2 Oracle Database Applianceのセキュリティ機能
Oracle Database Applianceは、ハードウェアおよびソフトウェア強化プロセスを使用してシステムを保護し、レイヤー化されたセキュリティ戦略のデプロイを支援します。
内容は次のとおりです。
- 「Oracle Database Applianceのセキュリティ機能について」
Oracle Database Applianceには、コア・コンポーネントに対するハード構成およびセキュリティ機能が含まれています。 - 「分離ポリシーの使用」
分離ポリシーは、よりセキュアなマルチテナント・サービスを提供します。 - 「データへのアクセスの制御」
データ、ワークロードおよびインフラストラクチャへのアクセスを制御することで、セキュリティを強化できます。 - 「暗号化サービスの使用」
暗号化サービスは、rest、移動中および使用中の情報を保護および検証するのに役立ちます。 - 「Oracle Database Applianceのデータベースのモニタリングおよび監査」
Oracle Database Applianceには、Oracle Databaseファイングレイン監査(FGA)、Oracle Audit VaultおよびOracle Databaseファイアウォール・リモート・モニターが含まれ、これらを使用すると、包括的なモニタリング機能および監査機能を実現できます。 - 「Oracle Database ApplianceでのSTIGの有効化について」
Oracle Database Applianceに対してセキュリティ技術実装ガイドライン(STIG)を有効にする方法を理解します。 - 「Oracle Database ApplianceでのCISベンチマークの有効化について」
Oracle Database Applianceのインターネット・セキュリティ(CIS)ベンチマークに対してセンターを有効にする方法を理解します。 - 「セキュアな管理でのOracle ILOMの使用」
Oracle Integrated Lights-Out Management (Oracle ILOM)を使用すると、完全な帯域外管理が可能になり、Oracle Database Applianceのリモート管理機能が提供されます。
Oracle Database Applianceセキュリティ機能について
Oracle Database Applianceのコア・コンポーネントには、強化構成とセキュリティ機能があります。
組織は、レイヤー化されたセキュリティ戦略の一環として、Oracle Database Applianceのセキュリティ機能を使用できます。
強化構成
Oracle Database Applianceは、次のような強化手順をお薦めします。
-
インストールするパッケージを最小限に整理して、不要なパッケージをサーバーにインストールしないでください。
-
Oracle Database Applianceノードでは、必要なサービスのみを有効にします。
-
オペレーティング・システムのユーザーを監査します。
-
NTP、SSHおよび他のサービス用に構成を保護します。
セキュリティ機能
Oracle Database Applianceアーキテクチャは、コア・コンポーネントのためのセキュリティ機能を提供します。 この機能は、次のカテゴリにグループ化されます。
-
分離ポリシー
-
データへのアクセスの制御
-
暗号化サービス
-
監視および監査
-
Oracle Integrated Lights Out Manager (ILOM)
分離ポリシーの使用
分離ポリシーは、マルチテナント・サービスをよりセキュアにします。
組織がITインフラストラクチャの統合、共有サービス・アーキテクチャの実装およびセキュアなマルチテナント・サービスの実施を求める場合は、サービス、ユーザー、データ、通信およびストレージを分離する必要があります。 Oracle Database Applianceは、ニーズに基づいて分離ポリシーと分離戦略を実装できる柔軟性を組織に提供します。
内容は次のとおりです。
- 「ネットワーク・トラフィックの分離」
Oracle Database Applianceは、物理ネットワーク・レベルでのデバイス管理やデバイス間の通信からのクライアント・アクセスを分離します。 - 「データベースの分離」
Oracle Database Applianceでは、すべてのOracle Databaseセキュリティ・オプションを使用できます。
ネットワーク・トラフィックの分離
Oracle Database Applianceは、物理ネットワーク・レベルで、クライアント・アクセスをデバイス管理とデバイス間通信から分離します。
Oracle Database Applianceは、クライアントと管理ネットワークのトラフィックを別々のネットワークに分離します。 クライアントは冗長な10Gbpsイーサネット・ネットワークを介してサービスにアクセスするので、システム上で実行されるサービスへの信頼性のある高速アクセスが確保されます。 クラスタ管理アクセスは、物理的に分離された1Gbpsイーサネット・ネットワークを介して提供されます。 物理的に分離されたネットワークを提供することにより、業務用と管理用のネットワーク・トラフィックを確実に分離します。
