3 セキュアな環境の計画

Oracle Exadata Database Machineが到着する前に、セキュリティ上の措置が実施されている必要があります。

到着後は、セキュリティ上の措置を定期的にレビューおよび調整し、組織の最新のセキュリティ要件に適合させる必要があります。

• セキュアな環境に関する考慮事項
  Oracle Exadata Database Machineには、組織の特定のポリシーと要件を満たすように調整できる、多くの階層化されたセキュリティ制御が含まれています。
• デフォルトのセキュリティ設定の理解
  Oracle Exadata System Softwareは、多くのデフォルトのセキュリティ設定を使用してインストールされます。
• ユーザー・アカウントの理解
  Oracle Exadata Database Machineのコンポーネントを管理するためにいくつかのユーザーが使用されます
• デフォルトのパスワード要件
  Oracle Exadata Deployment Assistant (OEDA)は、Oracle Exadata Database Machineにデフォルトのパスワード・ポリシーを実装します。
• OEDAによって有効になるデフォルト・セキュリティ設定
  Oracle Exadata Deployment Assistant (OEDA)には、Oracle Exadata Database Machineのハードウェアのセキュリティを強化するための手順が含まれています。

3.1 セキュアな環境に関する考慮事項

Oracle Exadata Database Machineには、組織の特定のポリシーと要件を満たすように調整できる、数多くの階層化されたセキュリティ制御が含まれています。

組織はこれらの機能を最大限に活用する方法を評価し、これらの機能を既存のITセキュリティ・アーキテクチャに統合する必要があります。IT管理の効果を高めるには、リスク管理および管理上の措置を確実に施行するための人材、プロセスおよび技術を検討する必要があります。措置およびポリシーは、Oracle Exadata Database Machineの計画、インストールおよびデプロイメントの各段階で設計し、レビューする必要があります。

Oracle Exadata Database Machineに統合されている機能の多くはデフォルトでセキュアなデプロイメントを実現するために構成されていますが、組織には独自のセキュリティ構成標準があります。Oracle Exadata Database Machineコンポーネントに対するセキュリティ設定変更をテストする前に、Oracleセキュリティ情報を再確認することが重要です。特に、既存の標準を改善できる場所、およびサポート問題によって特定のコンポーネントに加えることができる変更が制限される可能性がある場所を特定することが重要です。

注意:

攻撃面を最小化するために、Oracle Exadata Storage Serverでは、その管理インタフェース以外でのカスタマイズをサポートしていません。ストレージ・サーバーではカスタム・ユーザーは許可されません。サーバーは特定の目的で最適化および強化されています。

• アイデンティティおよびアクセス管理に関する考慮事項
  Oracle Exadata Database Machineコンポーネントおよびデプロイされたサービスを組織の既存のアイデンティティおよびアクセス管理アーキテクチャに統合する際は、統合されたアプローチを使用する必要があります。
• ネットワーク・セキュリティに関する考慮事項
  Oracle Exadata Database Machineが到着する前に、ネットワーク・セキュリティの考慮事項について検討してください。

3.1.1 アイデンティティおよびアクセス管理に関する考慮事項

Oracle Exadata Database Machineコンポーネントおよびデプロイされたサービスを組織の既存のアイデンティティおよびアクセス管理アーキテクチャに統合する際は、統合されたアプローチを使用する必要があります。

Oracle Databaseでは、既存のアイデンティティおよびアクセス管理デプロイメントとの統合を可能にする、数多くのオープン・プロトコルおよび標準プロトコルをサポートしています。アプリケーションの可用性を確保するために、統合されたアイデンティティおよびアクセス管理システムを使用できる必要があり、使用できない場合、Oracle Exadata Database Machineの可用性が損なわれる可能性があります。

Oracle Exadata Database Machineが到着する前に、次のセキュリティ上の考慮事項について検討してください。これらの考慮事項は、Oracle Exadata Database Machineに関するOracleベスト・プラクティスに基づいています。

• root、grid、oracleなどの共通のオペレーティング・システム・アカウントに直接ログインする機能は、無効にする必要があります。各管理者に対して個別のユーザー・アカウントを作成する必要があります。個別のアカウントでログインした後、管理者は必要に応じてsudoを使用して特権コマンドを実行できます。

• Oracle Exadata Database Machine内の可視性を高めるための、ホストベースの侵入検知および侵入防止システムの使用。Oracle Databaseのファイングレイン監査機能を使用することによって、ホストベースのシステムが不適切なアクションおよび未認可のアクティビティを検出できる可能性が高まります。

