Oracle Exadata Database Machineのハードウェアとソフトウェアが強化されました。
Oracle Exadata Database Machineを強化するために次の手順が実行されています。
不要なパッケージがサーバーにインストールされないように、インストールされるパッケージのリストを縮小しました。
Oracle Exadata Storage Serverの不可欠なサービスのみを有効化しました。
ストレージ・サーバー上でファイアウォール(iptables)を有効化しました。
オペレーティング・システム・ユーザーの監査を有効化しました。
強化されたパスワード・ポリシーを強制しました。
また、Oracleによって、サービスに対するNTPやSSHなどの推奨されるセキュアな構成も提供されます。さらに、Oracle Exadata Database Machineアーキテクチャにより、次のセキュリティ機能がコア・コンポーネントに提供されます。これらのセキュリティ機能は、階層化されたセキュリティ戦略の展開を推進する組織で最もよく採用されます。
セキュア・ブートでは、カーネル・モジュール・レベルまで下る信頼のチェーンがサポートされています。
セキュア・ブートは、システムの起動のためにどのバイナリを実行できるかを制限するために使用される方法です。セキュア・ブートでは、システムUEFIファームウェアは、信頼できるエンティティの暗号化署名を伝えるブート・ローダーの実行のみを許可します。つまり、UEFIファームウェアで実行されるすべてのものは、システムで信頼できると認識されている鍵によって署名される必要があります。サーバーを再起動するたびに、実行されるすべてのコンポーネントが検証されます。これにより、ブート・チェーン内の埋込みコードにマルウェアが隠れないようにします。
ロード可能なカーネル・モジュールは信頼できる鍵で署名されている必要があり、署名がない場合はカーネルにロードできません。
次の信頼できる鍵は、UEFI NVRAMの変数に格納されます。
Database (DB): 既知の鍵を含む署名データベースです。DBに対して確認できるバイナリのみが、BIOSによって実行されます。
Forbidden Database (DBX): ブラックリストに載っている鍵です。DBX内のエントリと一致する鍵を持つオブジェクトをロードしようとすると、拒否されます。これは、正しくない鍵を示すリストです。
Machine Owner Key (MOK): インストールするカーネル・モジュールのためにユーザーが追加した鍵です。
Platform Key (PK): ハードウェア・ベンダーによってインストールされた鍵です。この鍵は、ベンダーによってインストールされ、ILOMファームウェア内にあります。この鍵には、ホストからはアクセスできません。
Key Exchange Key (KEK): 署名データベースの更新に必要な鍵です。
UEFI構成メニューによる鍵の追加、鍵の変更またはセキュア・ブートの有効化および無効化には、ユーザーがシステム・コンソールに物理的にアクセスできる必要があります。Linuxを実行するほとんどのUEFI対応サーバーでは、デフォルトのブート・ローダーはgrub2
です。セキュア・ブートが有効になっている場合は、さらにshimブート・ローダーが必要です。セキュア・ブート・モードで起動している場合は、最初にshimloader
が呼び出されます。それは、信頼できる署名がこれに含まれているためです。shimloader
は、次にgrub2
をロードします。これはその後、OSカーネル(これも署名されている)をロードします。
セキュア・ブートは、X7-2、X7-8およびX7-2Lサーバー上で使用可能です。
mokutil
コマンドを使用して、セキュア・ブートで使用される鍵および証明書を管理できます。セキュア・ブートは、BIOSでデフォルトで有効になっています。
セキュア・ブートは、BIOSで構成され、デフォルトで有効になっています。ブート処理中に[F12]を押し、EFIブート・メニューに移動し、セキュア・ブート・オプションを無効にすることで、セキュア・ブートを無効にできます。
セキュア・ブート・オプションは有効なままにしておくことをお薦めします。
セキュア・ブートが有効になっていることを確認するには、次のコマンドを使用します。
# mokutil --sb-state
SecureBoot enabled
mokutil
コマンドを使用して、セキュア・ブートで使用する鍵と証明書を管理できます。
証明書は、DigiCertによって署名され、.署名した日付から3年間有効になります。証明書が期限切れになっている可能性があるとしても、検証は、grubおよびカーネルが署名された日付と、証明書がその時点で有効になっていたかどうかに基づきます。
証明書を更新するには、保護されたサーバー上のカーネル、grub、およびILOMを新しい署名済バージョンで更新します。
Oracle Exadata Database Machineは複数の分離レベルをサポートしています。