組織は、仮想LAN (VLAN)を構成することで、クライアント・アクセスのイーサネット・ネットワーク上のトラフィックをさらに分離することも選択できます。 VLANは、組織の要件に基づいてネットワーク・トラフィックを分離します。 VLAN上では暗号化プロトコルを使用して、通信の機密性と整合性を保証することをお薦めします。
親トピック: 分離ポリシーの使用
データベースの分離
Oracle Database Applianceでは、すべてのOracle Databaseセキュリティ・オプションを利用できます。
組織で粒度の細かいデータベース分離が必要な場合は、Oracle Database Vault、Oracle Virtual Private Database、Oracle Label Securityなどのソフトウェアを使用できます。 物理的に分離する最良の方法の1つは、1つの環境を丸ごと単一のアプリケーションまたはデータベース専用にすることです。 ただし、サーバーを1つのアプリケーションまたはデータベース専用にすると、コストがかかります。 よりコスト効率の高い分離戦略では、同じオペレーティング・システム・イメージ内で複数のデータベースを使用します。 ユーザー、グループおよびリソース制御の専用の資格証明など、データベースおよびオペレーティング・システム・レベルの制御を組み合せることで、複数のデータベースを分離できます。
Oracle Database Vaultには、単一データベース内で論理レルムを使用して分離させるための必須のアクセス制御モデルが含まれています。 論理レルムは、アプリケーション・データへの一時的アクセスから管理アカウントをブロックすることで、既存のアプリケーション表の周囲に保護境界を形成します。 Oracle Database Vaultのコマンド・ルールは、データベースおよびアプリケーション・データにだれが、いつ、どこで、どのようにアクセスするかを制限する、ポリシーベースの制御を可能にします。 これによって、アプリケーション・データへの信頼できるパスが作成されます。 Oracle Database Vaultは、時間、ソースIPアドレスおよびその他の条件に基づいてアクセスを制限するためにも採用できます。
Oracle Virtual Private Databaseは、データベース表およびビューへのファイングレイン・アクセスを強制するポリシーの作成を可能にします。 Oracle Virtual Private Databaseでは、ポリシーはデータベース・オブジェクトに関連付けられて、データベースへのアクセス方法によらず自動的に適用されるため、セキュリティの移植性が実現されます。 Oracle Virtual Private Databaseは、データベース内の細分化した分離に使用できます。
Oracle Label Securityはデータを分類し、分類に基づいてそのデータへのアクセスを仲介します。 組織は、ニーズに最適な分類戦略(階層、非結合など)を定義できます。 この機能によって、様々な分類レベルで保存された情報を、単一の表領域内で行レベルで分離できるようになります。
親トピック: 分離ポリシーの使用
データへのアクセスの制御
データ、ワークロード、インフラストラクチャへのアクセスを制御することで、セキュリティを高めます。
アプリケーション・データ、ワークロードおよびその実行の基礎となるインフラストラクチャを保護するため、Oracle Database Applianceは、包括的かつ柔軟性のあるアクセス制御機能を、ユーザーと管理者の両方に提供します。 この制御機能には、ネットワーク・アクセスとデータベース・アクセスが含まれます。
内容は次のとおりです。
- 「ネットワーク・アクセスの制御」
ネットワーク・アクセスを構成して、ファイングレイン・アクセス・コントロールを提供します。 - 「データベース・アクセスの制御」
ロール割当て済オペレーティング・システム・ユーザーおよびグループ・システム権限を使用するデータベース・アーキテクチャのすべてのレイヤーで職務の分離を使用して、明らかな動作のリスクおよび不注意エラーを軽減するためのヘルプ。 - 「SUDOによる権限とセキュリティの管理について」
SUDOポリシーは、オペレーティング・システム上のスーパーユーザー(root)権限に対するシステム監査とアクセス制御を提供するのに役立ちます。 これらの例を参考に、SUDOポリシーを実装します。 - 「DCSスタック用のSUDOセキュリティ・ポリシーの構成」
これらの例を使用して、DCSスタック(odacli)を使用しているOracle Database ApplianceモデルのSUDOポリシーを実装します。 - 「OAKスタック用のSUDOセキュリティ・ポリシーの構成」
これらの例を使用して、OAKスタック(oakcli)を使用しているOracle Database ApplianceモデルのSUDOポリシーを実装します。
