Oracle Cloud Infrastructureドキュメント

Oracle Cloud Infrastructure Government Cloud顧客の情報

このトピックでは、Oracle Cloud Infrastructure Government Cloudの顧客に固有の情報を示します。

Government Cloudリージョン

次の表に、Oracle Cloud Infrastructure Government Cloudリージョンのリージョン名および識別子を示します:

リージョン名 リージョンのロケーション リージョン・キー レルム・キー 可用性ドメイン
us-langley-1 アッシュバーン、VA LFI OC2 1
us-luke-1 フェニックス、AZ LUF OC2 1

いずれかのGovernment Cloudリージョンにテナンシが作成された後で、Government Cloudの他のリージョンにサブスクライブできます。 Government Cloudのテナンシは、商用リージョンにサブスクライブできません。 リージョンのサブスクライブの詳細は、「リージョンの管理」を参照してください。

Government Cloud コンソール・サインインのURL

Oracle Cloud Infrastructure Government Cloudにサインインするには、サポートされているブラウザに次のいずれかのURLを入力します:

https://console.us-langley-1.oraclegovcloud.com/

https://console.us-luke-1.oraclegovcloud.com/

Oracle Cloud Infrastructure Government Cloudでサポートされていないサービス

次のサービスは、現在Government Cloudのテナンシには使用できません:

「コア・インフラストラクチャ」のサービスおよび機能は使用できません:

  • 「コンピュート」サービスの機能:
    • 自動スケーリング
  • 「データ転送」サービス
  • 「ファイル・ストレージ」サービス

「データベース」サービスは使用できません:

  • Autonomous Data Warehouse
  • Autonomous Transaction Processing

「ソリューションおよびプラットフォーム」サービスは使用できません:

  • ストリーミング
  • リソース・マネージャ
  • 電子メール配信
  • 通知
  • DNSゾーン管理
  • Traffic Management Steering Policies
  • WAF service
  • ヘルス・チェック
  • モニタリング
  • Container Engine for Kubernetes
  • レジストリ
  • マーケットプレイス

「ガバナンスと管理」の機能はサポートされていません

  • Oracle Identity Cloud Serviceを使用した自動フェデレーション
  • お知らせ

インフラストラクチャ・ツール

  • Oracle Cloud Infrastructure Terraformプロバイダ

Oracle SaaSおよびPaaSサービスとの統合(ここにリストされているサービスも含む): Oracle Platform Servicesの開始

共有職責

Oracle Cloud Infrastructure Government Cloudでは、そのエンタープライズ・クラウド・サービスを保護するための、クラス最高のセキュリティ・テクノロジおよび操作プロセスが提供されています。 ただし、Oracle Cloud Infrastructure Government Cloudでワークロードを安全に実行するには、セキュリティおよびコンプライアンスに関する注意が必要です。 設計上、Oracleはクラウド・インフラストラクチャおよびオペレーション(クラウド・オペレータのアクセス制御、インフラストラクチャ・セキュリティ・パッチなど)のセキュリティを提供しており、クラウド・リソースを安全に構成する責任があります。 クラウド内のセキュリティは、お客様とOracleの間の共通の責任です。

Oracle Cloudでの共有職責の詳細は、次のホワイト・ペーパーを参照してください:

テナンシのアイデンティティ・プロバイダの設定

Government Cloudカスタマは、機関のコンプライアンス要件を満たすアイデンティティ・プロバイダを持込み、一般的なアクセス・カード/個人識別情報検証カード(CAC/PIV)認証をサポートする必要があります。 CAC/PIV認証もサポートするSAML 2.0準拠のアイデンティティ・プロバイダを使用してOracle Cloud Infrastructureをフェデレートできます。 フェデレーションの設定手順は、「アイデンティティ・プロバイダのフェデレート」を参照してください。

Oracle Cloud Infrastructureのデフォルト管理者ユーザーおよび他のすべてのフェデレーテッド・ユーザーを削除

Oracleアカウントおよびアイデンティティ・ドメインに組織がサインアップすると、Oracleによってそのアカウントに「デフォルト管理者」が設定されます。 この個人は、社内の最初のIAMユーザーで、テナンシに対する完全な管理者アクセス権を持ちます。 このユーザーはフェデレーションを設定できます。

選択したアイデンティティ・プロバイダでフェデレーションが正常に設定されたら、テナンシの設定を支援するために、デフォルトの管理者ユーザーおよびその他のIAMサービスのローカル・ユーザーを削除できます。 ローカルの権限のないユーザーを削除すると、選択したアイデンティティ・プロバイダのユーザーのみがOracle Cloud Infrastructureにアクセスできるようになります。

デフォルトの管理者を削除するには:

  1. Idプロバイダを介してコンソールにサインインします。

    追加詳細
  2. 「ナビゲーション・メニュー」を開きます。 ガバナンスと管理の下で、アイデンティティに行き、「ユーザー」をクリックします。 ユーザーのリストが表示されます。
  3. 「ユーザー・タイプ」フィルタで、「ローカル・ユーザー」のみを選択します。
  4. 各ローカル・ユーザーについて、アクション・アイコン(3ドット)に移動し、「削除」をクリックします。

