13 Oracle Audit Vault and Database Firewall Hybrid Cloud Deployment
Oracle Audit Vault and Database Firewall Hybrid Cloud Deploymentを使用するには、いくつかの予備タスクを実行する必要があります。
13.1 Oracle Audit Vault and Database Firewall Hybrid Cloud Deploymentおよび前提条件
Hybrid Cloudデプロイメント用にOracle Audit Vault and Database Firewallを構成できます。
Oracle AVDFハイブリッド・クラウド・デプロイメント・モデルは次のようになります。
- Audit Vault Serverはオンプレミスでデプロイされ、ターゲットはクラウドまたはオンプレミスにデプロイされる
- Audit Vault Serverはクラウドでデプロイされ、ターゲットはクラウドまたはオンプレミスにデプロイされる
Oracle Public Cloudデプロイメント・モデルでは、Audit Vault ServerはオンプレミスまたはOracle Cloudにデプロイされます。これはOracle Database Cloud Service、Oracle Exadata Cloud Serviceおよびオンプレミスのデータベース・インスタンスを監視します。オンプレミスまたはクラウド・ターゲットから監査データを収集できるAudit Vault Agentsを使用します。これらのエージェントは、ターゲット・データベースとAudit Vault Serverに接続します。Audit Vault Serverへの接続はJDBCを使用して、ポート1521および1522で行われます。この章では、例としてOracle Public Cloudを使用します。
Oracle以外のクラウドの場合、概念は似ていますが、エージェントとデータベース間のネットワーク接続を構成する実際の実行方法は異なります。様々なネットワーク構成、ファイアウォールおよびクラウド・プロバイダがあり、それぞれにネットワーク接続を構成する独自の方法があります。Oracle以外のクラウドで実行されているOracle DatabaseにHybrid Cloud Deploymentモデルを使用する場合、サポートはデータベースとのエージェントの相互作用に限定されます。様々なクラウド・プロバイダで使用される様々なネットワーク構成のパラダイムのため、ネットワーク接続の問題に対するサポートはクラウド・プロバイダが継続する必要があります。
オンプレミスで実行されているOracle DatabaseにHybrid Cloud Deploymentモデルを使用する場合、Audit Vault ServerはPublic Cloudで実行されます。このような場合、エージェントとAudit Vault Server間の接続を可能にするオンプレミス・ネットワークの設定は、顧客側の責任になります。Oracle AVDFのサポートはAudit Vault Agentに限定されます。接続の許可に関連する基底のネットワーク・コンポーネントは対象になりません。
TCPとTCPSは、Oracle Database Cloud Serviceの2つの接続オプションです。TCPとTCPSの接続設定はほぼ同じです。違いはポート番号です。Oracle Database Cloud Serviceクラウド・ターゲットの構成設定の主な特性を次に示します。
-
TCP接続には、デフォルトで暗号化が適用されます。
-
Audit Vault Agentとクラウド・ターゲットの間にTCPS接続が構成されます。
-
Audit Vault Serverで、クラウド・ターゲットに対してTCPSオプションを設定する必要があります。
-
追加のAudit Vault Agentを使用して、オンプレミスのデータベース、ディレクトリおよびオペレーティング・システムから監査データを収集できます。
ノート:
-
ユーザーは、複数のAudit Vault Agentを使用してDBCSインスタンスからデータを収集できます。
-
1つのAudit Vault Serverのホスト上にインストールできるAudit Vault Agentは1つのみです。1つのAudit Vault Agentを使用して、複数の監査証跡収集を開始できます。
-
-
このデプロイメントには、お客様がオンプレミス環境とクラウド環境にまたがる一貫した監査ポリシーまたはセキュリティ・ポリシーに対応できる高い柔軟性があります。
-
Audit Vault and Database Firewall Hybrid Cloudをデプロイするための前提条件