ネットワーク・アクセスの制御
ネットワーク・アクセスを構成して、ファイングレイン制御をします。
ファイングレイン・アクセス制御ポリシーは、単純なネットワークレベルの分離を超えて、デバイス・レベルで導入できます。 Oracle Database Applianceのすべてのコンポーネントには、ネットワーク分離などのアーキテクチャを利用した方法で、またはパケット・フィルタリングとアクセス制御リストを使用してコンポーネントおよびサービスへの入出力とそれらの間の通信を制御することで、サービスへのネットワーク・アクセスを制限する機能が組み込まれています。
親トピック: データへのアクセスの制御
データベース・アクセスの制御
役割を割り当てられたオペレーティング・システム・ユーザーおよびグループ・システム権限を使用するデータベース・アーキテクチャの各レイヤーにおいて職務を分離させ、共謀行為や不注意によるエラーのリスクを低減するのに役立ちます。
たとえば、別々のオペレーティング・システム・ユーザー・アカウントを使用し、別々の物理グループを指名してOracle Database権限およびOracle Automatic Storage Management (Oracle ASM)システム権限を付与し、データベース管理者とストレージ管理者のロールを確実に分離します。 Oracle Database内では、ユーザーに特定の権限およびロールを割り当てることで、そのユーザーがアクセスを認可されたデータ・オブジェクトのみにアクセスすることを保証できます。 明示的に許可された場合を除き、データは共有できないようにします。
Oracle Databaseで利用できるパスワードベースの認証に加えて、Oracle Advanced Securityオプションを使用すると、公開キーの資格証明、RADIUSまたはKerberosインフラストラクチャを使用して強力な認証を実装できます。 Oracle Enterprise User Securityを使用すると、認証および認可のためにデータベースを既存のLDAPリポジトリに統合できます。 これらの機能によって、データベースに接続するユーザーのIDをより強力に保証できます。
管理ユーザーおよび特権ユーザーのアクセスを管理し、アプリケーション・データにアクセスする方法、時間および場所を制御するために、Oracle Database Vaultを使用できます。 Oracle Database Vaultは、盗難にあったログイン資格証明の不正使用、アプリケーション・バイパス、アプリケーションおよびデータの未許可の変更(アプリケーション・データのコピー作成を含む)に対する保護を提供します。 Oracle Database Vaultは、ほとんどのアプリケーションと日常業務に対して透過的です。 マルチファクタの認可ポリシーをサポートして、ビジネス処理を中断させることなく、ポリシーのセキュアな強制を可能にします。
Oracle Database Vaultは職務の分離を強制して、アカウント管理、セキュリティ管理、リソース管理およびその他の機能が、権限を付与されたユーザーにのみ許可されるようにします。
親トピック: データへのアクセスの制御
SUDOによる権限とセキュリティの管理について
SUDOポリシーは、システム監査とオペレーティング・システム上のスーパーユーザー(ルート)権限用のアクセス管理を行う上で役立ちます。 これらの例を参考に、SUDOポリシーを実装します。
Oracle Appliance Managerコマンドライン・ユーティリティでは、ほとんどの管理アクションに対してroot
システム権限が必要です。 root
としてログインしていない場合は、アプライアンスでほとんどのアクションを実行できません。 たとえば、root
としてログインしていない場合は、ストレージの情報を確認できますが、ストレージを変更できません。
su
を使用するかわりに、SUDOを使用して管理ユーザーにroot権限を付与できます。 SUDOを使用すると、システム管理者は、su
とは異なり、rootパスワードを必要とせずに、特定のユーザー(またはユーザーのグループ)にrootとしてコマンドを実行する機能を付与できます。 また、セキュリティおよびコンプライアンスのプロトコルの一部としてすべてのコマンドおよび引数のログを記録します。
SUDOセキュリティ・ポリシーを構成するには、ファイル/etc/sudoers
を使用します。 sudoers
ファイルの中でユーザー・グループやコマンド・セットを構成すると、SUDOコマンドを使用したサーバーの管理を簡素化して監査できます。
関連項目:
SUDOの構成と使用の詳細については、SUDOのmanページhttp://www.sudo.ws/sudo.htmlを参照してください。
親トピック: データへのアクセスの制御
DCSスタック用のSUDOセキュリティ・ポリシーの構成
これらの例を使用して、DCSスタック(odacli)を使用しているOracle Database ApplianceモデルのSUDOポリシーを実装します。
注意:
ユーザーが任意の操作を実行できるようにSUDOを構成することは、そのユーザーにroot
権限を与えることに相当します。 これがセキュリティのニーズに適しているかどうかを慎重に検討してください。
例2-1 SUDO例1: ユーザーがODACLI操作を実行できるようにする
この例は、ユーザーがODACLI操作を実行できるようにSUDOを構成する方法を示しています。 これを行うには、/etc/sudoers
ファイルのコマンドのセクションに数行追加します。
## The commands section may have other options added to it.
##
Cmnd_Alias ODACLI_CMDS=/opt/oracle/oak/bin/odacli *
jdoe ALL = ODACLI_CMDS
この例では、ユーザー名は jdoe
です。 ファイル・パラメータ設定ALL= ODACLI_CMDS
は、ユーザーjdoe
に、コマンド別名ODACLI_CMDS
によって定義されたすべてのodacli
コマンドを実行する権限をユーザーに与えます。 構成後、1つのsudoers
ファイルを複数のホストにコピーできます。 また、ホストごとに異なるルールを作成することもできます。
注意:
データベース作成の前に、各サーバーのrootユーザーにSSHのユーザー等価性を設定する必要があります。 ユーザーの等価性を設定せずサーバーごとにSSHを構成すると、データベースの作成中、各サーバーのrootパスワードを指定するよう求めるプロンプトが表示されます。
ユーザーと一緒にsudoer
ファイルを構成した後、ユーザーjdoeは、別名ODACLI_CMDS
コマンドで構成された一連のodacli
コマンドを実行できます。 次に例を示します。
$ sudo odacli create database -db newdb
INFO: 2018-06-05 14:40:55: Look at the logfile '/opt/oracle/oak/log/node1011/tools/12.2.1.4.0/createdb_newdb_91715.log' for more details
INFO:2018-06-05 14:40:59: Database parameter file is not provided. Will be using default parameters for DB creation
Please enter the 'SYSASM' password :
Please re-enter the 'SYSASM' password:
INFO: 2018-06-05 14:41:10: Installing a new home: OraDb12102_home3 at /u01/app/oracle/product/12.2.1.4/dbhome_3
Please select one of the following for Database type [1 .. 3]:
1 => OLTP
2 => DSS
3 => In-Memory
例2-2 SUDO例2: ユーザーが選択したODACLI操作のみを実行できるようにする
ユーザーが選択したODACLI操作のみを実行できるようにSUDOを構成するには、次のように/etc/sudoers
ファイルのコマンド・セクションに行を追加します:
## DCS commands for oracle user
Cmnd_Alias DCSCMDS = /opt/oracle/dcs/bin/odacli describe-appliance
oracle ALL= DCSCMDS
$ sudo /opt/oracle/dcs/bin/odacli describe-appliance
Appliance Information
----------------------------------------------------------------
ID: a977bb04-6cf0-4c07-8e0c-91a8c7e7ebb8
Platform: OdaliteL
Data Disk Count: 6
CPU Core Count: 20
Created: June 24, 2018 6:51:52 AM HDT
System Information
----------------------------------------------------------------
Name: odal001
Domain Name: example.com
Time Zone: America/Adak
DB Edition: EE
DNS Servers: 10.200.76.198 10.200.76.199 192.0.2.254
NTP Servers: 10.200.0.1 10.200.0.2
Disk Group Information
----------------------------------------------------------------
DG Name Redundancy Percentage
------------------------- ------------------------- ------------
Data Normal 90
Reco Normal 10
この例では、ユーザーjdoe2
は、そのユーザー用に構成された一連のコマンドの一部ではないsudo odacli list-databases
コマンドを実行しようとします。 SUDOは、jdoe2
がコマンドを実行するのを防ぎます。
[jdoe2@servernode1 ~]$ sudo /opt/oracle/oak/bin/odacli list-databases
Sorry, user jdoe2 is not allowed to execute '/opt/oracle/oak/bin/odacli list-databases' as root on servernode1.
親トピック: データへのアクセスの制御
OAKスタック用のSUDOセキュリティ・ポリシーの構成
これらの例を使用して、OAKスタック(oakcli)を使用しているOracle Database ApplianceモデルのSUDOポリシーを実装します。
注意:
ユーザーが任意の操作を実行できるようにSUDOを構成することは、そのユーザーにroot
権限を与えることに相当します。 これがセキュリティのニーズに適しているかどうかを慎重に検討してください。
例2-3 SUDO例1: ユーザーにOAKCLI操作を実行させる
次の例では、ユーザーがOAKCLI操作を実行できるようにSUDOを構成する方法を示します。 これを行うには、/etc/sudoers
ファイルのコマンドのセクションに数行追加します。
## The commands section may have other options added to it.
##
Cmnd_Alias OAKCLI_CMDS=/opt/oracle/oak/bin/oakcli *
jdoe ALL = OAKCLI_CMDS
この例では、ユーザー名は jdoe
です。 ファイル・パラメータ設定ALL= OAKCLI_CMDS
は、ユーザーjdoe
に、コマンド別名OAKCLI_CMDS
によって定義されたすべてのoakcli
コマンドを実行する権限をユーザーに与えます。 構成後、1つのsudoers
ファイルを複数のホストにコピーできます。 また、ホストごとに異なるルールを作成することもできます。
注意:
データベース作成の前に、各サーバーのrootユーザーにSSHのユーザー等価性を設定する必要があります。 ユーザーの等価性を設定せずサーバーごとにSSHを構成すると、データベースの作成中、各サーバーのrootパスワードを指定するよう求めるプロンプトが表示されます。
ユーザーのsudoer
ファイルを構成すると、ユーザーjdoeはコマンド別名OAKCLI_CMDS
で構成されたoakcli
コマンドのセットを実行できます。 次に例を示します。
$ sudo oakcli create database -db newdb
INFO: 2018-06-05 14:40:55: Look at the logfile '/opt/oracle/oak/log/node1011/tools/12.2.1.4.0/createdb_newdb_91715.log' for more details
INFO: 2018-06-05 14:40:59: Database parameter file is not provided. Will be using default parameters for DB creation
Please enter the 'SYSASM' password:
Please re-enter the 'SYSASM' password:
INFO: 2015-08-05 14:41:10: Installing a new home: OraDb12102_home3 at /u01/app/oracle/product/12.2.1.4/dbhome_3
Please select one of the following for Database type [1 .. 3]:
1 => OLTP
2 => DSS
3 => In-Memory
例2-4 SUDOの例2: ユーザーが選択したOAKCLI操作のみを実行できるようにする
ユーザーが選択されたOAKCLI操作のみを実行できるようにSUDOを構成するには、/etc/sudoers
ファイルのコマンド・セクションに、次のように行を追加します。
## oakcli commands
Cmnd_Alias OAKENV = /opt/oracle/oak/bin/oakcli show env_hw
Cmnd_Alias OAKVER = /opt/oracle/oak/bin/oakcli show version
oracle ALL= OAKENV,OAKVER
コマンドの出力例を次に示します:
$ sudo /opt/oracle/oak/bin/oakcli show env_hw
VM-ODA_BASE ODA X6-2-HA
$ sudo /opt/oracle/oak/bin/oakcli show version
Version
-------
12.2.1.4.0
この例では、ユーザーjdoe2
がoakcli show databases
コマンドを実行しようとしていますが、これはこのユーザーに対して構成されているコマンドのセットの一部ではありません。 Sudoにより、jdoe2
はそのコマンドを実行できません。
$ sudo /opt/oracle/oak/bin/oakcli show databases
Sorry, user oracle is not allowed to execute '/opt/oracle/oak/bin/oakcli show databases' as root on servernode1.
親トピック: データへのアクセスの制御
暗号化サービスの使用
暗号化サービスは、保存済、送信中および使用中の情報を保護するのに役立ちます。
暗号化および復号化から、デジタル・フィンガープリントおよび証明書検証まで、暗号化はIT組織で最も広く採用されているセキュリティ制御です。
Oracle Database Applianceは、可能な場合は常に、ハードウェアベースの暗号化エンジン、Intel AES-NIおよびOracle SPARCプロセッサを使用します。 暗号化処理にハードウェアを使用することで、ソフトウェアで処理を実行する場合に比べてパフォーマンスが大幅に向上します。 いずれのエンジンもハードウェアで暗号化処理を実行する機能を提供し、データベース・サーバーおよびストレージ・サーバー上のOracleソフトウェアによって活用されます。
ネットワーク暗号化サービスは、暗号によって保護されたプロトコルを使用して、通信の機密性と整合性を保護します。 たとえばセキュア・シェル(SSH)はシステムおよびIntegrated Lights Out Manager (ILOM)への安全な管理アクセスを提供します。 SSL/TLSは、アプリケーションと他のサービスとの間のセキュアな通信を可能にします。
Oracle Advanced Securityからデータベース暗号化サービスを使用できます。 Oracle Advanced Securityは、透過的データ暗号化(TDE)機能を使用してデータベース内の情報を暗号化します。 TDEはアプリケーション表領域の暗号化と、表内の個々の列の暗号化をサポートします。 一時表領域に格納されたデータと、REDOログも暗号化されます。 データベースがバックアップされるとき、格納先メディアでもデータは暗号化されたままです。 これによって、物理的な格納場所に関係なく保存済データが保護されます。 表領域レベルまたは列レベルでの、保存済データベース・コンテンツの機密性、データベース暗号化を必要とする組織は、Oracle Advanced Securityの利用を検討してください。
