Microservicesのセキュリティの概念

これらのMAのセキュリティ機能について学習します。

接続フィルタリング

接続ポリシーの指定内容に基づいて候補の接続が条件を満たすかどうかを確認してフィルタリングします。

証明書フィルタリング

接続フィルタリングと似ていますが、この機能では接続リクエストの受入れまたは拒否の際に証明書が条件を満たすかどうかを確認できます。

フォールバック制約

MAサーバー内のネットワーク・セキュリティ構成では、プロトコル・バージョンのネゴシエーション・フォールバック動作を構成して制約を設定し、プロトコル・バージョンのネゴシエーションが行われるケースやタイミングを制御できます。

セッション管理

MAサービス・インタフェースのリクエストはRESTおよびステートレスです。つまり、リクエスト間にサーバー上に格納されるクライアント・アプリケーション・コンテキストはありません。アプリケーション・セッションの状態はすべてクライアントによって保持されます。セッション管理には次のものがあります。

クライアント認可状態の論理状態追跡

WebAppsで使用され、その他のクライアントで使用可能な認証Cookieは、不透明なトークンであり、各RESTリクエストでサーバーに送信される保護されたクライアント認可情報を許可します。認証Cookie内のエンコードされたクライアント状態は、ブラウザによって各リクエストで自動的に転送されます。クライアントの有効な認可はサーバーでは保持されません。

保護されたTLSセッションのキャッシュおよび再利用

保護された通信サブシステムは、TLSセッションのキャッシュと再利用をサポートしています。これにより、以前に確立した暗号化セッションを再利用して、高コストのハンドシェイクと暗号ネゴシエーション処理をスキップできるようになるため、サーバーの計算負荷が軽減されます。TLSセッションのキャッシュと再利用では、MAサービス・リクエスト情報は再利用されません。

ユーザー資格証明記憶域

ユーザー資格証明は、暗号化によって保護された永続ストアと耐障害性ストアに格納されます。管理クライアントから資格証明を追加すると、それらが実行可能ファイルにローカルに格納されます。これにより、管理クライアントはローカル・サイトからスクリプトを安全に実行できます。

単一ページ・アプリケーション(SPA)およびWebAppのセキュリティ

すべての一般的なWebブラウザは、HTTPとHTTPSの両方のプロトコルをサポートしています。MAでは、HTTPS (保護)モードまたはHTTP (非保護)モードで、SPAとJavaScriptベースのアプリケーションを含むWebAppsの実行をサポートしています。

暗号スイート

MA構成では、許可された暗号スイートのセットを必要に応じて選択できます。一般に、MAのデフォルト暗号スイート・セットが適切です。

暗号化プロファイル

暗号化プロファイルにより、MAのセキュリティ・オブジェクトを集中管理するために構築された、フルスタックのセキュリティ強化型ソフトウェア・アプライアンスであるOracle Key Vaultが使用できるようになります。