• 相関、分析およびレポートの向上に向けてセキュリティ関連情報を集約するための一元化された監査およびログ・リポジトリの使用。Oracle Exadata Storage Serverは、CELL属性syslogConfによってこれをサポートします。データベース・サーバーは、通常のシステム構成方法を使用して一元化されたロギングをサポートします。

• 透過的データ暗号化(TDE)、Oracle Recovery Manager (RMAN)暗号化など、バックアップのための暗号化機能の使用。

データおよびシステムのセキュリティは、ユーザー・アクセスとパスワードのセキュリティによって低下します。ユーザー・セキュリティを最大化するために、次のガイドラインをお薦めします。

• Oracle Grid InfrastructureとOracle Databaseソフトウェアのインストールに個別のソフトウェア所有者アカウントを作成します。これらのアカウントは、Oracle Exadata Database Machineのデプロイ時に使用する必要があります。DBを有効範囲にしたセキュリティを実装するには、Oracle Grid InfrastructureとOracle Databaseソフトウェアのインストール用に個別のソフトウェア所有者が必要です。

• 最小要件を超える複雑さのパスワードを強制するユーザー・パスワード・ポリシーを実装します。
• パスワード・エージングとアカウントのロックを実装します。Oracle Exadata System Softwareリリース19.1.0以降では、DBSERVERおよびCELL属性を使用して、次のアカウント・セキュリティ機能を構成できます。
  • ユーザーのパスワードは、指定した日数後に期限切れになります。ユーザー・パスワードのデフォルトの有効期限は0です。0の場合、パスワードは期限切れになりません。

  • パスワードが期限切れになる前の指定した日数の間、ユーザーがログインするときに警告メッセージが表示されます。ユーザー・アカウントのパスワード期限切れ警告時間は、デフォルトで7日間です。

  • パスワードの有効期限が切れてから、指定した日数の間、ユーザーがログインするとパスワードの変更を求められます。サーバーのremotePwdChangeAllowed属性で、パスワードの変更にサービス・リクエストが不要と指定している場合、ユーザーはすぐにパスワードを変更できます。そうでない場合、パスワードを変更するにはユーザーがサーバー管理者に連絡する必要があります。

  • パスワードの有効期限が切れると、ユーザー・アカウントは指定された日数の間ロックされます。ユーザー・アカウントのロック時間は、デフォルトで7日間です。アカウントがロックされた後でアカウントのロックを解除するには、サーバー管理者への連絡が必要になります。

3.1.2 ネットワーク・セキュリティに関する考慮事項

Oracle Exadata Database Machineが到着する前に、次のネットワーク・セキュリティ上の考慮事項について検討してください。

次の考慮事項は、Oracle Exadata Database Machineに関するOracleベスト・プラクティスに基づいています。

• Oracle Exadata Database Machineとの間のネットワーク・トラフィックのフローを監視するための、データベース・サーバー上での侵入防止システムの使用。このようなシステムを使用すると、疑わしい通信、潜在的な攻撃パターンおよび未認可アクセスの試みを特定できます。

• Oracle Exadata Database Machineとの間での情報のフローを保護するための、アプリケーション・レイヤー・ファイアウォールおよびネットワーク・レイヤー・ファイアウォールの使用。ネットワーク・ポートのフィルタリングにより、システムおよびサービスへの未認可アクセスを防止する第1の防御が提供されます。

  Ethernet仮想ローカル・エリア・ネットワーク(VLAN)を使用したネットワークレベルのセグメンテーションと、インバウンドおよびアウトバウンドのネットワーク・ポリシーをホスト・レベルで強制するホストベースのファイアウォール。セグメンテーションを使用すると、Oracle Exadata Database Machineのコンポーネント間通信のファイングレイン制御が可能になります。Oracle Exadata Storage Serverには構成済のソフトウェア・ファイアウォールがデフォルトで含まれます。ソフトウェア・ファイアウォールを使用してデータベース・サーバーを構成できます。

• Oracle Data Guardスタンバイ・データベースへのトラフィックを暗号化するためのOracle Advanced Securityなどの暗号化機能の使用。

データおよびシステムのセキュリティは、脆弱なネットワーク・セキュリティによって低下します。Ethernetネットワーク・セキュリティを最大化するために、次のガイドラインをお薦めします。

• 管理サービスと運用サービスを現在のポリシーと一致する暗号化プロトコルおよびキー長を使用するように構成します。Oracle Exadata Database Machineによって提供される暗号化サービスは、ハードウェア・アクセラレーションを利用して、パフォーマンスに影響を与えずにセキュリティを向上させることができます。