さらに、Oracle Advanced Securityはネイティブ暗号化またはTLSを使用して、Oracle Net ServicesおよびJDBCトラフィックを暗号化し、ネットワーク経由での移動中に情報を保護できます。 管理接続とアプリケーション接続の両方を保護して、送信中のデータを確実に保護できます。 TLS実装では、サーバーのみのx.509証明書による認証、X.509による相互(クライアント・サーバー)認証など、標準の認証方式をサポートします。
Oracle Database Applianceのデータベースのモニタリングおよび監査
Oracle Database Applianceには、Oracle Database Fine Grained Auditing (FGA)、Oracle Audit VaultおよびOracle Database Firewall Remote Monitorがあり、これらにより包括的な監視および監査機能が提供されます。
コンプライアンス・レポートとインシデント対応のいずれについても、監視および監査は、IT環境の可視性を向上するために必要な重要な機能です。 導入する監視および監査の程度は、一般的に、環境のリスクまたは重要性に基づいて決まります。 Oracle Database Applianceは、サーバー、ネットワーク、データベースおよびストレージの各レイヤーで包括的な監視および監査の機能を提供し、その情報によって組織の監査およびコンプライアンスの要件をサポートできるように設計されています。
Oracle Database Fine Grained Auditing (FGA)は、監査オーバーヘッドを削減し、個別のテーブルや行のレベルで監査記録を作成するのに役立ちます。 FGAによって、組織は、監査レコードが生成されるタイミングを選択的に決定するポリシーを設定できます。 これは、組織が他のデータベース活動に集中し、監査アクティビティに関連するオーバーヘッドを削減するのに役立ちます。
Oracle Audit Vaultは、データベース監査設定を集中管理して、監査データのセキュアなリポジトリへの統合を自動化します。 Oracle Audit Vaultには、特権ユーザーのアクティビティやデータベース構造への変更を含む、幅広いアクティビティを監視するための組込みのレポート機能があります。 Oracle Audit Vaultによって生成されたレポートは、様々なアプリケーションおよび管理データベースのアクティビティへの可視性を実現し、アクションのアカウンタビリティをサポートする詳細情報を提供します。
Oracle Audit Vaultによって、不正なアクセスの試みまたはシステム権限の悪用を示している可能性のあるアクティビティのプロアクティブな検出とアラートが可能になります。 アラートには、特権ユーザー・アカウントの作成、機密情報を含む表の変更など、システム定義とユーザー定義の両方のイベントおよび条件を含めることができます。
Oracle Database Firewallのリモート・モニターは、リアルタイムのデータベース・セキュリティ監視を提供できます。 Oracle Database Firewallリモート・モニターはデータベース接続の問合せを実行して、アプリケーション・バイパス、認可されていないアクティビティ、SQLインジェクション、その他の脅威などの悪意のあるトラフィックを検出します。 Oracle Database Firewallは、SQL構文ベースの精度の高いアプローチで、組織が不審なデータベース・アクティビティを迅速に検出できるように支援します。
Oracle Database Applianceリリース18.7では、新しいデータベース・ホームで作成されたデータベースの統合監査が可能です。 統合監査証跡では、監査情報が取得され、1つのロケーションと1つの形式になります。 この統合ビューにより、監査者は様々なコンポーネントから監査情報を相互に関連付けることができます。 1つの監査証跡を持つことで、監査証跡の管理とセキュリティも向上します。 Oracle Databaseの統合監査証跡の詳細は、「Oracle Databaseセキュリティ・ガイド」を参照してください。
Oracle Database ApplianceでのSTIGの有効化について
Oracle Database Applianceに対してセキュリティ技術実装ガイドライン(STIG)を有効にする方法を理解します。
防御情報システム機関(DISA)では、ソフトウェア、ハードウェアおよびシステム・コンポーネントのデプロイおよび管理用にSecurity Technical Implementation Guidelines (STIG)をお薦めします。 STIG標準の詳細は、https://public.cyber.mil/stigs/downloads/を参照してください。
Oracle Database Applianceは、/opt/oracle/oak/bin/
ディレクトリにあるベア・メタルと仮想化プラットフォームの両方の製品に、STIGスクリプトstig.py
をバンドルします。
STIGスクリプトの実行
次のステップに従って、STIGスクリプトを実行します:
ルート
・ユーザーとしてログインします。opt/oracle/oak/bin
ディレクトリからコマンドを実行します:# ./stig.py
仮想化プラットフォームの場合、両方のノードで
stig.py
をODA_BASE
で実行して、スクリプトで例外を修正できるようにします。
この表は、STIGスクリプトのコマンド・オプションを示しています。
表2-1 Oracle Database ApplianceのSTIGオプション
コマンド・オプション | 説明 |
---|---|
-h |
Oracle Database Appliance STIGスクリプトのコマンド・オプションを指定 |
-v
|
STIGバージョン情報について説明 |
enable |
システムで直接sshルート・ログインを有効にします |
disable |
システムで直接sshルート・ログインを無効にします |
check |
システムにおけるOracle Database Appliance STIG違反のチェックおよびリスト。 check -h を使用して、check オプションのすべてのパラメータを表示します。