共通アクセス・カード/パーソナル・アイデンティティ検証カードを使用したコンソールへのサインイン

アイデンティティ・プロバイダでCAC/PIV認証を設定し、Oracle Cloud Infrastructureに正常にフェデレートしたら、CAC/PIV資格証明を使用してOracle Cloud Infrastructure コンソールにサインインできます。 実装の詳細は、アイデンティティ・プロバイダのドキュメントを参照してください。

一般的に、サイン・イン・ステップは次のとおりです:

  1. CAC/PIVカードをカード・リーダーに挿入します。
  2. Oracle Cloud Infrastructure 「コンソール・サインイン・ページ」に移動します。
  3. プロンプトが表示されたら、「クラウド・テナント」の名前を入力し、「続行」をクリックします。
  4. シングル・サインオン・プロバイダを選択して、「続行」をクリックします。
  5. アイデンティティ・プロバイダのサインイン・ページで、適切なカード(PIVカードなど)を選択します。
  6. 証明書ピッカーが表示されている場合は、組織で設定されている適切な証明書またはその他の属性を選択します。
  7. プロンプトが表示されたら、PINを入力します。

IPv6 Virtual Cloud Networksのサポート

Government Cloudの顧客には、IPv6でのVCNのアドレス指定を可能にするオプションがあります。 詳細は、「IPv6アドレス」を参照してください。

コンピュート・ホストのセキュア・アクセスの設定

サード・パーティ・ツールを使用してCAC/PIV認証を設定することで、コンピュート・ホストに安全に接続するための複数ファクタ認証を有効にできます。 たとえば、PuTTY-CAC for WindowsやOpen SC for macOSなどのツールがあります。 詳細は、米国政府のwebサイトである「PIV使用ガイドライン」を参照してください。

オペレーティング・システムでのFIPSモードの有効化

Oracle Cloud Infrastructure Government Cloudのお客様は、「コンピュート」ホスト上のオペレーティング・システムでFIPSモードを有効にする必要があります。 オペレーティング・システムを連邦情報処理規格(FIPS)パブリケーション140-2に準拠させるには、オペレーティング・システムのガイドラインに従ってください:

Oracle Linux

「Oracle LinuxでのFIPSモードの有効化」で提供されているガイダンスに従ってください。

Ubuntu

「Ubuntuのセキュリティ証明」で提供されているガイダンスに従ってください。

Windows Server 2008と2012

「Webコンソールとレポート・サーバー接続のデータ暗号化」で提供されているガイダンスに従ってください。

Windows Server 2016

最初に、「FIPS準拠アルゴリズムの使用方法」で提供されているガイダンスに従ってください。

次に、Microsoftドキュメントの「FIPS 140検証」に移動し、「システム・インテグレータの情報」のトピックに移動します。 「ステップ2 - FIPSローカル/グループのセキュリティ・ポリシー・フラグの設定」の指示に従って、FIPS有効化を完了します。

CentOS

次のガイダンスは、CentOS 7.5でFIPSを有効にするためのものです。 これらの手順はVMとベア・メタル・インスタンスの両方に有効で、NATIVEモードのみに有効です。 これらのプロシージャは、必要に応じて、エミュレートされたモードとPVモードの両方で変更できます。 この手順では、正確なFIPS暗号化モジュールEXCEPTカーネルを含むインスタンスを提供します。 ただし、カーネル・モジュールは同じメジャー/マイナー・バージョンですが、改訂が高速化されているため、ほとんどのFIPS準拠モデルに準拠しているとみなされます。

この手順の完了後、Oracleではシステム全体のyum更新を実行しないことを強くお薦めします。 システム全体の更新により、ここに含まれているFIPSモジュールが削除されます。

カーネル、FIPSモジュールおよびFIPSソフトウェアのバージョンが、最小バージョンであることを確認します:

  1. 現在のバージョンのカーネル・パッケージが要件を満たしていることを検証します:

    1. 現在のバージョン: kernel-3.10.0-693.el7
    2. rpm -qa | grep kernel-3の実行

  2. 次を実行して、メジャー・バージョンまたはマイナー・バージョンが要件と同じかどうかを検証します。

    1. 実行

       yum list <package_name>
    2. メジャー/マイナー・バージョンが必須バージョンと一致することを確認してください。

    必要なパッケージおよびバージョンは次のとおりです:

    • fipscheck - fipscheck-1.4.1-6.el7
    • hmaccalc - hmaccalc-0.9.13-4.el7

    • dracut-fips - dracut-fips-033-502.el7

    • dracut-fips-aesni - dracut-fips-aesni-033-502.el7

    c インストールされていないパッケージのバージョンごとに実行

     yum install <package_name>
  3. 次のパッケージをダウンロードしてインストールします:
    1. パッケージはすでにイメージの一部としてインストールされています:
      1. preinstallというディレクトリを作成します。

