プロダクション環境の保護

     前  次    新しいウィンドウで目次を開く     
ここから内容の開始

プロダクション環境のセキュリティの確保

Oracle では、使用しているプロダクション環境のセキュリティを確保するために、次のアクションを実装することをお勧めします。

 

WLOC ホストのセキュリティ

WLOC プロダクション環境のセキュリティは、動作しているマシンのセキュリティと同程度でしかありません。そのため、物理マシンやオペレーティング システムをはじめとして、ホスト マシンにインストールされているその他のすべてのソフトウェアを保護することが重要です。プロダクション環境での WLOC ホストの保護についてのヒントを次に示します。また、マシンおよびオペレーティング システムのメーカーに、適切なセキュリティ対策について確認してください。

表 2-1 WLOC ホストのセキュリティ
セキュリティ アクション
説明
ハードウェアを物理的に保護する
権限のないオペレーティング システムのユーザが、デプロイメント マシンまたはそのネットワーク接続を変更できないように、ハードウェアを安全な場所に置きます。
オペレーティング システムが提供するネットワーク サービスを保護する
悪意のある攻撃者がオペレーティング システムにアクセスしたり、システム レベルのコマンドを実行したりできないように、電子メール プログラムまたはディレクトリ サービスなどのネットワーク サービスについて専門家に確認してもらいます。使用するオペレーティング システムによって方法は異なります。
ファイル システムを企業ネットワーク内の他のマシンと共有する場合、そのファイル システムはリモート攻撃される危険性があります。WLOC をホストするマシンのファイル システムを共有する前に、リモート マシンとネットワークがセキュアであるかどうかを確認してください。
不正アクセスを防ぐことのできるファイル システムを使用する
各 WLOC ホスト上のファイル システムで、保護されているリソースへの不正なアクセスができないようになっていることを確認します。たとえば、Windows コンピュータでは、NTFS のみを使用します。
ディスクに保存されたデータにファイル アクセス パーミッションを設定する
ディスクに保存されたデータへのアクセスを制限するために、オペレーティング システムのファイル アクセス パーミッションを設定します。
たとえば Unix、Linux などのオペレーティング システムには、ファイル アクセス パーミッションの設定用に umask や chmod といったユーティリティが用意されています。少なくとも、Group と Others に対する読み取りおよび書き込みパーミッションを拒否する「umask 066」の使用を検討します。
ホスト マシンのユーザ アカウント数を制限する
WLOC ホストで必要とされる数を超えるユーザ アカウントを作成しないようにして、各アカウントに付与されるファイル アクセス特権を制限します。ホスト マシンでは、複数のシステム管理者ユーザを許可するオペレーティング システムでシステム管理者特権を持つ 2 つのユーザ アカウントがあり、WLOC を実行する特権を持つ別のユーザがあることが理想的です。2 つのシステム管理者ユーザがあればバックアップが常に提供されます。WLOC のユーザは、システム管理者ユーザではなく制限されたユーザにします。システム管理者ユーザの 1 つが、必要に応じて新しい WebLogic Server ユーザを常に作成できます。
アクティブなユーザ アカウントを定期的に再検討し、退職者があった場合にも見直します。
予備知識 :
コンフィグレーション データの一部と Java Server Pages (JSP) および HTML ページなどの URL (Web) リソースの一部は、ファイル システム上にクリア テキストで保存されます。ファイルおよびディレクトリへの読み込みアクセス権を持つユーザまたは侵入者が、WLOC の認証計画および認可計画で確立するセキュリティ メカニズムを破る可能性があります。
システム管理者のユーザ アカウントの場合、分かりにくい名前を選択する
セキュリティを強化するには、システム管理者のユーザ アカウントに「system」、「admin」、または「administrator」などの分かりやすい名前を選択しないようにします。
パスワードを保護する
プロダクション マシンのユーザ アカウントのパスワードは、推測が難しいものに設定し、注意して守る必要があります。
定期的にパスワードを変更してください。
各ホスト コンピュータでは、アクセス特権を持つ 2 つのシステム管理者ユーザのほかに、1 つのユーザ アカウントにのみリソースへのアクセス権を付与する
各 WLOC ホスト コンピュータでは、オペレーティング システムを使用して、WLOC の実行用に特別なユーザ アカウント (wloc_owner など) を設定します。
このオペレーティング システム (OS) のユーザ アカウントには、以下の特権を付与します。
  • ホーム ディレクトリ、WLOC 製品ディレクトリ ツリー、およびユーザ プロジェクト ディレクトリのみに対するアクセス特権。