Oracle Audit Vault and Database Firewall Hybridをデプロイする前に考慮する要因は、数多く存在します。この表では、オンプレミスのデータベースとOPCのデータベース(DBCSの場合)、およびExadata Express Cloud ServiceでAudit Vault and Database Firewall機能が使用可能であるかどうかの概要を示します。
特性 | オンプレミスのDB | OPCのDB | Exadata Express Cloud Service | Data Warehouse Cloud Service |
---|---|---|---|---|
データベース表ベースの監査収集 (SYS.AUD$、SYS.FGA_LOG$など) |
〇 |
〇 |
× |
× |
統合監査表証跡 |
〇 |
〇 |
〇 |
〇 |
データベース・ファイル・ベースの監査収集 |
〇 |
× |
× |
× |
REDOログのサポート |
〇 |
× |
× |
× |
OSの監査収集 |
〇 |
× |
× |
× |
権限の取得 |
〇 |
〇 |
〇 |
〇 |
ポリシーの取得/従来の監査証跡用のプロビジョニング |
〇 |
〇 |
× |
× |
対話モード・レポートの表示 |
〇 |
〇 |
〇 |
〇 |
スケジュールされたレポートの表示 |
〇 |
〇 |
〇 |
〇 |
ストアド・プロシージャ監査 |
〇 |
× |
× |
× |
Oracle Audit Vault and Database Firewall Hybrid Cloudを監査するための前提条件
DBCSターゲットの監査中に考慮する必要がある側面が複数あります。有効化された監査ポリシーの数とタイプがAudit Vault Serverに送信される監査レポートの数に直接影響するため、DBCSクラウド・ターゲットに関する監査要件と監査ポリシーが重要です。DBCSインスタンスには、様々な監査設定が適用される可能性があります。このため、ユーザーはこれらの情報をAudit Vault Serverで、または直接データベース・インスタンスで確認する必要があります。
ノート:
表ベースの監査証跡からの監査データ収集のみがサポートされています。バージョンごとの情報を次に示します。
リリース | サポートされている監査情報 |
---|---|
Oracle Database 11g リリース11.2 |
|
Oracle Database 12c以降 |
|
ノート:
SYS.AUD$とSYS.FGA_LOG$の表には、追加の列RLS$INFOがあります。統合監査証跡表にはRLS_INFO列があります。この列には、構成済の行レベルのセキュリティ・ポリシーの説明が示されます。これは、Oracle Audit Vault and Database Firewallの拡張フィールドにマップされます。この列に移入するには、ユーザーがターゲットのAUDIT_TRAIL
パラメータをDB EXTENDED
に設定する必要があります。
13.2 Oracle Database Cloud Service上のポートを開く
Oracle Database Cloud Service上のポートを開くことができます。
この手順は、特定のポートを開くために使用します。これは、Audit Vault and Database Firewall Hybrid Cloudをデプロイする前の前提条件の1つです。
ポートを開くには、次の手順を実行します。
- DBCSサービスにログインします。
- 最上部のOracleロゴの横にあるナビゲーション・メニューをクリックします。
- Oracle Cloud Infrastructure Compute for Oracle Public Cloudサービスを選択します。
- 次の画面で、ポート設定または許可リストの上部にある「ネットワーク」タブをクリックします。
- セキュリティ・アプリケーションタブをクリックして、使用可能なポートのリストを表示します。
- セキュリティ・アプリケーションの作成をクリックし、有効にする必要があるポートを指定します。
- セキュリティ・ルールタブをクリックし、セキュリティ・ルールの作成ボタンをクリックします。
- セキュリティ・アプリケーションフィールドで、以前に選択したアプリケーションを選択します。
- 残りのフィールドを入力します。
- 「作成」をクリックします。
13.3 TCPを使用したHybrid Cloudターゲットの構成
TCPモードでDBCSインスタンス用にクラウド・ターゲットを構成できます。Audit Vault ServerとAudit Vault Agentはオンプレミスでインストールされています。
