MAのセキュリティ機能

これらのMAのセキュリティ機能について学習します。

• 接続フィルタリング: これは、接続ポリシー指定に基づいて候補の接続が条件を満たすかどうか確認してフィルタリングします。

• 証明書フィルタリング: 接続フィルタリングと似ていますが、この機能では、接続リクエストの受入れまたは拒否の際に証明書が条件を満たすかどうかを確認できます。

• フォールバック制約: MAサーバー内のネットワーク・セキュリティ構成では、プロトコル・バージョンのネゴシエーション・フォールバック動作を構成して制約を設定し、プロトコル・バージョンのネゴシエーションが行われるケースやタイミングを制御できます。

• IPv6サポート: Oracle GoldenGate ネットワーク実装では、ネイティブのIPv6アドレス指定標準がサポートされます。

• セッション管理: MAサービス・インタフェースのリクエストはRESTおよびステートレスです。つまり、リクエスト間にサーバー上に格納されるクライアント・アプリケーション・コンテキストはありません。アプリケーション・セッションの状態はすべてクライアントによって保持されます。

• ユーザー資格証明の格納: MAの実装では、Oracle Walletや関連するアイデンティティ管理サービスを使用してセキュリティ情報を格納することで、これに対応します。承認されている暗号化テクノロジを構成して、格納済のユーザー・データと送受信中のユーザー・データの両方を保護します。通常、格納済のデータとはファイル・システムのファイル(キャプチャ・データ証跡ファイルなど)を意味し、送受信中のデータとは非永続的通信チャネル上のピア間で送られるデータを意味します。

• シングル・ページ・アプリケーション(SPA)とWebAppセキュリティ: Service Managerへの最初の接続でHTTPSプロトコルを使用すると、ブラウザはSSL/TLSを使用して接続します。クライアントが証明書を提示する必要があるとサーバーが構成されている場合は、適切なクライアント証明書を提示するようにブラウザを構成する必要があります。

• 暗号スイート: MAの暗号スイートはデプロイメント時に構成されます。サーバーごとにServer Manager RESTインタフェースを使用して暗号スイートの値を変更できます。または、MAブートストラップ構成オーバーライド・オプション、またはコマンドライン構成オーバーライド・オプションのいずれかを使用して更新できます。ユーザーが使用できる暗号スイートのリストは環境によって異なります。これにより、十分なオーバーラップが確保され、必要なセキュリティ・レベルでセキュアな通信を実現することができます。

  通常、クライアント・プラットフォームおよびサーバー・プラットフォームの両方で複数の暗号スイートがサポートされます。このため、クライアントとサーバーが使用する暗号スイートをネゴシエーションして同意できる確率が向上します。サーバー上で使用可能な暗号スイートのセットは、NZツールキット(または代替のTLS/SSLツールキット)によって検出されます。複数の暗号スイートがデフォルト・セットとして設定されており、Oracle GoldenGateで配布されているJavaランタイム環境に依存しています。デフォルト・セットは、最大のセキュリティ保護レベルとパフォーマンスを備えた、最も一般的な暗号スイートを指定しようとします。ただし、実際には高いセキュリティ・レベルか高いパフォーマンスのいずれかを選択する必要があります。この2つは競合する属性であり、セキュリティとパフォーマンスのトレードオフが生じるためです。