    • ホーム ディレクトリとは共通ファイル用のリポジトリのことで、同じマシンにインストールされる複数の Oracle 製品が使用します。WLOC 製品インストール ディレクトリ には、プログラム ファイルを含む、システムにインストールする WLOC ソフトウェア コンポーネントがすべて含まれます。ユーザ プロジェクト ディレクトリには、コンフィグレーション ファイル、セキュリティ ファイル、ログ ファイル、および単一の WLOC コントローラおよびエージェント用のその他のリソースが含まれます。WLOC ホスト コンピュータに複数のユーザ プロジェクトをインストールする場合、各ユーザ プロジェクト ディレクトリを保護する必要があります。

    デフォルトでは、Oracle インストール プログラムによってすべてのファイルとユーザ プロジェクト ディレクトリが単一のディレクトリ ツリーに格納されます。このツリーの最上位ディレクトリの名前は bea です。WLOC ファイルはすべてこのディレクトリ ツリーのサブディレクトリ (bea\wloc_10.3) にあり、ユーザ プロジェクト ファイルは別のサブディレクトリ (bea\user_projects\controller または
    bea\user_projects\agent1) にあります。

    ただし、WLOC 製品インストール ディレクトリおよびユーザ プロジェクト ディレクトリをホーム ディレクトリの外部に配置することもできます。詳細については、『インストール ガイド』の「インストールのためのディレクトリの選択」を参照してください。

  • その他の OS ユーザには、ファイルおよびユーザ プロジェクト ファイルへの読み込みアクセス権、書き込みアクセス権、または実行アクセス権を付与しない (システム管理者ユーザは、デフォルトでアクセス特権を保持する)。

    • これにより、WLOC と同じマシンで実行されている他のアプリケーションのファイルおよびユーザ プロジェクト ファイルへのアクセスが制限されます。このように保護しないと、その他のアプリケーションの一部は書き込みアクセス権を得て、動的コンテンツを提供する JSP およびその他のファイルに悪意のある実行コードを挿入する可能性があります。そのファイルが次にクライアントに提供されると、挿入されたコードが実行されます。

各ホスト コンピュータでは 1 つのユーザ アカウントにのみ WLOC リソースへのアクセス権を付与する
知識の豊富なオペレーティング システムのユーザが、以下のファイルに対して書き込みアクセス権 (場合によっては読み込みアクセス権) を付与されている場合、WLOC のセキュリティを無視することができます。
  • WLOC インストール
  • JDK ファイル (通常、WLOC インストール内にあります。ただし、別になるようにコンフィグレーションできます)
  • ユーザ プロジェクト ディレクトリ
プロダクション マシンで開発しない
まず開発マシンで開発し、開発が終わりテストが終了したら、コードをプロダクション マシンに移行します。これにより、開発環境でのバグが、プロダクション環境のセキュリティに影響を及ぼすことを防止できます。
開発ソフトウェアおよびサンプル ソフトウェアをプロダクション マシンにインストールしない
プロダクション マシンに開発ツールをインストールしないようにします。開発ツールをプロダクション マシンにインストールしないことにより、侵入者が WLOC プロダクション マシンに部分的にアクセスできたとしても、影響を減らすことができます。
セキュリティ監査を有効にする
WLOC が動作するオペレーティング システムが、ファイルおよびディレクトリ アクセスのセキュリティ監査をサポートする場合は、監査ログを使用して、拒否されたディレクトリまたはファイル アクセス違反をトラッキングすることをお勧めします。管理者は、監査ログ用に十分なディスク領域を確保する必要があります。
オペレーティング システムを保護する追加ソフトウェアの使用を検討する
多くのオペレーティング システムでは、プロダクション環境を保護するために、追加ソフトウェアを実行することができます。たとえば、侵入検知システム (Intrusion Detection System: IDS) を使用すると、プロダクション環境を変更しようとしたときに検出できます。
使用可能なソフトウェアの情報については、使用しているオペレーティング システムのベンダに問い合わせてください。
オペレーティング システムのサービス パックおよびセキュリティ パッチを適用する
推奨されているサービス パックおよびセキュリティ関連のパッチのリストについては、オペレーティング システムのベンダに問い合わせてください。
最新のサービス パックを適用し、最新のセキュリティ勧告を実装する
サイトのセキュリティ問題の担当者は、新しいセキュリティ勧告に関する通知を受け取るために、https://support.bea.com/application_content/product_portlets/securityadvisories/index.html の「Oracle WebLogic Advisories and Notifications」ページで登録してください。
セキュリティ勧告で推奨されている対策は、「Advisories & Notifications」ページに掲載されます。
また、各サービス パックがリリースされたら適用してください。サービス パックには、製品の各バージョンおよび以前にリリースされた各サービス パックのすべてのバグの修正が含まれています。
製品でセキュリティ問題が発生した場合は secalert_us@oracle.com に連絡してください。
プロダクション環境では開発モードで WebLogic Server を実行しない
プロダクション モードでは、プロダクション環境にとってよりセキュアで適切な設定を使用してサーバが実行されるように設定されます。

 