ITインフラストラクチャの統合、共有サービス・アーキテクチャの実装、およびセキュアなマルチテナント型サービスの提供を必要とする組織では、サービス、ユーザー、データ、通信およびストレージを分離すると有益です。Oracle Exadata Database Machineを使用すると、組織のニーズに基づいて、柔軟に分離ポリシーおよび戦略を実装できます。Oracle Exadata Database Machineのセキュアな分離には次のレベルがあります。
Oracle Exadata Database Machineは、ネットワーク・トラフィックを分割するために複数のネットワークを使用します。
物理的なネットワーク・レベルで、クライアント・アクセスがデバイス管理およびデバイス間通信から分離されます。クライアントと管理ネットワーク・トラフィックは、個別のネットワーク上で分離されます。クライアント・アクセスは、システムで実行中のサービスへの信頼性の高い高速アクセスを可能にする、冗長10Gbps Ethernetネットワークを介して提供されます。管理アクセスは、物理的に独立した1Gbps Ethernetネットワークを介して提供されます。これにより、運用ネットワークと管理ネットワーク間の分離が実現します。
組織は、仮想LAN (VLAN)を構成することによって、クライアント・アクセスEthernetネットワーク上のネットワーク・トラフィックをさらに分割することを選択できます。VLANでは、要件に基づいてネットワーク・トラフィックを分割します。通信の機密保持と整合性を確保するために、暗号化されたプロトコルをVLAN上で使用することをお薦めします。
デバイス間通信は、冗長InfiniBandネットワークによって提供されます。InfiniBandネットワークは、Oracle Exadata Storage Serverとデータベース・サーバー間の通信用の、高パフォーマンスで低レイテンシのバックプレーンです。デフォルトでは、Oracle Exadata Storage Serverには構成済のソフトウェア・ファイアウォールが含まれます。ソフトウェア・ファイアウォールを使用してデータベース・サーバーを構成することもできます。
注意:
InfiniBandプライベート・ネットワークをパーティション分割しても、InfiniBandファブリックは保護されません。パーティション分割では、マシン間でのInfiniBandのトラフィックの分離のみを行います。
オペレーティング・システム制御とデータベース機能を使用して、データベースの分離を有効にします。
環境全体を単一のアプリケーションまたはデータベース専用にすることによって物理的に分離することは、最適な分離方法の1つです。ただし、費用がかかります。同じオペレーティング・システム・イメージ内の複数のデータベースを使用するという分離戦略によって、費用効果を高めることができます。複数データベースの分離は、ユーザー、グループおよびリソース制御専用の資格証明などの、データベース・レベルとオペレーティング・システム・レベルの制御を組み合せて実現されます。
Oracle Exadata Database Machineでは、Oracle Databaseのすべてのセキュリティ・オプションを使用できます。より細かい粒度でデータベースを分離する場合は、Oracle Database Vault、Oracle Virtual Private Database、Oracle Label Securityなどのソフトウェアを使用できます。
Oracle Database Vaultには、単一のデータベース内の論理レルムを使用して分離を強制する、必須アクセス制御モデルが含まれています。論理レルムは、管理アカウントによるアプリケーション・データへの非定型アクセスをブロックすることによって、既存のアプリケーション表の周囲に保護境界を形成します。Oracle Database Vaultコマンド・ルールにより、だれが、いつ、どこで、どのようにデータベースおよびアプリケーション・データにアクセスするかを制限するポリシーベースの制御が可能になります。これにより、アプリケーション・データへの信頼できるパスが作成されます。Oracle Database Vaultを使用して、時間、ソースIPアドレスおよび他の条件に基づいてアクセスを制限することもできます。
Oracle Virtual Private Databaseを使用すると、データベースの表とビューへの、行および列レベルのファイングレイン・アクセスを強制するポリシーを作成できます。Oracle Virtual Private Databaseでは、ポリシーがデータベース・オブジェクトに関連付けられ、データへのアクセス方法に関係なく自動的に適用されるため、セキュリティのポータビリティが提供されます。データベース内で粒度の細かい分離を実現するために、Oracle Virtual Private Databaseを使用できます。