• Oracle Exadata Database Machineのスイッチを管理し、ネットワーク上のデータ・トラフィックから分離します。この分離は、バンド外とも呼ばれます。

• 仮想ローカルエリアネットワーク(VLAN)を使用することによって、機密性のあるクラスタをネットワークのその他の部分から切り離します。これにより、それらのクライアントやサーバーに格納された情報にアクセスされる可能性が少なくなります。

• 静的VLAN構成を使用します。

• スイッチの未使用のポートは無効にし、未使用のVLAN番号を割り当てます。

• トランクポートには、一意のネイティブVLAN番号を割り当てます。

• VLANでのトランク経由のトランスポートは、どうしても必要な場合のみにします。

• VLAN Trunking Protocol (VTP)は、可能な場合は無効化します。無効化できない場合は、VTPに対して管理ドメイン、パスワードおよびプルーニングを設定します。さらに、VTPを透過モードに設定します。

• TCPスモール・サーバーやHTTPなど、不要なネットワーク・サービスは無効にします。必要なネットワーク・サービスのみを有効にして、セキュアに構成します。

• 提供されるポート・セキュリティ機能のレベルはネットワーク・スイッチによって異なります。これらのポート・セキュリティ機能がある場合は、使用してください。

• 接続された1つ以上のデバイスのメディア・アクセス制御(MAC)アドレスをスイッチの物理ポートに固定します。スイッチのポートを特定のMACアドレスに固定すると、スーパーユーザーは不正アクセス・ポイントを利用するネットワークへのバックドアを作成できません。

• 指定したMACアドレスからのスイッチへの接続を無効にします。

• スイッチのポートごとに現在の接続に基づいてセキュリティを設定できるように、各ポートの直接接続を使用します。

ネットワーク図

図3-1は、Oracle Exadata Database Machine X7-2およびX8-2のデフォルトのネットワークを示しています。各Oracle Exadata Database Machineには、少なくとも2つのイーサネット・ネットワークと1つのInfiniBandネットワークが必要です。

図3-1 結合クライアント・アクセスを使用するOracle Exadata Database Machine X7-2およびX8-2のネットワーク

「図3-1 結合クライアント・アクセスを使用するOracle Exadata Database Machine X7-2およびX8-2のネットワーク」の説明

図3-2は、Oracle Exadata Database Machine X6-2、X5-2、X4-2、X3-2およびX2-2のデフォルトのネットワークを示しています。各Oracle Exadata Database Machineには、少なくとも2つのイーサネット・ネットワークと1つのInfiniBandネットワークが必要です。

図3-2 結合クライアント・アクセスを使用するOracle Exadata Database Machine X6-2、X5-2、X4-2、X3-2およびX2-2のネットワーク

「図3-2 結合クライアント・アクセスを使用するOracle Exadata Database Machine X6-2、X5-2、X4-2、X3-2およびX2-2のネットワーク」の説明

図3-3は、Oracle Exadata Database Machine X6-8、X5-8およびX4-8フル・ラックのデフォルトのネットワークを示しています。各Oracle Exadata Database Machineには、少なくとも2つのイーサネット・ネットワークと1つのInfiniBandネットワークが必要です。

図3-3 結合クライアント・アクセスを使用するOracle Exadata Database Machine X6-8、X5-8およびX4-8フル・ラックのネットワーク

「図3-3 結合クライアント・アクセスを使用するOracle Exadata Database Machine X6-8、X5-8およびX4-8フル・ラックのネットワーク」の説明

図3-4は、Oracle Exadata Database Machine X3-8 フル・ラックおよびOracle Exadata Database Machine X2-8フル・ラックのデフォルトのネットワークを示しています。各Oracle Exadata Database Machineには、少なくとも2つのイーサネット・ネットワークと1つのInfiniBandネットワークが必要です。

図3-4 結合クライアント・アクセスを使用するOracle Exadata Database Machine X3-8 フル・ラックおよびOracle Exadata Database Machine X2-8フル・ラックのネットワーク図

「図3-4 結合クライアント・アクセスを使用するOracle Exadata Database Machine X3-8フル・ラックおよびOracle Exadata Database Machine X2-8フル・ラックのネットワーク図」の説明

3.2 デフォルトのセキュリティ設定の理解

Oracle Exadata System Softwareは、多数のデフォルトのセキュリティ設定を使用してインストールされます。

可能かつ現実的な場合は、常に、セキュアなデフォルト設定を選択して構成します。Oracle Exadata Database Machineでは、次のデフォルト設定が使用されます。

