Oracle Cloud Infrastructureドキュメント

すべてのGovernment Cloud顧客の場合

このトピックでは、「FedRAMP認可を使用したGovernment Cloud「IL5認可を使用したFederal Government Cloudの両方に共通する情報を説明します。

共有職責

政府のためのOracle Cloud Infrastructureは、エンタープライズ・クラウド・サービスを保護するための、クラス最高のセキュリティ・テクノロジおよび操作プロセスを提供します。 ただし、ワークロードを安全に実行するには、セキュリティおよびコンプライアンスの職責に注意する必要があります。 設計上、Oracleはクラウド・インフラストラクチャおよびオペレーション(クラウド・オペレータのアクセス制御、インフラストラクチャ・セキュリティ・パッチなど)のセキュリティを提供しており、クラウド・リソースを安全に構成する責任があります。 クラウド内のセキュリティは、お客様とOracleの間の共通の責任です。

Oracle Cloudでの共有職責の詳細は、次のホワイト・ペーパーを参照してください:

テナンシのアイデンティティ・プロバイダの設定

Government Cloudカスタマは、機関のコンプライアンス要件を満たすアイデンティティ・プロバイダを持込み、一般的なアクセス・カード/個人識別情報検証カード(CAC/PIV)認証をサポートする必要があります。 CAC/PIV認証もサポートするSAML 2.0準拠のアイデンティティ・プロバイダを使用してOracle Cloud Infrastructureをフェデレートできます。 フェデレーションの設定手順は、「アイデンティティ・プロバイダのフェデレート」を参照してください。

Oracle Cloud Infrastructureのデフォルト管理者ユーザーおよび他のすべてのフェデレーテッド・ユーザーを削除

Oracleアカウントおよびアイデンティティ・ドメインに組織がサインアップすると、Oracleによってそのアカウントに「デフォルト管理者」が設定されます。 この個人は、社内の最初のIAMユーザーで、テナンシに対する完全な管理者アクセス権を持ちます。 このユーザーはフェデレーションを設定できます。

選択したアイデンティティ・プロバイダでフェデレーションが正常に設定されたら、テナンシの設定を支援するために、デフォルトの管理者ユーザーおよびその他のIAMサービスのローカル・ユーザーを削除できます。 ローカルの権限のないユーザーを削除すると、選択したアイデンティティ・プロバイダのユーザーのみがOracle Cloud Infrastructureにアクセスできるようになります。

デフォルトの管理者を削除するには:

  1. アイデンティティ・プロバイダを介してコンソールにサインインします。

    追加詳細
  2. 「ナビゲーション・メニュー」を開きます。 ガバナンスと管理の下で、アイデンティティに行き、「ユーザー」をクリックします。 ユーザーのリストが表示されます。
  3. 「ユーザー・タイプ」フィルタで、「ローカル・ユーザー」のみを選択します。
  4. 各ローカル・ユーザーについて、アクション・アイコン(3ドット)に移動し、「削除」をクリックします。

共通アクセス・カード/パーソナル・アイデンティティ検証カードを使用したコンソールへのサインイン

アイデンティティ・プロバイダでCAC/PIV認証を設定し、Oracle Cloud Infrastructureに正常にフェデレートしたら、CAC/PIV資格証明を使用してOracle Cloud Infrastructure コンソールにサインインできます。 実装の詳細は、アイデンティティ・プロバイダのドキュメントを参照してください。

一般的に、サイン・イン・ステップは次のとおりです:

  1. CAC/PIVカードをカード・リーダーに挿入します。
  2. Oracle Cloud Infrastructure 「コンソール・サインイン・ページ」に移動します。
  3. プロンプトが表示されたら、「クラウド・テナント」の名前を入力し、「続行」をクリックします。
  4. シングル・サインオン・プロバイダを選択して、「続行」をクリックします。
  5. アイデンティティ・プロバイダのサインイン・ページで、適切なカード(PIVカードなど)を選択します。
  6. 証明書ピッカーが表示されている場合は、組織で設定されている適切な証明書またはその他の属性を選択します。
  7. プロンプトが表示されたら、PINを入力します。

IPv6 Virtual Cloud Networksのサポート

米国のGovernment Cloudの顧客には、VCNのIPv6アドレス指定を可能にするオプションがあります。 詳細は、「IPv6アドレス」を参照してください。