|
fix |
システムでレポートされるOracle Database Appliance STIG違反を修正します。 fix -h を使用して、fix オプションのすべてのパラメータを表示します。
|
この表は、STIGスクリプトのcheck
オプションのパラメータを示しています。
表2-2 Oracle Database Appliance STIG Scriptのcheck
オプションのパラメータ
コマンド・オプション | 説明 |
---|---|
-h |
check オプションのヘルプを表示します。
|
all
|
STIG標準に準拠していないシステムの違反をテストして報告 |
perm |
ファイル/ディレクトリのパーミッション・チェックに対するシステムでの違反のテストおよびレポート |
conf |
システムの違反をテストし、構成チェックについてレポート |
audit |
監査チェックのためにシステムで発生した違反をテストし、レポート |
account |
アカウント・チェックのためにシステムでの違反をテストしてレポート |
fs |
ファイル・システム・チェックのシステムでの違反をテストし、報告 |
grub |
grubパスワード・チェックの有効化/無効化のためにシステムで違反をテストし、レポート |
access |
アクセス関連チェックのためにシステムで違反をテストし、レポート |
この表は、STIGスクリプトのfix
オプションのパラメータを示しています。
表2-3 Oracle Database Appliance STIG Scriptのfix
オプションのパラメータ
コマンド・オプション | 説明 |
---|---|
-h |
fix オプションのヘルプを表示します。
|
all
|
STIG標準によって提案されたすべての推奨の修正 |
perm |
システム・ファイルまたはディレクトリのアクセス権を修正して、STIGの推奨事項に準拠するようにします。 |
conf |
STIG推奨事項に従うようにシステム構成を修正 |
audit |
システム監査を修正して、STIG推奨事項を遵守 |
account |
システム・アカウントを修正して、STIGの推奨事項に準拠させる |
fs |
STIG推奨事項に準拠するようにシステム・ファイル・システムを修正 |
grub |
grubパスワードの有効化/無効化を行って、STIG推奨事項に準拠するようにシステムを修正 |
access |
STIG推奨へのシステム・アクセスを修正 |
rollback |
システム・ファイルを(STIG変更なしで) System Imaged状態にします。 このオプションは、fix オプションでのみ実行してください。
|
restore_prev |
以前のセキュリティ脆弱性の修正前の状態にシステム・ファイルを置きます。 このオプションは、fix オプションでのみ実行してください。
|
STIGチェックのロギング
STIGチェックおよび修正のログは、ディレクトリ/opt/oracle/oak/log/oda_1/stig/check_time_stamp.log
に格納されます。 ログ・ファイルは、チェック、修正、有効化、および無効化の各実行用に作成され、各ログ・ファイルにタイムスタンプが追加された状態でコマンドが作成されます。
STIGスクリプトの実行の例
例2-5 STIGコンプライアンスのチェック
# ./stig.py check
例2-6 STIG変更の実装
# ./stig.py fix
失敗したSTIGルールの修正
出荷時のシステム管理者支援を必要とするSTIGルールが存在する場合もあります。 これらのSTIGルールは、fix
オプションを使用してSTIGスクリプトを実行した後、Failed
のステータスを持ちます。
[STIG_ID : OL6-00-000136] The rsyslog file is not configured for backup of audit records, please contact system administrtor
[STIG_ID : OL6-00-000137] The rsyslog file is not centrally configured for backup of log messages, please contact system administrtor
[STIG_ID : OL6-00-000533] Audit the system for Anti-virus software : please contact system administrator
Oracle Database ApplianceでのCISベンチマークの有効化について
Oracle Database Applianceのインターネット・セキュリティ(CIS)ベンチマークに対してセンターを有効にする方法を理解します。
インターネット・セキュリティ(CIS)ベンチマークの中心は、ターゲット・システムのセキュアな構成のベスト・プラクティスです。 これらは、承認ベースのベスト・プラクティスなセキュリティ構成ガイドであり、政府、ビジネス、産業およびアカデミアによって開発および受け入れられました。 CISベンチマークをhttps://learn.cisecurity.org/benchmarksでダウンロードできます。
Oracle Database Applianceは、ディレクトリ/opt/oracle/oak/bin/
にあるベア・メタルと仮想化プラットフォームの両方の製品にCISスクリプトcis.py
をバンドルします。
CISスクリプトの実行
CISスクリプトを実行するには、次のステップに従います:
ルート
・ユーザーとしてログインします。opt/oracle/oak/bin
ディレクトリからコマンドを実行します:# ./cis.py
仮想化プラットフォームの場合、両方のノードで
cis.py
をODA_BASE
で実行して、スクリプトで例外を修正できるようにします。
この表は、CISスクリプトのコマンド・オプションを示しています。
表2-4 Oracle Database ApplianceのCISオプション
コマンド・オプション | 説明 |
---|---|
-h |
Oracle Database Appliance CISスクリプトのコマンド・オプションを指定 |
-v
|
CISのバージョン情報の説明 |
enable |
システムで直接sshルート・ログインを有効にします |
disable |
システムで直接sshルート・ログインを無効にします |
check |
