があります。
DIVAnet システムを構築するために、データベースソフトウェアおよびデータリソースが使用されます。データは通常、DIVAnet システムに接続されたローカルディスクまたはリモートディスク上に存在します。こうしたディスクに (DIVAnet を使わずに) 単独でアクセスすると、セキュリティー上のリスクが生じます。この種の外部アクセスは、こうしたディスクに対して読み取りや書き込みを行う悪質なシステムか、またはこうしたディスクデバイスへのアクセスを誤って提供する内部システムから発生している可能性があります。
DIVAnet は DIVArchive ソースおよび接続先を使用し、要求を満たすプロセスで DIVA アーカイブシステム (ディスクまたはテープ) を使用します。DIVArchive システムによって通常制御される、これらのサーバーディスクおよびシステム媒体への正当でない単独のアクセスは、セキュリティーリスクです。DIVAnet コピー操作の一時的なデータストアとして使用されるソース/接続先には、制限付きアクセス権を割り当てるべきであり、これらのソース/接続先を DIVAnet 操作専用とするよう考慮し、さらに転送が信頼されたネットワーク上で暗号化または開始されることを確認してください。
このセクションでは、セキュアインフラストラクチャーコンポーネントのインストールおよび構成について説明します。
DIVAnet のインストールについては、以下の場所の DIVAnet 2.0 ドキュメントライブラリにある『Oracle DIVAnet ガイド』を参照してください。
https://docs.oracle.com/en/storage/#csm
DIVAnet をインストールして構成する際は、次の点を考慮してください。
必要な DIVAnet コンポーネントのみをインストールしてください。たとえば、DIVAnetUI のみをシステムから実行することを計画している場合、インストール中にインストールされるコンポーネントのリストから DIVAnet サービスを選択解除してください。DIVAnet インストールディレクトリのデフォルトのアクセス権や所有者をインストール後に変更することは、このような変更のセキュリティーへの影響を考慮せずに行うべきではありません。
システムセキュリティーを高めるために、ManagerAdapter コンポーネントを DIVArchive Manager システムにインストールすることをお勧めします。DIVArchive Manager ポートへの外部アクセスが不要な場合は、ファイアウォールソフトウェアを使用してポートをブロックすることをお勧めします。さらに通常は、DIVAnet DbSync WebService ポートへの外部ネットワークアクセスを許可する必要はありません。
WAN 経由でリモート DIVArchive インスタンスに接続する場合は、信頼されたネットワーク上で接続するようにしてください。また、サイトに接続するときは、SSL/TLS
を使用してリモートサイトの ManagerAdapter ポートに接続することを検討してください。
FC ゾーニングを使用して、ファイバチャネルを介して接続された DIVAnet ディスクへのアクセスのうち、ディスクへのアクセスを必要としないサーバーからのものは拒否してください。個別の FC スイッチを使用して、アクセスを必要とするサーバーにのみ物理的に接続することをお勧めします。
SAN RAID ディスクには通常、管理のために TCP/IP (より一般的には HTTP) 経由でアクセスできます。SAN RAID ディスクへの管理アクセスを信頼できるドメイン内のシステムのみに制限することによって、ディスクを外部アクセスから保護する必要があります。また、ディスクアレイ上のデフォルトパスワードを変更してください。