第I部 マイクロサービス・アーキテクチャの保護
この部は、マイクロサービス・アーキテクチャ(MA)環境を保護するために使用します。
MAサービス・インタフェースは、HTTP環境内でRESTアーキテクチャのスタイルを使用します。RESTは、HTTPを使用して個別の転送実装は使用しないスタイルであるため、HTTPに該当するセキュリティ関連の問題と解決方法はRESTインタフェースにも同じように適用されます。これには、HTTPベースのリクエスト、レスポンス、セッション、cookie、ヘッダー、コンテンツに関連する一般的なセキュリティの保証の他に、クロスサイト・リクエスト・フォージェリ、UIの修正、委任認証などの問題への対処が含まれます。TLS/SSLを有効化すると機密性や整合性(オプション)は保証されますが、一般的な構成では双方向の整合性は保証されません。セキュリティ構成のネゴシエーションにより、Oracleセキュリティ標準で認められているように、アイデンティティ検証、再ネゴシエーション、失効の要件をさらに詳しく指定できます。
通信トランスポート
-
TCP: ネットワーク通信で使用されます。
-
UDT: データ伝達のために使用される追加のプロトコルです。これは高性能のUDPベース・データ転送プロトコルであり、大容量のデータセットを高速WAN上で転送します。
-
WebSockets 2.0: トランスポート・プロトコルではなく疑似的なトランスポートです。クライアントの承諾なしでサーバーがコンテンツをクライアントに送信することができるため、永続的な接続上での双方向メッセージングが可能になります。これはHTTPSポート上で作動し、ネットワーク・セキュリティ管理を簡略化します。
通信セキュリティ
MAサーバーは、リクエストがサーバーに送信されたとき、クライアントに送信されるすべてのレスポンス・メッセージの発信元です。MAサーバーは、プロキシとして作動することや、他のアプリケーションで生成されたレスポンス・メッセージのトンネリングをサポートすることはありません。セキュアなネットワーク通信は、Oracleで承認されたTLS (Transport Layer Security)またはDTLS (Datagram Transport Layer Security)ライブラリを使用します。MAのOracleプラットフォームはOracle SSLツールキット(NZ)を使用し、これにはOracle Walletが統合されています。
Oracle以外のプラットフォームでは、入手できる場合にはOracle SSLツールキットが使用されます。Oracle SSLツールキットが入手できない場合は、かわりにSSLツールキットが使用されます。
すべてのMAサーバーはクライアントとサーバーの認証を実装します。ただし、クライアントとサーバーの認証を行うことができるのは、ネットワーク・セキュリティが構成されて有効になっている場合のみです。MAサーバーは、ネットワーク・セキュリティが有効になっていれば、サーバーまたはクライアントの認証を使用しなくても構成できます。
インバウンドおよびアウトバウンドのセキュリティ構成
セキュリティ構成にはインバウンドとアウトバウンドがあります。インバウンド構成では、サーバーに関連する固有の動作を構成します。サーバーはリクエストを受け取り、情報またはメッセージで応答します。アウトバウンド・セキュリティ構成では、特定の動作がクライアントに関連付けられていると仮定します。
クライアントはリクエストを発行し、サーバーからのレスポンス情報を受け取ります。Distribution Serverのみが、アウトバウンド・セキュリティ要件を持つクライアントとして機能します。他のサーバーはすべてサーバー専用です。たとえば、MAでは、Distribution Serverはインバウンド構成のセキュア接続を介してクライアントからのサービス・リクエストを受け取る一方で、アウトバウンド構成のセキュア接続を介してReceiver Serverに接続し、証跡データを送信します。
トピック:
- MAセキュリティ機能
これらのMAセキュリティ機能について学習します。 - ネットワーク
Oracle GoldenGateのネットワークを保護する方法を学習します。 - 認証と認可
MAのセキュリティと認可のモデルは、通信セキュリティ(機密性および整合性)と認可(認証および権限)がどのように構成され実装されるかを宣言し、定義します。 - 通信セキュリティ
通信セキュリティは、TCP/IPベースのネットワークなどの通信チャネル上で送信される情報の機密性と整合性です。 - サーバーIDとデプロイメントID
スキームを使用してMAのサーバーおよびデプロイメントを一意に識別する必要があります。 - デプロイメントの保護
セキュアなデプロイメントとセキュアでないデプロイメントの設定を選択できます。セキュアなデプロイメントでは、RESTful APIコールを発行し、証跡データをSSL/TLSを介してDistribution ServerとReceiver Server間で転送します。既存のウォレットと証明書を使用することも、新しいものを作成することもできます。