13.3.1 ステップ1: Audit Vault Serverでのオンプレミス・ホストの登録
この構成ステップでは、Audit Vault Serverでオンプレミス・ホストを登録します。
Oracle Database Cloud Servicesインスタンスを監視するためのエージェントにインストールされたAudit Vault Serverにすでに登録済のオンプレミス・ホストが存在する場合は、この手順を省略してください。それ以外の場合は、オンプレミスに存在するどのターゲット・データベースでもステップはほぼ同じです。
13.3.2 ステップ2: 登録されたオンプレミス・ホストでのAudit Vault Agentのインストール
この構成ステップでは、登録されたオンプレミス・ホストにOracle Audit Vaultエージェントをインストールします。
ノート:
DBCSインスタンスを監視するために計画されたオンプレミス・ホストにAudit Vault Agentがすでにインストールされている場合は、このステップを無視してください。エージェントがインストールされていない場合は、DBCSインスタンスを監視するAudit Vault Agentに関して特定の要件があります。要件または機能は次のとおりです。
-
エージェントはオンプレミスで実行される必要があります。
-
少なくとも1つのエージェントがDBCSインスタンスの監視専用である必要があります。複数のエージェントをDBCSインスタンスの監視専用にすることもできます。
-
Audit Vault Serverでエージェントを実行しないでください。
13.3.3 ステップ3: Oracle Database Cloud Serviceターゲット・インスタンスでのユーザー・アカウントの作成
この構成ステップでは、Oracle Database Cloud Serviceターゲット・インスタンスでユーザー・アカウントを作成します。
ノート:
オンプレミス・デプロイメントの場合は、TCP接続の接続方法が異なります。
前提条件
-
後でSQL*PlusやSQL*Developerを使用できるように、DBCSインスタンスのポート1521をTCP接続用に開く必要があります。TCP接続はデフォルトで暗号化されます。ネイティブの暗号化が使用されます。詳細なステップは、「Oracle Database Cloud Service上のポートを開く」を参照してください。
インストール手順は次のとおりです。
13.3.4 ステップ4: ターゲットのOracle Database Cloud Serviceインスタンスでの監査ポリシーの設定または確認
この構成ステップでは、ターゲットのOracle Database Cloud Serviceインスタンスで監査ポリシーを管理する方法について説明します。
有効になっている監査ポリシーを確認し、必要に応じて変更します。Oracle Database 11gリリース11.2およびOracle Database 12cインスタンスで統合監査が有効になっていない場合は、Audit Vault Serverから監査ポリシーをプロビジョニングできます。Oracle12cインスタンスで統合証跡が有効になっている場合は、必ずDBCSインスタンス上で手動で監査ポリシーを変更してください。
ノート:
監査データの収集プロセスを開始する前に、必ずDBCSインスタンスの監査設定を確認してください。現在、1つのAudit Vault Agentで最大10個のクラウド・ターゲットの監査証跡がサポートされています。監査レコードの収集速度は、ターゲットの監査証跡ごとに1日当たり最大2500万件です。推奨されるAudit Vault Agentの構成については、Oracle Audit Vault and Database Firewallインストレーション・ガイドを参照してください。
オンプレミスのAudit Vault Serverによってデータが収集された後は、監査のクリーンアップのため、DBCSインスタンスでDBMS_AUDIT_MGMT
パッケージを実行します。Audit Vault Serverは、すべてのターゲットのデータ保持ポリシーをサポートし、コンプライアンス要件を満たします。これにより、オンプレミス・インスタンスとDBCSインスタンスで異なる保持ポリシーを構成できます。
Audit Vault ServerにオンプレミスまたはDBCSインスタンス・ターゲットを追加しながら十分なストレージを確保するには、Audit Vault Serverに対するストレージ要件も確認する必要があります。
13.3.5 ステップ5: Oracle Audit Vault ServerでのOracle Database Cloud Serviceインスタンス用のターゲットの作成