Oracle Label Securityは、データの分類、および分類に基づいたそのデータへのアクセスの仲介に使用されます。組織は、組織のニーズを最適にサポートする、階層や非結合などの分類計画を定義します。この機能を使用すると、異なる分類レベルで格納された情報を単一の表領域内の行レベルで分離できます。
アプリケーション・データ、ワークロードおよび実行の基礎となるインフラストラクチャを保護するために、Oracle Exadata Database Machineには、ユーザーと管理者の両方のための、包括的で柔軟なアクセス制御機能が備えられています。
制御機能には、ネットワーク・アクセス、データベース・アクセスおよびストレージ・アクセスが含まれます。
単純なネットワーク・レベルの分離を超えて、デバイス・レベルでファイングレイン・アクセス制御ポリシーを設定できます。
Oracle Exadata Database Machineのすべてのコンポーネントには、ネットワーク分離などのアーキテクチャの手法を使用するか、またはパケット・フィルタリングおよびアクセス制御リストを使用して、コンポーネント間、サービス間、またはコンポーネントとサービスの間の通信を制限することによって、サービスへのネットワーク・アクセスを制限する機能があります。
職務の分離は、共謀行動のリスクを減らし、不測のエラーを防止するために、アーキテクチャのすべてのレイヤーで重要です。
たとえば、異なるオペレーティング・システム・アカウントを使用して、Oracle Automatic Storage Management (Oracle ASM)をサポートする管理者を含むデータベース管理者とストレージ管理者のロールを分離します。Oracle Database内では、ユーザーがアクセスを認可されているデータ・オブジェクトにのみアクセスできるように、ユーザーに特定の権限およびロールを割り当てることができます。明示的に許可されないかぎり、データを共有することはできません。
パスワード・ベース認証に加え、Oracle Databaseは、公開鍵証明書、RADIUSおよびKerberosもサポートします。Oracle Enterprise User Securityを使用して、データベースを認証および認可用の既存のLDAPリポジトリに統合できます。これらの機能によって、データベースにアクセスするユーザーのIDがより確実に保証されます。
Oracle Database Vaultを使用して、管理および特権ユーザー・アクセスを管理し、アプリケーション・データにどのように、いつ、どこでアクセスできるかを制御できます。Oracle Database Vaultは、盗まれたログイン資格証明の悪用、アプリケーション・バイパス、およびアプリケーションとデータに対する未認可の変更(アプリケーション・データのコピー作成の試みを含む)を阻止します。Oracle Database Vaultは、ほとんどのアプリケーションおよび日常業務に対して透過的です。多元的な認可ポリシーをサポートし、企業活動を中断することなくポリシーのセキュアな強制を可能にします。
Oracle Database Vaultでは、職務分離を強制し、アカウント管理、セキュリティ管理、リソース管理および他の機能が、それらの権限を持つことを認可されたユーザーにのみ許可されるようにできます。
Oracle Exadata System Softwareは、オープン・セキュリティ、Oracle ASMを有効範囲にしたセキュリティ、およびデータベースを有効範囲にしたセキュリティのアクセス制御モードをサポートしています。
オープン・セキュリティでは、データベースがどのグリッド・ディスクにもアクセスできます。
Oracle ASMを有効範囲にしたセキュリティでは、1つ以上のOracle ASMクラスタに割り当てられた複数のデータベースで特定のグリッド・ディスクを共有できます。
Oracle ASMは、そのアクセス制御モード全体に加えて、ディスク・グループおよびファイル・レベルでのアクセス制御をサポートし、認可されたユーザーのみがディスクに格納されたコンテンツにアクセスできるようにします。
注意:
/etc/oracle/cell/network-config/cellkey.ora
ファイルは、Oracle Grid Infrastructureの特定の一意のグループ(asmadmin
など)に所属するソフトウェア・インストールの所有者のみが読み取れるようにする必要があります。
Oracle Grid Infrastructureホーム内のkfod
ユーティリティを使用してトラブルシューティングを行うか、クラスタでアクセス可能なディスクを確認します。
データベースを有効範囲にしたセキュリティは、粒度が最も細かいレベルのアクセス制御であり、特定のデータベースのみが特定のグリッド・ディスクにアクセスできます。
データベースを有効範囲にしたセキュリティは、コンテナ・レベルで機能します。これは、グリッド・ディスクをコンテナ・データベース(CDB)または非CDBのDB_UNIQUE_NAME
で使用可能にする必要があることを意味します。そのため、プラガブル・データベース(PDB)単位でデータベースを有効範囲にしたセキュリティを設定することはできません。
