Oracle Database Exadata Cloud Machineデータベースへの接続を保護するために、ネイティブのOracle Net暗号化と整合性機能を使用できます。
ネットワーク・データを暗号化すると、データの機密が保たれ、ネットワークを通過する際に権限のないユーザーがデータを閲覧できなくなります。 さらに、整合性アルゴリズムによってデータ変更および違法な再生から保護されます。
Oracle Databaseには、Oracle Netトラフィックの機密性を保護するために、Advanced Encryption Standard (AES)、DES、3DESおよびRC4の対称型暗号システムが用意されています。 また、整合性攻撃から保護するために、鍵で順序付けられたMessage Digest 5 (MD5)アルゴリズムまたはSecure Hashアルゴリズム(SHA-1およびSHA-2)を実装しています。
デフォルトでは、Exadata Cloud Machineのデータベース・デプロイメントは、Oracle Netのネイティブの暗号化および整合化が有効になるように構成されています。 また、デフォルトでは、Oracle Netクライアントは、適切に構成されたサーバーに接続する際にネイティブの暗号化および整合性が有効になるように構成されています。 ネイティブの暗号化および整合性の使用を明示的に拒否するようにOracle Netクライアントを構成すると、接続試行は失敗します。
構成を確認し、Oracle Netのネイティブの暗号化および整合性の使用を検証するには、後述のようにします。 ネイティブOracle Net暗号化および整合性の構成の詳細は、リリース12.2または12.1のOracle Databaseセキュリティ・ガイドまたはリリース11.2のDatabase Advanced Security管理者ガイドのネットワーク・データの暗号化および整合性の構成を参照してください。
Exadata Cloud Machine環境の確認
注意:
手順では、単一計算ノードについて説明します。 Exadata Cloud Machineの場合、構成設定が環境内のすべての計算ノードで一貫していることを確認する必要があります。コマンド・シェルで、oracleユーザーとして計算ノードに接続します。 Secure Shell (SSH)経由での計算ノードへの接続を参照してください。
ディレクトリをsqlnet.ora Oracle Net構成ファイルの場所に変更します。 次に例を示します。
$ cd /u01/app/12.1.0.2/grid/network/admin $ ls sqlnet.ora sqlnet.ora
注意:
Exadata Cloud Machineの場合、Oracle NetリスナーはOracle Grid Infrastructureソフトウェアを使用します。このソフトウェアは、通常ORACLE_HOMEディレクトリ(/u01/app/12.1.0.2/gridまたは/u01/app/12.2.0.1/grid)の下にインストールされます。sqlnet.oraファイルを表示し、次のパラメータ設定が含まれていることを確認します。
SQLNET.ENCRYPTION_SERVER = required SQLNET.CRYPTO_CHECKSUM_SERVER = required
required設定により、暗号化または整合性サービスが有効になり、クライアント側がセキュリティ・サービスに対して有効になっていない場合は接続できません。 これはExadata Cloud Machineのデータベース・デプロイメントのデフォルト設定です。
Oracle Netクライアントの構成の確認
次の手順では、Oracle Netクライアントの構成でネイティブの暗号化および整合性が有効になっているかを確認するために必要な基本ステップを概説します。
コマンド・シェルで、Oracle Netクライアントに接続します。
次のように、ディレクトリをOracle Netの構成ファイルtnsnames.oraおよびsqlnet.oraがある場所に変更します。
$ cd $ORACLE_HOME/network/admin $ ls *.ora sqlnet.ora tnsnames.ora
sqlnet.oraファイルを表示し、次のパラメータ設定が含まれていないことを確認します。
SQLNET.ENCRYPTION_CLIENT = rejected SQLNET.CRYPTO_CHECKSUM_CLIENT = rejected
rejected設定により、サーバーが要求している場合でも、暗号化および整合性サービスが明示的に無効になります。 暗号化または整合性サービスの設定がrejectedになっているクライアントがrequiredに設定されているサーバーに接続すると、ORA-12660: 暗号化または暗号チェックサム・パラメータに互換性がありません。というエラーで接続は失敗します。
ネイティブOracle Net暗号化および整合化はExadata Cloud Machine環境でデフォルトで有効なため、rejected以外にパラメータを設定するか、まったく設定しない場合、ネイティブ暗号化および整合化が使用されます。
ネイティブの暗号化および整合性の使用の検証
Oracle Netのネイティブの暗号化および整合性の使用を検証するには、Oracleデータベースに接続し、各接続に関連付けられたネットワーク・サービスのバナー・エントリを調査します。 この情報は、V$SESSION_CONNECT_INFOビューのNETWORK_SERVICE_BANNER列に格納されています。 次の例に、現在の接続に関連付けられたネットワーク・サービスのバナー・エントリの表示に使用するSQLコマンドを示します。
SQL> select network_service_banner
from v$session_connect_info
where sid in (select distinct sid from v$mystat);
次の出力例は、使用中のアルゴリズムなど、使用可能な暗号化サービスおよび暗号チェックサム(整合性)サービスに関するバナー情報を示しています。
NETWORK_SERVICE_BANNER ------------------------------------------------------------------------------------- TCP/IP NT Protocol Adapter for Linux: Version 12.1.0.2.0 - Production Encryption service for Linux: Version 12.1.0.2.0 - Production AES256 Encryption service adapter for Linux: Version 12.1.0.2.0 - Production Crypto-checksumming service for Linux: Version 12.1.0.2.0 - Production SHA1 Crypto-checksumming service adapter for Linux: Version 12.1.0.2.0 - Production
Oracle Netのネイティブの暗号化および整合性が使用されていなかった場合でも、バナー・エントリには使用可能なセキュリティ・サービス(Oracle Databaseソフトウェアにリンクされているサービス)のエントリが含まれています。 しかし、接続に使用されている特定のアルゴリズムを示すエントリはありません。 出力は次のようになります。
NETWORK_SERVICE_BANNER ------------------------------------------------------------------------------------- TCP/IP NT Protocol Adapter for Linux: Version 12.1.0.2.0 - Production Encryption service for Linux: Version 12.1.0.2.0 - Production Crypto-checksumming service for Linux: Version 12.1.0.2.0 - Production