      2. このディレクトリに次のパッケージをダウンロードします:

        openssl, openssl-libs - 1.0.2k-8.el7

        nss, nss-tools, nss-sysinit - 3.28.4-15.el7_4

        nss-util - 3.28.4-3.el7

        nss-softokn, nss-softokn-freebl - 3.28.3-8.el7_4

        openssh, openssh-clients, openssh-server - 7.4p1-11.el7

      3. インストール前のディレクトリで、次のコマンドを実行

        yum - -nogpgcheck downgrade *.rpm
    2. イメージに追加するパッケージ:
      1. newpackagesというディレクトリを作成します。
      2. このディレクトリに次のパッケージをダウンロードします:

        libreswan - 3.20-3.el7

        libgcrypt - 1.5.3-14.el7

        gnutls - 3.3.26-9.el7

        gmp - 6.0.0-15.el7

        nettle - 2.7.1-8.el7

      3. newpackagesディレクトリで、次を実行

         yum - -nogpgcheck localinstall *.rpm

このインストールに使用されるパッケージのURLは次のとおりです:

インストール前:

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-3.28.4-15.el7_4.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-util-3.28.4-3.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-tools-3.28.4-15.el7_4.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-sysinit-3.28.4-15.el7_4.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-softokn-freebl-3.28.3-8.el7_4.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-softokn-3.28.3-8.el7_4.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/openssl-1.0.2k-8.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/openssl-libs-1.0.2k-8.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/openssh-7.4p1-11.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/openssh-clients-7.4p1-11.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/openssh-server-7.4p1-11.el7.x86_64.rpm

新規パッケージ:

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/libreswan-3.20-3.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/libgcrypt-1.5.3-14.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/gnutls-3.3.26-9.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/gmp-6.0.0-15.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nettle-2.7.1-8.el7.x86_64.rpm

カーネルのFIPSモジュールとinitramfs検証インストール。

Rootとして次の手順を実行してください:

  1. dracutの再生成:

    dracut -f -v
  2. デフォルトのカーネル・ブート・コマンド行の最後に、fips引数を追加します:

    1. /etc/default/grubの編集

    2. GRUB_CMDLINE_LINUXで始まる行の最後に、追加

      fips=1 

      コマンドの二重引用符内。

    3. 結果を保存します。

  3. 新規grub.cfgの生成:

    grub2-mkconfig -o /etc/grub2-efi.cfg

SSHを構成して暗号化アルゴリズムを制限します。

  1. sudoしてrootになります。

  2. /etc/ssh/sshd_configを編集します。

  3. ファイルの下部に次の行を追加します:

    Protocol 2

    Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc

    Macs hmac-sha1

  4. インスタンスを再起動します。
  5. インスタンスがリブートしたら、カーネルでFIPSモードが有効になっていることを検証します:
    1. sudoしてrootになります。

    2. 次のコマンドを実行します。

      cat /proc/sys/crypto/fips-enabled

      結果は1になります。

個別の機関ガイダンスで必要に応じてCentOS7/RHEL 7.xシステムをさらに保護するには、OpenSCAPガイドに含まれるチェックリストに従ってください。 このガイドはここにあります : https://static.open-scap.org/ssg-guides/ssg-centos7-guide-index.html

複数のプロファイルのコンプライアンスを評価するためのSTIGは、ここにあります: https://iase.disa.mil/stigs/os/unix-linux/Pages/index.aspx CentOS 7.5リリース向けのRed Hat Linux 7.x STIGを使用します。

Government Cloudに必要な「VPN接続」パラメータ

Government CloudとともにVPN接続を使用する場合は、次のfips準拠のIPSecパラメータを使用してIPSec接続を構成する必要があります。

Government Cloud: ISAKMPポリシー・オプション

一部のパラメータでは、Oracleは複数の値をサポートし、推奨される1つは「赤いイタリック体」で強調表示されます。

  • ISAKMPプロトコル・バージョン1
  • 交換タイプ: メイン・モード
  • 認証メソッド: pre-shared-keys
  • 暗号化: AES-256-cbc, AES-192-cbc, AES-128-cbc
  • 認証アルゴリズム: SHA-384、SHA-256、SHA1 (SHAまたはSHA1-96とも呼ばれる)
  • Diffie-Hellmanグループ: グループ14、グループ19、「グループ20」
  • IKEセッション・キーの有効期間: 28800秒(8時間)

Government Cloud: IPSecポリシー・オプション

一部のパラメータでは、Oracleは複数の値をサポートし、推奨される1つは「赤いイタリック体」で強調表示されます。

  • IPSecプロトコル: ESP, tunnel-mode
  • 暗号化: AES-256-cbc, AES-192-cbc, AES-128-cbc, AES-128-gcm, AES-192-gcm, AES-256-gcm
  • 認証アルゴリズム: HMAC-SHA-256-128 (GCM暗号化(Galois/Counter Mode)を使用している場合は、GCMに認証が組み込まれています)
  • IPSecセッション・キーの有効期間: 3600秒(1時間)
  • 完璧な前方秘密(PFS): 有効,グループ14

Oracle's BGP ASN

FastConnectまたはVPN接続のエッジ・デバイスを構成するネットワーク・エンジニア用: Government CloudのOracle BGP ASNは6142です。