注意:
データベースを有効範囲にしたセキュリティの設定は、Oracle ASMを有効範囲にしたセキュリティを構成およびテストしてから行ってください。
デフォルトでは、ストレージ・サーバーでSSHが有効化されています。必要に応じて、SSHアクセスをブロックするためにストレージ・サーバーをロックできます。その場合でも、計算ノード上で実行されている、HTTPSおよびREST APIの使用によりセル上で実行されているWebサービスと通信するexacli
を使用して、ストレージ・サーバーでの操作は実行できます。これは、CellCLIでユーザーおよびロールを作成してからremoteLogin
を無効にすることで、高いレベルで実現されます。
関連項目:
『Oracle Exadata System Softwareユーザーズ・ガイド』の次のトピックを参照してください。
ストレージ・サーバーでのSSHの無効化
アクセス制御モードの詳細は、Oracle Exadata Storage Server Softwareのデータ・セキュリティの理解を参照してください。
Oracle Exadata Database Machineにはネットワーク暗号化サービスが含まれています。
保存済、移動中および使用中の情報を保護および検証するための要件では、多くの場合、暗号化サービスが採用されます。暗号化と復号化からデジタル・フィンガープリントと証明書検証まで、暗号化はIT組織で最も広く採用されるセキュリティ制御の1つです。
Oracle Exadata Database Machineでは、可能な場合は常にIntel AES-NIおよびOracle SPARCによって提供されるプロセッサ・チップ上のハードウェアベースの暗号化エンジンが使用されます。暗号化操作にハードウェアを使用すると、ソフトウェアでその操作を実行するよりも、パフォーマンスが大幅に高くなります。どちらのエンジンでもハードウェアで暗号化操作を実行でき、かつ、どちらもデータベース・サーバーおよびストレージ・サーバー上のOracleソフトウェアによって活用されます。
ネットワーク暗号化サービスでは、暗号で保護されたプロトコルを使用することによって通信の機密保持および整合性が保護されます。たとえば、セキュア・シェル(SSH)アクセスでは、システムおよびIntegrated Lights Out Manager (ILOM)へのセキュアな管理アクセスが提供されます。SSL/TLSは、アプリケーションと他のサービス間のセキュアな通信を可能にできます。
データベースの暗号化サービスは、Oracle Advanced Securityから使用できます。Oracle Advanced Securityはデータベース内の情報を透過的データ暗号化(TDE)機能を使用して暗号化します。TDEでは、アプリケーション表領域の暗号化、および表内の個々の列の暗号化がサポートされます。一時表領域に格納されたデータ、およびREDOログも暗号化されます。データベースがバックアップされると、データは宛先メディアで暗号化されたままになります。これにより、物理的にどこに格納された場合にも、保存済の情報が保護されます。格納されたデータベース・コンテンツの機密保持、データベースの暗号化(表領域レベルまたは列レベル)に関心のある組織では、Oracle Advanced Securityを検討する必要があります。
さらに、Oracle Advanced Securityは、ネイティブ暗号化またはSSLを使用してOracle Net ServicesおよびJDBCトラフィックを暗号化し、ネットワークでの移動中に情報を保護できます。管理接続とアプリケーション接続の両方を保護し、移動中のデータが保護されるようにできます。SSLの実装では、匿名(Diffie-Hellman)、X.509証明書を使用したサーバーのみの認証、X.509による相互(クライアント-サーバー)認証などの一連の標準認証方式がサポートされます。
コンプライアンス・レポートのためであれ、インシデント応答のためであれ、監視と監査は、組織がIT環境の可視性を高めるために使用する必要がある重要な機能です。
監視と監査が行われる程度は、多くの場合、環境のリスクまたは重要度に基づきます。Oracle Exadata Database Machineは、サーバー、ネットワーク、データベースおよびストレージ・レイヤーで包括的な監視および監査機能を提供し、組織の監査およびコンプライアンス要件をサポートする情報を組織が使用できるように設計されています。
Oracle Databaseのファイングレイン監査のサポートによって、組織は監査レコードの生成時期を選択的に決定するポリシーを確立できます。
ポリシーを確立すると、組織は他のデータベース・アクティビティに集中し、監査アクティビティに関連付けられることの多いオーバーヘッドを削減できます。