• 攻撃面を縮小するために、最小限のソフトウェアがインストールされます。

• Oracle Databaseのセキュアな設定が、Oracleベスト・プラクティスを使用して開発および実装されています。

• パスワード・ポリシーによって、最小限のパスワードの複雑度が強制されます。

• ログイン試行が失敗すると、設定された回数試行が失敗した後、ロックアウトが発生します。

• オペレーティング・システムのすべてのデフォルトのシステム・アカウントはロックされ、ログインが禁止されます。

• suコマンドの使用が制限されています。

• ブート・ローダーのインストールがパスワードで保護されています。

• インターネット・サービス・デーモン(inetd/xinetd)を含むすべての不要なシステム・サービスが無効化されています。

• ストレージ・セルにソフトウェア・ファイアウォールが構成されています。

• 主要なセキュリティ関連構成ファイルおよび実行可能ファイルに対するファイル権限が制限されています。

• SSHリスニング・ポートが管理ネットワークおよびプライベート・ネットワークに制限されています。

• SSHがv2プロトコルに制限されています。

• セキュアでないSSH認証メカニズムが無効化されています。

• 特定の暗号化暗号が構成されています。

• 不要なプロトコルおよびモジュールがオペレーティング・システム・カーネルから無効化されています。

3.3 ユーザー・アカウントの理解

Oracle Exadata Database Machineのコンポーネントを管理するために使用されるユーザーが複数あります

rootユーザーに加えて、Oracle Exadata Storage Serverには2種類のユーザー、celladminとcellmonitorがあります。celladminユーザーは、セルですべてのサービスを実行するために使用されます。cellmonitorユーザーは、監視のために使用されます。cellmonitorユーザーはセルでサービスを実行できません。その他のOracle Exadata Database Machineコンポーネントには、コンポーネントの管理用のユーザーがあります。

注意:

Oracle Exadata Database Machineがデプロイされた後、システムのセキュリティ手段として、インストール・プロセスによってすべてのroot SSHキーが無効化され、すべてのユーザー・パスワードが失効します。SSHキーが無効化されたり、パスワードが失効しないようにするには、デプロイメントの前にインストール・エンジニアに依頼してください。

Oracle Exadata System Softwareリリース19.1.0以降では、特定のアクションのセキュリティを向上させるために、2つの新規ユーザーが作成されます。celloflユーザーは、非rootユーザーとしてストレージ・サーバーで問合せオフロード・プロセスを実行します。exawatchユーザーは、データベース・サーバーとストレージ・サーバーの両方でシステム統計を収集およびアーカイブします。

次の表に、Oracle Exadata Database Machineコンポーネントのデフォルトのユーザーとパスワードを示します。Oracle Exadata Database Machineのインストール後、すべてのデフォルトのパスワードを変更する必要があります。デフォルトのユーザー・アカウント・パスワードの変更の詳細は、My Oracle Supportノート1291766.1を参照してください。