ネットワーク接続のセキュリティ

ネットワーク接続を設計するときには、管理が容易なセキュリティ ソリューションのニーズと、戦略上重要な WLOC リソースを保護するためのニーズのバランスを取ります。次の表で、ネットワーク接続を保護するためのオプションを示します。

表 2-2 ネットワーク接続のセキュリティ
セキュリティ アクション
説明
ハードウェアおよびソフトウェアを使用してファイアウォールを作成する
ファイアウォールとは、2 つのネットワーク間のトラフィックを制限する機能です。ファイアウォールは、ソフトウェアとハードウェア (ルータや専用のゲートウェイ マシンなど) を組み合わせて作成できます。ファイアウォールでは、プロトコル、要求されたサービス、ルーティング情報、パケット内容、および送信元や送信先のホストやネットワークに基づいて、トラフィックの通過を許可したり否認したりするフィルタが使用されます。また、認証されたユーザのみにアクセス権を限定できます。
信頼性のないネットワーク環境にある場合、コンソールへの https アクセスのみ許可する
コンソールへのアクセスを https (SECURE モード) のみに制限する方法については、WLOC の『コンフィグレーション ガイド』の「セキュリティのコンフィグレーション」を参照してください。コンソールが UNSECURE モードまたは BOTH モードで動作している場合、ネットワークにアクセスする攻撃者によって資格情報が傍受される可能性があります。
信頼性のないネットワーク環境にある場合、コントローラとエージェントは SSL を使用して通信する
コントローラとエージェントの間で SSL のみを使用して通信するように設定する方法については、WLOC の『コンフィグレーション ガイド』の「セキュリティのコンフィグレーションを参照してください。エージェントの操作は SSL を使用して保護されます。コントローラとエージェントの間で SSL を使用せずに通信する場合、ネットワークを通じてアクセスする攻撃者によってエージェントが攻撃される可能性があります。
WLOC コンソールにログインしている間は安全なネットサーフィンを心がける
多くのクロスサイト スクリプティング攻撃 (XSS) やクロスサイト リクエスト フォージェリ (CSRF) 攻撃では、認証されたユーザが別のサイトを訪問し、無意識のうちにリンクをクリックすることによって悪意のあるコードが実行されます。WLOC コンソールにログインしている間は、WLOC がそのような攻撃にさらされる可能性を減らすために、WLOC 以外のサイトを訪問しないようにします。

 

WLOC Security サービスのセキュリティ

WLOC Security サービスには、多彩で柔軟なソフトウェア ツールがあり、サーバ インスタンスで実行するサブシステムおよびアプリケーションの保護に使用できます。次の表は、使用しているプロダクション環境を保護するために推奨される基本機能のチェックリストです。

表 2-3 WebLogic Security サービスのセキュリティ
セキュリティ アクション
説明
プロダクション環境では SSL を使用し、デモ用のデジタル証明書を使用しない
重要なデータを危険にさらさないためには、HTTPS を使用してデータ転送を保護します。
Configuration Wizard がコントローラまたはエージェントで機能しているとき、WLOC は自己署名 SSL 証明書を生成します。これらの自己署名の証明書を認証局によって署名された証明書に置き換えます。
詳細については、WLOC の『コンフィグレーション ガイド』の「セキュリティのコンフィグレーション」を参照してください。
セキュリティ監査を定期的に確認する
監査は、主要なセキュリティ イベントを WLOC 環境に記録する処理です。Security サービスが提供する監査プロバイダを有効にすると、イベントが user_projects\controller\legacy-rootdir\servers\legacy-server-name\logs\DefaultAuditRecorder.log に記録されます。
監査レコードを定期的に確認し、セキュリティ違反または違反未遂を検出します。度重なるログインの失敗や、予期しないパターンのセキュリティ イベントに注目することで、重大な問題を防げる可能性があります。
デフォルトの WLOC セキュリティ ロールにユーザおよびグループを正しく割り当てたことを確認する
デフォルトでは、すべての WLOC リソースは、セキュリティ ロールのデフォルト セットに基づくセキュリティ ポリシーによって保護されています。目的のユーザおよびグループをこれらのデフォルト セキュリティ ロールに割り当てます。
詳細については、WLOC の『コンフィグレーション ガイド』の「セキュリティのコンフィグレーション」を参照してください。
システム管理者特権を持つ、少なくとも 2 つのユーザ アカウントを作成する
ドメインの作成時に、システム管理者ユーザのうち 1 つを作成する必要があります。他のユーザ (複数可) を作成し、これらを Admin セキュリティ ロールに割り当てます。システム管理者ユーザを作成したら、それらに対して容易に推測できないユニークな名前を付与します。
少なくとも 2 つのシステム管理者のユーザ アカウントがあれば、1 つのユーザが辞書攻撃や総当り攻撃でロックアウトになった場合でも、もう 1 つのユーザでアカウント アクセスを保持できます。


  ページの先頭       前  次