Oracle Audit Vaultはデータベース監査設定の管理を一元化し、セキュアなリポジトリへの監査データの統合を自動化します。Oracle Audit Vaultには、特権ユーザーのアクティビティやデータベース構造への変更を含む広範なアクティビティを監視するための組込みレポートが含まれています。Oracle Audit Vaultで生成されるレポートによって、様々なアプリケーションおよび管理データベースのアクティビティを可視化し、アクションのアカウンタビリティをサポートする詳細な情報を取得できます。
Oracle Audit Vaultを使用すると、未認可アクセスの試みやシステム権限の不正使用を示す可能性のあるアクティビティのプロアクティブな検出および警告が可能になります。これらの警告には、特権ユーザー・アカウントの作成や機密情報を含む表の変更などの、システム・イベントとユーザー定義イベントの両方を含めることができます。
Oracle Database Firewall Remote Monitorは、リアルタイムのデータベース・セキュリティ監視を提供できます。Oracle Database Firewall Remote Monitorはデータベース接続を問い合せて、アプリケーション・バイパス、未認可のアクティビティ、SQLインジェクション、その他の脅威などの悪意のあるトラフィックを検出します。Oracle Database Firewallは正確なSQLグラマーベースのアプローチを使用することによって、疑わしいデータベース・アクティビティを組織が迅速に識別できるようにします。
アプリケーションに対する攻撃には、境界違反やアクセス制御ポリシーの破壊以外にも様々な方法があります。
Oracle Exadata Database Machineには、リソースを枯渇させる攻撃、DoS攻撃、およびサービスとデータの可用性に影響する可能性がある偶発的または故意の障害の検出と防止に役立つ、数多くの機能が備えられています。
Oracle Exadata System Softwareには、データベース間のI/Oリソースおよびデータベース内のI/Oリソースを管理するI/Oリソース管理(IORM)が含まれます。IORMにより、異なるパフォーマンス要件を持つ様々なデータベースで共通のOracle Exadata Storage Serverプールを共有できます。同じデータベース内の複数のワークロードに独自のリソース・ポリシーを定義できます。この柔軟なアーキテクチャによって、組織では統合アーキテクチャでの操作時に重要なワークロードおよびデータベースでI/Oリソースを共有できます。
Oracle Databaseには、複数のデータベースが同じオペレーティング・システムで稼働できるようにするツールが含まれています。Oracle Database Resource Managerおよびインスタンス・ケージングでは、粒度の細かい方法を使用してCPUリソースへのアクセスを動的に制御する機能をサポートしています。Oracle Database Resource Managerは、並列度の程度、アクティブなセッションの数および他の共有リソースを制御して、共有データベース・アーキテクチャで必要なリソースを1つのデータベースが独占することを防止できます。
Oracle Database Quality of Service Management (Oracle Database QoS Management)は、システム全体のワークロード・リクエストを監視する自動化されたポリシーベースのソリューションです。Oracle Database QoS Managementは正確なランタイム・パフォーマンスとリソース・メトリックを相互に関連付け、データを分析してボトルネックを特定し、動的な負荷状態でパフォーマンス目標を維持する推奨リソース調整を作成します。
個々のアプリケーションとサービスを適切に保護するには、セキュリティ制御および機能を組み合せる必要があります。
デプロイされたサービスおよびシステムのセキュリティを維持するための包括的な管理機能を持つことも、同様に重要となります。Oracle Exadata Database MachineではILOMのセキュリティ管理機能が使用されます。
ILOMは、多数のOracle Exadata Database Machineコンポーネントに組み込まれたサービス・プロセッサです。次のようなバンド外管理アクティビティを実行するために使用されます。
データベースおよびストレージ・サーバーのセキュアな停電管理を実行するためのセキュアなアクセスの提供。アクセスには、SSLによって保護されたWebベースのアクセス、セキュア・シェルを使用したコマンドライン・アクセス、IPMI v2.0プロトコルおよびSNMPv3プロトコルが含まれます。
ロールベースのアクセス制御モデルを使用した職務要件の分離。各ユーザーは、実行できる機能が制限された特定のロールに割り当てられます。
すべてのログオンおよび構成変更の監査レコードの提供。各監査ログ・エントリには、アクションを実行しているユーザーおよびタイムスタンプが表示されます。これにより、組織は未認可のアクティビティや変更を検出し、それらのアクションを特定のユーザーと関連付けることができます。