コンピュート・ホストのセキュア・アクセスの設定

サード・パーティ・ツールを使用してCAC/PIV認証を設定することで、コンピュート・ホストに安全に接続するための複数ファクタ認証を有効にできます。 たとえば、PuTTY-CAC for WindowsやOpen SC for macOSなどのツールがあります。 詳細は、米国政府のwebサイトである「PIV使用ガイドライン」を参照してください。

オペレーティング・システムでのFIPSモードの有効化

Government Cloudのお客様は、コンピュート・ホスト上のオペレーティング・システムのFIPSモードの有効化を担当します。 オペレーティング・システムを連邦情報処理規格(FIPS)パブリケーション140-2に準拠させるには、オペレーティング・システムのガイドラインに従ってください:

Oracle Linux

「Oracle LinuxでのFIPSモードの有効化」で提供されているガイダンスに従ってください。

Ubuntu

「Ubuntuのセキュリティ証明」で提供されているガイダンスに従ってください。

Windows Server 2008と2012

「Webコンソールとレポート・サーバー接続のデータ暗号化」で提供されているガイダンスに従ってください。

Windows Server 2016

最初に、「FIPS準拠アルゴリズムの使用方法」で提供されているガイダンスに従ってください。

次に、Microsoftドキュメントの「FIPS 140検証」に移動し、「システム・インテグレータの情報」のトピックに移動します。 「ステップ2 - FIPSローカル/グループのセキュリティ・ポリシー・フラグの設定」の指示に従って、FIPS有効化を完了します。

CentOS

次のガイダンスは、CentOS 7.5でFIPSを有効にするためのものです。 これらの手順はVMとベア・メタル・インスタンスの両方に有効で、NATIVEモードのみに有効です。 これらのプロシージャは、必要に応じて、エミュレートされたモードとPVモードの両方で変更できます。 この手順では、正確なFIPS暗号化モジュールEXCEPTカーネルを含むインスタンスを提供します。 ただし、カーネル・モジュールは同じメジャー/マイナー・バージョンですが、改訂が高速化されているため、ほとんどのFIPS準拠モデルに準拠しているとみなされます。

この手順の完了後、Oracleではシステム全体のyum更新を実行しないことを強くお薦めします。 システム全体の更新により、ここに含まれているFIPSモジュールが削除されます。

カーネル、FIPSモジュールおよびFIPSソフトウェアのバージョンが、最小バージョンであることを確認します:

  1. 現在のバージョンのカーネル・パッケージが要件を満たしていることを検証します:

    1. 現在のバージョン: kernel-3.10.0-693.el7
    2. rpm -qa | grep kernel-3の実行

  2. 次を実行して、メジャー・バージョンまたはマイナー・バージョンが要件と同じかどうかを検証します。

    1. 実行

       yum list <package_name>
    2. メジャー/マイナー・バージョンが必須バージョンと一致することを確認してください。

    必要なパッケージおよびバージョンは次のとおりです:

    • fipscheck - fipscheck-1.4.1-6.el7
    • hmaccalc - hmaccalc-0.9.13-4.el7

    • dracut-fips - dracut-fips-033-502.el7

    • dracut-fips-aesni - dracut-fips-aesni-033-502.el7

    c インストールされていないパッケージのバージョンごとに実行

     yum install <package_name>
  3. 次のパッケージをダウンロードしてインストールします:
    1. パッケージはすでにイメージの一部としてインストールされています:
      1. preinstallというディレクトリを作成します。

      2. このディレクトリに次のパッケージをダウンロードします:

        openssl, openssl-libs - 1.0.2k-8.el7

        nss, nss-tools, nss-sysinit - 3.28.4-15.el7_4

        nss-util - 3.28.4-3.el7

        nss-softokn, nss-softokn-freebl - 3.28.3-8.el7_4

        openssh, openssh-clients, openssh-server - 7.4p1-11.el7

      3. インストール前のディレクトリで、次のコマンドを実行

        yum - -nogpgcheck downgrade *.rpm
    2. イメージに追加するパッケージ:
      1. newpackagesというディレクトリを作成します。
      2. このディレクトリに次のパッケージをダウンロードします:

        libreswan - 3.20-3.el7

        libgcrypt - 1.5.3-14.el7

        gnutls - 3.3.26-9.el7

        gmp - 6.0.0-15.el7

        nettle - 2.7.1-8.el7

      3. newpackagesディレクトリで、次を実行

         yum - -nogpgcheck localinstall *.rpm

このインストールに使用されるパッケージのURLは次のとおりです:

インストール前:

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-3.28.4-15.el7_4.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-util-3.28.4-3.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-tools-3.28.4-15.el7_4.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-sysinit-3.28.4-15.el7_4.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-softokn-freebl-3.28.3-8.el7_4.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-softokn-3.28.3-8.el7_4.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/openssl-1.0.2k-8.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/openssl-libs-1.0.2k-8.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/openssh-7.4p1-11.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/openssh-clients-7.4p1-11.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/openssh-server-7.4p1-11.el7.x86_64.rpm

新規パッケージ:

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/libreswan-3.20-3.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/libgcrypt-1.5.3-14.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/gnutls-3.3.26-9.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/gmp-6.0.0-15.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nettle-2.7.1-8.el7.x86_64.rpm

カーネルのFIPSモジュールとinitramfs検証インストール。

Rootとして次の手順を実行してください:

  1. dracutの再生成:

    dracut -f -v
  2. デフォルトのカーネル・ブート・コマンド行の最後に、fips引数を追加します:

    1. /etc/default/grubの編集

    2. GRUB_CMDLINE_LINUXで始まる行の最後に、追加

      fips=1 

      コマンドの二重引用符内。

    3. 結果を保存します。

  3. 新規grub.cfgの生成:

    grub2-mkconfig -o /etc/grub2-efi.cfg

SSHを構成して暗号化アルゴリズムを制限します。

  1. sudoしてrootになります。

  2. /etc/ssh/sshd_configを編集します。

  3. ファイルの下部に次の行を追加します:

    Protocol 2

    Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc

    Macs hmac-sha1

  4. インスタンスを再起動します。
  5. インスタンスがリブートしたら、カーネルでFIPSモードが有効になっていることを検証します:
    1. sudoしてrootになります。

    2. 次のコマンドを実行します。

      cat /proc/sys/crypto/fips-enabled

      結果は1になります。

個別の機関ガイダンスで必要に応じてCentOS7/RHEL 7.xシステムをさらに保護するには、OpenSCAPガイドに含まれるチェックリストに従ってください。 このガイドはここにあります : https://static.open-scap.org/ssg-guides/ssg-centos7-guide-index.html

複数のプロファイルのコンプライアンスを評価するためのSTIGは、ここにあります: https://iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx CentOS 7.5リリース向けのRed Hat Linux 7.x STIGを使用します。

Government Cloudの必須VPN接続パラメータ

Government CloudとともにVPN接続を使用する場合は、次のFIPS準拠のIPSecパラメータを使用してIPSec接続を構成する必要があります。

一部のパラメータでは、Oracleは複数の値をサポートし、推奨される1つは「赤いイタリック体」で強調表示されます。

Oracleでは、IKEv1またはIKEv2の次のパラメータがサポートされています。 特定のCPEについてドキュメントをチェックし、IKEv1またはIKEv2に対してCPEがどのパラメータをサポートしているかを確認してください。

フェーズ1 (ISAKMP)

パラメータ オプション
ISAKMPプロトコル

バージョン 1

交換タイプ

メイン・モード

認証方式

事前共有キー

暗号化アルゴリズム

AES-256-cbc

AES-192-cbc

AES-128-cbc

認証アルゴリズム

SHA-2 384

SHA-2 256

SHA-1 (SHAまたはSHA1-96とも呼ばれる)

Diffie-Hellmanグループ

グループ14 (MODP 2048)

グループ19 (ECP 256)

グループ20 (ECP 384) *

IKEセッション・キーの有効期間

28800秒(8時間)

*グループ20は、すべてのOracle Cloud Infrastructureリージョンでサポートされるようになります。

フェーズ2 (IPSec)

パラメータ オプション
IPSecプロトコル

ESP、トンネル・モード

暗号化アルゴリズム

AES-256-gcm

AES-192-gcm

AES-128-gcm

AES-256-cbc

AES-192-cbc

AES-128-cbc

認証アルゴリズム

GCM (Galois/Counter Mode)を使用する場合、GCM暗号化に認証が含まれているため、認証アルゴリズムは必要ありません。

GCMを使用していない場合は、HMAC-SHA-256-128.を使用します。

IPSecセッション・キーの有効期間

3600秒(1時間)

完璧な前方秘密(PFS)

有効,グループ14

OracleのBGP ASN

この項は、FastConnectまたはVPN接続のエッジ・デバイスを構成するネットワーク・エンジニアを対象としています。

Government Cloud用のOracle BGP ASNは、承認レベルによって異なります:

  • Government Cloud: 6142
  • Federal Government Cloud (影響レベル5の認可): 20054