1 Oracle GoldenGateのセキュリティについて
Oracle GoldenGateにはセキュリティ機能が統合されており、セキュリティ機能とその使用例を理解することは、セキュアな環境を設定する上で重要な第一歩です。
Oracle GoldenGateには、次の2種類のアーキテクチャがあります。
- マイクロサービス・アーキテクチャ(MA)
-
これは、REST APIベースのサービス・アーキテクチャであり、WebインタフェースまたはREST APIコールを使用してOracle GoldenGateのサービスを構成、監視および管理できます。Oracle GoldenGateで最高レベルのセキュリティを確保するために、MAを実装することをお薦めします。
MAを使用すると、MA実装内で、証跡データに対するExtractおよびReplicatの操作をデプロイ、モニター、管理および実行できます。MAについてさらに学習するには、Oracle GoldenGate Microservices Architectureのコンポーネントに関する項を参照してください。
- クラシック・アーキテクチャ(CA)
-
これは、多数のトポロジ間で効果的にデータを移動するための元のOracle GoldenGateアーキテクチャです。クラシック・アーキテクチャの詳細は、クラシック・アーキテクチャのコンポーネントおよびご使用のデータベースに対応するOracle GoldenGateユーザー・ガイドを参照してください。
Oracle GoldenGate Microservices Architecture (MA)は最も安全です。このガイドでは、メインの章でMA固有のトピックについて説明しますが、Classic Architectureのセキュリティ面については付録で説明します。
- セキュリティ・オプションの概要
これらのセキュリティ機能を使用して、Oracle GoldenGate環境および処理対象のデータを保護できます。
1.1 セキュリティ・オプションの概要
これらのセキュリティ機能を使用して、Oracle GoldenGate環境および処理対象のデータを保護できます。
保護する対象 | セキュリティ機能 | サポートされるデータベース | サポートされるアーキテクチャ | 説明 |
---|---|---|---|---|
マスター暗号化キー | Oracle Key Vaultを使用したデータ暗号化の管理。 | すべてのデータベース |
ClassicおよびMicroservices |
マスター・キーを保管することで証跡ファイルの暗号化を管理します。 |
|
マスター・キーとウォレット方式は、これをサポートしているプラットフォームで推奨される方法です。NonStopプラットフォームでは無効です。 |
X |
ファイル内、データ・リンク経由およびTCP/IP間のデータを暗号化します。次のいずれかを使用します。
|
|
データベースへのログイン用にOracle GoldenGateプロセスに割り当てられたユーザーIDとパスワード(資格証明) |
資格証明ストアのアイデンティティ管理 |
資格証明ストアは、この機能をサポートしているプラットフォームで推奨されるパスワード管理方法です。NonStopプラットフォームでは無効です。 |
Microservices |
ユーザー資格証明は、セキュアなウォレット・ストレージで管理されます。コマンドやパラメータでは、資格証明の別名を指定します。 |
コマンドおよびパラメータ・ファイルに指定され、Oracle GoldenGateプロセスがデータベースへのログインに使用するパスワード。 |
パスワード暗号化 「コマンドまたはパラメータ・ファイルで使用するパスワードの暗号化」を参照してください |
Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます。DB2 for i、DB2 z/OSおよびNonStopプラットフォームでは、Blowfishを使用する必要があります。その他のプラットフォームで推奨されるパスワード管理方法は、資格証明ストアです。 |
Classic |
パスワードを暗号化し、その暗号化されたパスワードをコマンドまたはパラメータ入力で指定できるようにします。次のいずれかの方法を使用します。
|
GGSCIを通じて発行されるOracle GoldenGateコマンド |
コマンドの認証 「GGSCIコマンド・セキュリティの構成」を参照してください |
Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます。 |
X |
オペレーティング・システムで保護されたファイル内に認証許可を格納します。 |
ファイアウォールの先にある信頼されないOracle GoldenGateホスト・マシンへのTCP/IP接続。 |
信頼できる接続 「ターゲット・システムからの接続開始の使用」を参照してください |
Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます。 |
X |
次のいずれかの方法を使用します。
|
Managerのアクセス・ルール。 |
Managerセキュリティ |
Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます。 |
Classic |
次を保護することができます。
|
要件に適合する暗号化ライブラリを選択します。ポータビリティ(Classic)、ポータビリティおよびFIPS-140標準の準拠(FIPS140)、または拡張スループット(Native)。 |
CryptoEngine |
Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます(ClassicおよびFIPS140)。 Oracle GoldenGateでサポートされているLinux.x64およびWindows.x64上のすべてのデータベースで使用できます(Native)。 |
ClassicおよびMicroservices |
Oracle GoldenGateプロセスで使用する暗号化ライブラリを選択します。 |
MA RESTサービス・インタフェース | 認証 | Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます | Microservices | X |
通信セキュリティ | TLSおよびセキュア・ネットワーク・プロトコル | Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます | Microservices | X |
MA RESTユーザー認可 | 認可 |
Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます |
Microservices | X |
ターゲット開始型証跡 |
信頼できる環境用のターゲット開始型証跡 |
Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます |
Microservices |
「ターゲット開始型配布パスの使用」を参照してください。 |
リバース・プロキシ |
リバース・プロキシは、1つのポートのみを使用します。Oracle GoldenGate MicroservicesにアクセスするためのNGINXを使用したリバース・プロキシの構成を参照してください |
Oracle GoldenGateでサポートされているすべてのデータベースとプラットフォームで使用できます |
Microservices |
X |
親トピック: Oracle GoldenGateのセキュリティについて