|
|
Oracle Service Bus インストールをプロダクション用に準備する場合、セキュリティ要件に特に注意する必要があります。ここでは、必要な作業のいくつかを簡単に説明します。
sbconfig ディレクトリです。次に例を示します。C:\bea\user_projects\domains\base_domain\osb\config
Oracle Service Bus には、Oracle Service Bus に登録されたリソースをエクスポーズする際に使用するリソース サーブレット (BEA_HOME/servicebus/lib/sbresourceWar/sbresource.war) が用意されています。Oracle Service Bus に登録されているリソースは次のとおりです。
ただし、このサーブレットは、メタデータへの匿名 HTTP アクセスを提供しており、これが、一部の高セキュリティ環境では、セキュリティ リスクと見なされる場合があります。
HTTP を介して匿名で Oracle Service Bus リソースにアクセスできないようにする場合は、sbresources.war でセキュリティ ロールを設定して、リソースへのアクセスを制御するか、または、リソースを完全にアンデプロイすることができます。
| 注意 : | SB リソースをアンデプロイすると、UDDI サブシステムを使用できなくなります。 |
「メッセージ コンテキスト モデル」で説明されているように、メッセージ コンテンツを処理する場合、Oracle Service Bus パイプラインが、コンテンツをメモリにロードするのではなく、ストリーミングするように指定できます。プロキシ サービスでコンテンツ ストリーミングを有効にする場合は、メッセージ処理中の中間段階として、ストリーミングされたコンテンツをメモリまたはディスク ファイルにバッファするかどうかを指定します。
一時ディスク ファイルを使用する場合は、それらを保護する必要があります。
Oracle Service Bus ドメインをロックダウンするには、Java システム プロパティ com.bea.wli.sb.context.tmpdir を設定して、一時ファイルが書き込まれる場所を指定します。
このディレクトリが存在し、適切なアクセス権のセットがあることを確認してください。
詳細については、WebLogic Server のドキュメントの『プロダクション環境の保護』にあるファイルのアクセス権およびファイル システムの推奨事項に関する説明を参照してください。
プロダクション環境では、管理者以外のユーザは Oracle Service Bus Console にアクセス不可能である必要があります。
サービス拒否攻撃では、1 つのソースから大量の要求が発信されたり、リソース制約がある点に達するとサーバへの新しい接続が確立されたりします。
Oracle Service Bus Console に対するサービス拒否攻撃からの保護に関する推奨事項を次に示します。
ワーク マネージャの詳細については、次の WebLogic Server Administration Console オンライン ヘルプ トピックを参照してください。
|