1. Oracle GoldenGate環境の保護
  2. Oracle GoldenGateの保護
  3. セキュリティ・オプションの概要

7 セキュリティ・オプションの概要

これらのセキュリティ機能を使用して、Oracle GoldenGate環境および処理対象のデータを保護できます。

セキュリティ機能 保護の対象 サポートされるデータベース 説明

データ暗号化

次の2つの方法が用意されています。

  • 証跡または抽出ファイルのデータ

  • TCP/IPネットワークを通じて送信されるデータ

マスター・キーとウォレット方式は、これをサポートしているプラットフォームで推奨される方法です。DB2 for i、DB2 z/OSおよびNonStopプラットフォームでは無効です。

ENCKEYS方式は、Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます。DB2 for i、DB2 z/OSおよびNonStopプラットフォームでは、Blowfishを使用する必要があります。

ファイル内、データ・リンク経由およびTCP/IP間のデータを暗号化します。次のいずれかの方法を使用します。

  • 任意のAdvanced Encryption Security (AES)脚注 1暗号:

    AES-128

    AES-192

    AES-256

  • Blowfish脚注2

資格証明ストアのアイデンティティ管理

資格証明ストアでのアイデンティティ管理

データベースへのログイン用にOracle GoldenGateプロセスに割り当てられたユーザーIDとパスワード(資格証明)

資格証明ストアは、この機能をサポートしているプラットフォームで推奨されるパスワード管理方法です。DB2 for i、DB2 z/OSおよびNonStopプラットフォームでは無効です。

ユーザー資格証明は、セキュアなウォレット・ストレージで管理されます。コマンドやパラメータでは、資格証明の別名を指定します。

パスワード暗号化

「コマンドまたはパラメータ・ファイルで使用するパスワードの暗号化」を参照してください

コマンドおよびパラメータ・ファイルに指定され、Oracle GoldenGateプロセスがデータベースへのログインに使用するパスワード。

Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます。DB2 for i、DB2 z/OSおよびNonStopプラットフォームでは、Blowfishを使用する必要があります。その他のプラットフォームで推奨されるパスワード管理方法は、資格証明ストアです。

パスワードを暗号化し、その暗号化されたパスワードをコマンドまたはパラメータ入力で指定できるようにします。次のいずれかの方法を使用します。

  • AES-128

  • AES-192

  • AES-256

  • Blowfish

コマンドの認証

「GGSCIコマンド・セキュリティの構成」を参照してください

GGSCIを通じて発行されるOracle GoldenGateコマンド

Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます。

オペレーティング・システムで保護されたファイル内に認証許可を格納します。CMDSEC (コマンド・セキュリティ)ファイルを構成します。

信頼できる接続

「ターゲット・システムからの接続開始の使用」を参照してください

ファイアウォールの先にある信頼されないOracle GoldenGateホスト・マシンへのTCP/IP接続。

Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます。

次のいずれかの方法を使用します。

  • AES-128

  • AES-192

  • AES-256

  • Blowfish

Managerセキュリティ

Managerの保護

Managerのアクセス・ルール。

Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます。

次を保護することができます。

  • GGSCI: GGSCIコマンドライン・インタフェースへのアクセスを保護します。

  • MGR | MANAGER: Managerによって制御されるすべてのプロセス間コマンド(STARTSTOPKILLなど)へのアクセスを保護します

  • REPLICAT: Replicatプロセスへの接続を保護します。

  • COLLECTOR | SERVER: Collectorプロセスを動的に作成する機能を保護します。

CryptoEngine

要件に適合する暗号化ライブラリを選択できます。ポータビリティ(Classic)、ポータビリティおよびFIPS-140標準の準拠(FIPS140)、または拡張スループット(Native)。

Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます(ClassicおよびFIPS140)。

Oracle GoldenGateでサポートされているLinux.x64およびWindows.x64上のすべてのデータベースで使用できます(Native)。

Oracle GoldenGateプロセスで使用する暗号化ライブラリを選択します。

脚注1

Advanced Encryption Standard (AES)は、高度なデータ・セキュリティを必要とする政府機関やその他の組織で使用されている対称鍵暗号化標準です。128ビット鍵暗号、192ビット鍵暗号、256ビット鍵暗号という3種類の128ビット・ブロック暗号が用意されています。32ビットのプラットフォーム上で稼働するOracle以外のデータベースでAESを使用するには、ライブラリ・パス変数を使用して、Oracle GoldenGateインストール・ディレクトリのlibサブディレクトリのパスを設定する必要があります。異なるプラットフォームの場合、ライブラリ・パス変数は異なります。Linuxの場合、LD_LIBRARY_PATHです。IBM iおよびAIXの場合は、SolarisではLIBPATH、SHLIB_PATH変数、WindowsではPATH変数です。64ビットのプラットフォームでは必要ありません。

脚注2

Blowfish暗号化: 鍵を使用した対称ブロック暗号です。Oracle GoldenGateによるBlowfishの実装では、ブロック・サイズは64ビット、鍵サイズは32から256ビットの可変長です。

親トピック: Oracle GoldenGateの保護