システムにおけるOracle Database Appliance CIS違反を確認してリストします。 check -h を使用して、check オプションのすべてのパラメータを表示します。
|
fix |
システムにレポートされているOracle Database Appliance CIS違反を修正します。 fix -h を使用して、fix オプションのすべてのパラメータを表示します。
|
この表は、CISスクリプトのcheck
オプションのパラメータを示しています。
表2-5 Oracle Database Appliance CIS Scriptのcheck
オプションのパラメータ
コマンド・オプション | 説明 |
---|---|
-h |
check オプションのヘルプを表示します。
|
all
|
システム上のすべてのコンポーネントに対するセキュリティの脆弱性をテストおよびレポート |
perm |
すべての権限チェックに対するセキュリティの脆弱性をテストおよびレポート |
conf |
すべての構成パラメータ分類チェックに対するセキュリティの脆弱性をテストおよびレポート |
audit |
すべての分類チェックに対するセキュリティの脆弱性をテストおよびレポート |
account |
すべての口座分類チェックに対するセキュリティの脆弱性をテストおよびレポート |
fs |
すべてのファイル・システム分類チェックに対するセキュリティの脆弱性をテストおよびレポート |
grub |
grubパスワード・チェックの有効化/無効化のためにセキュリティの脆弱性をテストおよびレポート |
access |
アクセス分類チェックに対するセキュリティの脆弱性をテストおよびレポート |
この表は、CISスクリプトのfix
オプションのパラメータを示しています。
表2-6 Oracle Database Appliance CIS Scriptのfix
オプションのパラメータ
コマンド・オプション | 説明 |
---|---|
-h |
fix オプションのヘルプを表示します。
|
all
|
システム上のすべてのコンポーネントに対するセキュリティの脆弱性の修正および報告 |
perm |
権限分類チェックに対するセキュリティの脆弱性の修正およびレポート |
conf |
すべてのシステム構成分類チェックに対するセキュリティの脆弱性の修正および報告 |
audit |
すべてのシステム監査の分類チェックに対するセキュリティの脆弱性を修正およびレポート |
account |
すべてのシステム勘定科目分類チェックに対するセキュリティの脆弱性の修正およびレポート |
fs |
すべてのシステム・ファイル・システム分類チェックに対するセキュリティの脆弱性の修正およびレポート |
grub |
grubパスワードをCISの推奨事項に準拠させるための有効化/無効化に関するすべてのシステムのセキュリティの脆弱性を修正およびレポート |
access |
すべてのシステム・アクセス分類チェックに対するセキュリティの脆弱性を修正およびレポート |
rollback |
システム・イメージの状態(CISの変更なし)にシステム・ファイルを表示します。 このオプションは、fix オプションでのみ実行してください。
|
restore_prev |
以前のセキュリティ脆弱性の修正前の状態にシステム・ファイルを置きます。 このオプションは、fix オプションでのみ実行してください。
|
CISチェックのロギング
CISチェックおよび修正のログは、/opt/oracle/oak/log/oda_1/cis/check_time_stamp.log
ディレクトリに保存されます。 ログ・ファイルは、チェック、修正、有効化、および無効化の各実行用に作成され、各ログ・ファイルにタイムスタンプが追加された状態でコマンドが作成されます。
CISスクリプトの実行の例
例2-7 CIS Benchmarksコンプライアンスのチェック
# ./cis.py check
例2-8 CIS変更の実装
# ./cis.py fix
失敗したCISベンチマークの修正
CISベンチマークには、システム管理者がその実装を支援する必要がある場合があります。 これらのCISベンチマークのステータスは、fix
オプションを指定してCISスクリプトを実行した後でFailed
になります。
[CIS_ID : 4.2.1.4] The rsyslog file is not configured for remote log check, please contact system administrtor
[CIS_ID : 4.2.3] syslog-ng is not configured, please check with system administrator
セキュアな管理のためのOracle ILOMの使用
Oracle Integrated Lights-Out Management (Oracle ILOM)を使用すると、完全な帯域外管理が可能になり、Oracle Database Applianceのリモート管理機能が提供されます。
IPMI v2.0、セキュリティ制御とセキュリティ機能のコレクションは、個々のアプリケーションおよびサービスを適切に保護するために必要です。 デプロイ済のサービスおよびシステムのセキュリティを維持するために、包括的な管理機能を持つことも同様に重要です。 Oracle Database Applianceは、Oracle ILOMのセキュリティ管理機能を利用します。
Oracle ILOMは、アウトオブバンド管理アクティビティを実行する多くのOracle Database Applianceコンポーネントに組み込まれているサービス・プロセッサです。 Oracle ILOMには、次の機能があります。
-
データベース・サーバーおよびストレージ・サーバーのセキュアなLights-Out Managementを実行するための、セキュアなアクセス。 アクセスには、SSLによって保護されたWebベースのアクセス、セキュア・シェルを使用したコマンドライン・アクセスおよびSNMPv3のプロトコルが含まれます。
-
ロール・ベースのアクセス制御モデルを使用した職務の分離の要件。 個々のユーザーには、実行できる機能を制限するために特定のロールが割り当てられます。
-
すべてのログインおよび構成変更の監査レコード。 各監査ログ・エントリは、アクションを実行したユーザーとタイムスタンプをリストします。 これによって、組織は、認可されていないアクティビティまたは変更を検出し、それらのアクションを起こしたユーザーを特定できます。