表3-1 デフォルトのユーザーとパスワード

ユーザー名とパスワード	ユーザー・タイプ	コンポーネント
root/welcome1	オペレーティング・システムのユーザー	Oracle Exadata Database Server Oracle Exadata Storage Server InfiniBandスイッチ データベース・サーバーILOM Oracle Exadata Storage Server ILOM InfiniBand ILOM
oracle/We1come$	オペレーティング・システムのユーザー	Oracle Exadata Database Server
grid/We1come$ (このユーザーは、デプロイ時にロールの分離を選択した場合にのみ存在します)	オペレーティング・システムのユーザー	Oracle Exadata Database Server
celladmin/welcome	オペレーティング・システムのユーザー	Oracle Exadata Storage Server
CELLDIAG/Welcome12345 CELLDIAGユーザーのパスワードは、Oracle Exadata Deployment Assistant (OEDA)の「セキュリティ修正の適用」ステップでランダムなパスワードにリセットされます。	Oracle Exadata System Softwareユーザー	Oracle Exadata Storage Server
cellmonitor/welcome	オペレーティング・システムのユーザー	Oracle Exadata Storage Server
cellofl(リリース18.2以降) - ログオン権限なし	オペレーティング・システムのユーザー	Oracle Exadata Storage Server
dbmadmin/welcome	オペレーティング・システムのユーザー	Oracle Exadata Database Server
dbmmonitor/welcome	オペレーティング・システムのユーザー	Oracle Exadata Database Server
exawatch (リリース18.2以降) - ログオン権限なし	オペレーティング・システムのユーザー	Oracle Exadata Database Server Oracle Exadata Storage Server
SYS/We1come$	Oracle Databaseユーザー	Oracle Exadata Database Server
SYSTEM/We1come$	Oracle Databaseユーザー	Oracle Exadata Database Server
grubブート・ローダー・パスワード: sos1Exadata	オペレーティング・システムのユーザー	Oracle Exadata Database Server Oracle Exadata Storage Server
nm2user/changeme	ファームウェア・ユーザー	InfiniBandスイッチ
ilom-admin/ilom-admin	ILOMユーザー	InfiniBandスイッチ
ilom-operator/ilom-operator	ILOMユーザー	InfiniBandスイッチ
admin/welcome1 adminユーザーについて、enable mode パスワードおよびシークレット値を保護する必要があります。	ファームウェア・ユーザー	Ethernetスイッチ
admin/welcome1 PDUを出荷時のデフォルト設定にリセットした場合、adminユーザーのパスワードはadm1nです。	ファームウェア・ユーザー	配電ユニット(PDU) キーボード、ビデオ、マウス(KVM)
MSUser 管理サーバー(MS)はこのアカウントを使用して、ILOMを管理し、ハングを検知した場合、これをリセットします。 MSUserパスワードは、どこにも持続しません。MSが起動する度に、以前のMSUserアカウントを削除し、ランダムに生成されたパスワードを使用してアカウントを再び作成します。 このアカウントは変更しないでください。このアカウントを使用できるのはMSのみです。	ILOMユーザー	データベース・サーバーILOM Oracle Exadata Storage Server ILOM

3.4 デフォルトのパスワード要件

Oracle Exadata Deployment Assistant (OEDA)は、Oracle Exadata Database Machineにデフォルトのパスワード・ポリシーを実装します。

OEDAの最後のステップ、Oracle Exadata Database Machineの保護では、次のパスワード要件が実装されます。

• 辞書の単語が無効、または受け入れられません。
• パスワードの文字クラスとは、大文字、小文字、数字、特殊文字です。
• パスワードには、4つの文字クラスすべての文字を含める必要があります。1つ、2つまたは3つの文字クラスしか使用しないパスワードは使用できません。
• パスワードの最小長は8文字です。
• パスフレーズを使用できます。パスフレーズの条件は、少なくとも3つの単語が含まれていること、16文字から40文字までの長さであること、および異なる文字クラスが含まれていることです。
• 新しいパスワードは古いパスワードに類似したものにすることはできません。新パスワードには、旧パスワードで使用されていない文字が8文字以上が必要です。
• パスワードでは、同じ文字を最大3連続まで使用できます。
• パスワードでは、同じ文字クラスの文字を最大4連続まで使用できます。たとえばabcde1#6Bは、連続して5つの小文字を使用しているためパスワードとして使用できません。

3.5 OEDAによって有効になるデフォルト・セキュリティ設定

Oracle Exadata Deployment Assistant (OEDA)には、Oracle Exadata Database Machineのハードウェアのセキュリティを強化するための手順が含まれています。

OEDAの最後のステップ、Oracle Exadata Database Machineの保護では、次のセキュリティ・ポリシーが実装されます。

• データベース・サーバーおよびストレージ・サーバー上で新しく作成されたすべてのオペレーティング・システム・ユーザーについて、次のパスワード・エージング値が設定されます。
  • パスワードの最大日数は90日です。Oracle Exadata System Softwareリリース19.1.0以降では、この値は60日間に短縮されました。
  • パスワード変更の最小間隔は24時間です。
  • パスワード変更までの警告の日数は7日です。
  • すべての非ルート・ユーザーは、次にログインするときにパスワードを変更する必要があります。
• オペレーティング・システムのユーザー・アカウントは、ログイン試行に1回失敗するたびに10分間、一時的にロックされます。
• オペレーティング・システムのユーザー・アカウントは、ログイン試行に5回失敗するとロックされます。
• ログイン・セッションは、14400秒間入力がなければ終了します。
• SSHセッションは、7200秒間アクティビティがなければ終了します。

• rootユーザーの場合、すべてのデータベース・サーバーとOracle Exadata Storage ServerでSSH等価が削除されます。

• 次の権限は、OEDAによって設定されます。

  • 自動診断リポジトリ(ADR)ベース・ディレクトリ$ADR_BASEには、diagディレクトリとそのサブディレクトリにSUID (Set owner User ID)があります。
  • celladminユーザー・グループには、$ADR_BASEに対する読取りおよび書込み権限があります。