1 Oracle GoldenGateのセキュリティについて

Oracle GoldenGateにはセキュリティ機能が統合されており、セキュリティ機能とその使用例を理解することは、セキュアな環境を設定する上で重要な第一歩です。

Oracle GoldenGateには、次の2種類のアーキテクチャがあります。

マイクロサービス・アーキテクチャ(MA)

これは、REST APIベースのサービス・アーキテクチャであり、WebインタフェースまたはREST APIコールを使用してOracle GoldenGateのサービスを構成、監視および管理できます。Oracle GoldenGateで最高レベルのセキュリティを確保するために、MAを実装することをお薦めします。

MAを使用すると、MA実装内で、証跡データに対するExtractおよびReplicatの操作をデプロイ、モニター、管理および実行できます。MAについてさらに学習するには、Oracle GoldenGate Microservices Architectureのコンポーネントに関する項を参照してください。

クラシック・アーキテクチャ(CA)

これは、多数のトポロジ間で効果的にデータを移動するための元のOracle GoldenGateアーキテクチャです。クラシック・アーキテクチャの詳細は、クラシック・アーキテクチャのコンポーネントおよびご使用のデータベースに対応するOracle GoldenGateユーザー・ガイドを参照してください。

Oracle GoldenGate Microservices Architecture (MA)は最も安全です。このガイドでは、メインの章でMA固有のトピックについて説明しますが、Classic Architectureのセキュリティ面については付録で説明します。

• セキュリティ・オプションの概要
  これらのセキュリティ機能を使用して、Oracle GoldenGate環境および処理対象のデータを保護できます。

1.1 セキュリティ・オプションの概要

これらのセキュリティ機能を使用して、Oracle GoldenGate環境および処理対象のデータを保護できます。

保護する対象	セキュリティ機能	サポートされるデータベース	サポートされるアーキテクチャ	説明
マスター暗号化キー	Oracle Key Vaultを使用したデータ暗号化の管理。	すべてのデータベース	ClassicおよびMicroservices	マスター・キーを保管することで証跡ファイルの暗号化を管理します。
証跡内またはExtractファイル内のデータ TCP/IPネットワークを通じて送信されるデータ	マスター・キーとウォレット方式を使用したデータ暗号化	マスター・キーとウォレット方式は、これをサポートしているプラットフォームで推奨される方法です。NonStopプラットフォームでは無効です。	X	ファイル内、データ・リンク経由およびTCP/IP間のデータを暗号化します。次のいずれかを使用します。 任意のAdvanced Encryption Security (AES) Advanced Encryption Standard (AES)は、高度なデータ・セキュリティを必要とする政府機関やその他の組織で使用されている対称キー暗号化標準です。128ビット・キー暗号、192ビット・キー暗号、256ビット・キー暗号という3種類の128ビット・ブロック暗号が用意されています。デフォルトの構成では、LD_LIBRARY_PATH値は $ORACLE_HOME/libに設定されています。この値を変更するには、exportコマンドを使用します。 Blowfish: Blowfish暗号化: キーを使用した対称ブロック暗号です。BlowfishのOracle GoldenGate実装のブロック・サイズは64ビットです。
データベースへのログイン用にOracle GoldenGateプロセスに割り当てられたユーザーIDとパスワード(資格証明)	資格証明ストアのアイデンティティ管理 資格証明ストアでのアイデンティティ管理	資格証明ストアは、この機能をサポートしているプラットフォームで推奨されるパスワード管理方法です。NonStopプラットフォームでは無効です。	Microservices	ユーザー資格証明は、セキュアなウォレット・ストレージで管理されます。コマンドやパラメータでは、資格証明の別名を指定します。
コマンドおよびパラメータ・ファイルに指定され、Oracle GoldenGateプロセスがデータベースへのログインに使用するパスワード。	パスワード暗号化 「コマンドまたはパラメータ・ファイルで使用するパスワードの暗号化」を参照してください	Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます。DB2 for i、DB2 z/OSおよびNonStopプラットフォームでは、Blowfishを使用する必要があります。その他のプラットフォームで推奨されるパスワード管理方法は、資格証明ストアです。	Classic	パスワードを暗号化し、その暗号化されたパスワードをコマンドまたはパラメータ入力で指定できるようにします。次のいずれかの方法を使用します。 AES-128 AES-192 AES-256 Blowfish
GGSCIを通じて発行されるOracle GoldenGateコマンド	コマンドの認証 「GGSCIコマンド・セキュリティの構成」を参照してください	Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます。	X	オペレーティング・システムで保護されたファイル内に認証許可を格納します。CMDSEC (コマンド・セキュリティ)ファイルを構成します。
ファイアウォールの先にある信頼されないOracle GoldenGateホスト・マシンへのTCP/IP接続。	信頼できる接続 「ターゲット・システムからの接続開始の使用」を参照してください	Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます。	X	次のいずれかの方法を使用します。 AES-128 AES-192 AES-256 Blowfish
Managerのアクセス・ルール。	Managerセキュリティ Managerの保護	Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます。	Classic	次を保護することができます。 GGSCI: GGSCIコマンドライン・インタフェースへのアクセスを保護します。 MGR | MANAGER: Managerによって制御されるすべてのプロセス間コマンド(START、STOP、KILLなど)へのアクセスを保護します REPLICAT: Replicatプロセスへの接続を保護します。 COLLECTOR | SERVER: Collectorプロセスを動的に作成する機能を保護します。
要件に適合する暗号化ライブラリを選択します。ポータビリティ(Classic)、ポータビリティおよびFIPS-140標準の準拠(FIPS140)、または拡張スループット(Native)。	CryptoEngine	Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます(ClassicおよびFIPS140)。 Oracle GoldenGateでサポートされているLinux.x64およびWindows.x64上のすべてのデータベースで使用できます(Native)。	ClassicおよびMicroservices	Oracle GoldenGateプロセスで使用する暗号化ライブラリを選択します。
MA RESTサービス・インタフェース	認証	Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます	Microservices	X
通信セキュリティ	TLSおよびセキュア・ネットワーク・プロトコル	Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます	Microservices	X
MA RESTユーザー認可	認可	Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます	Microservices	X
ターゲット開始型証跡	信頼できる環境用のターゲット開始型証跡	Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます	Microservices	「ターゲット開始型配布パスの使用」を参照してください。
リバース・プロキシ	リバース・プロキシは、1つのポートのみを使用します。Oracle GoldenGate MicroservicesにアクセスするためのNGINXを使用したリバース・プロキシの構成を参照してください	Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます	Microservices	X