この構成ステップでは、Oracle Audit Vault ServerでOracle Database Cloud Serviceインスタンス用のターゲットを作成します。
13.3.6 ステップ6: Audit Vault ServerでのOracle Database Cloud Serviceインスタンス用の監査証跡の開始
この構成ステップでは、Oracle Audit Vault ServerでOracle Database Cloud Serviceインスタンス用の監査証跡を開始します。
Audit Vault ServerでDBCSインスタンス用の監査証跡を開始するには、この手順を使用します。
-
Audit Vaultコンソールに管理者としてログインします。
-
「ターゲット」タブで、新規に登録したターゲットを選択します。
-
「監査データ収集」セクションで、「追加」をクリックします。「監査証跡の追加」ダイアログが表示されます。
-
監査証跡のタイプとして
TABLE
を選択します。ノート:
その他の証跡のタイプは、DBCSターゲット・インスタンスではサポートされません。
-
「証跡の場所」にドロップダウン・メニューから適切な値を選択します。
Oracle DBCSターゲットのサポートされる表証跡は、次のとおりです。
-
UNIFIED_AUDIT_TRAIL
-
SYS.AUD$
-
SYS.FGA_LOG$
-
DVSYS.AUDIT_TRAIL$
-
-
「エージェント・ホスト」を選択します。
-
「保存」をクリックし、監査証跡を追加します。
13.4 DBCSインスタンス用のTCPS接続の構成
DBCSインスタンス用のTCPS接続を構成する方法を学習します。
13.5 TCPSを使用したHybrid Cloudターゲットの構成
TCPSモードでDBCSインスタンス用にクラウド・ターゲットを構成する方法を学習します。Audit Vault ServerとAudit Vault Agentはオンプレミスでインストールされています。
13.5.1 ステップ1: Oracle Audit Vault Serverでのオンプレミス・ホストの登録
Oracle Audit Vault Serverにオンプレミス・ホストを登録するには、この構成手順に従います。
このステップでは、Audit Vault Serverでオンプレミス・ホストを登録します。
ノート:
DBCSインスタンスを監視するためのエージェントにインストールされたAudit Vault Serverにすでに登録済のオンプレミス・ホストが存在する場合は、この手順をスキップしてください。それ以外の場合は、オンプレミスに存在するどのターゲット・データベースでもステップはほぼ同じです。ステップの詳細は、「Audit Vault Serverでのホストの登録」を参照してください。
13.5.2 ステップ2: 登録されたオンプレミス・ホストでのOracle Audit Vault AgentのインストールおよびTCPSの構成
この構成手順では、登録されたオンプレミス・ホストにOracle Audit Vaultエージェントをインストールし、TCPSを構成します。
ノート:
DBCSインスタンスを監視するために計画されたオンプレミス・ホストにAudit Vault Agentがすでにインストールされている場合は、このステップを無視してください。エージェントがインストールされていない場合は、DBCSインスタンスを監視するAudit Vault Agentに関して特定の要件があります。要件または機能は次のとおりです。
-
エージェントはオンプレミスで実行される必要があります。
-
少なくとも1つのエージェントがDBCSインスタンスの監視専用である必要があります。複数のエージェントをDBCSインスタンスの監視専用にすることもできます。
-
Audit Vault Serverでエージェントを実行しないでください。
- オンプレミス・ホストにAudit Vault Agentをインストールします。オンプレミス・ホストをインストールするステップの詳細は、「ホスト・コンピュータでのAudit Vault Agentのデプロイ」を参照してください。
- Audit Vault Agentを起動します。
13.5.3 ステップ3: Oracle Database Cloud Serviceターゲット・インスタンスでのユーザー・アカウントの作成
このステップでは、Oracle Database Cloud Serviceインスタンスでユーザー・アカウントを作成します。
ノート:
オンプレミス・デプロイメントの場合は、利用する接続方法とスクリプトが異なります。
前提条件
-
後でSQL*PlusやSQL*Developerを使用できるように、DBCSインスタンスのポート1522をTCP接続用に開く必要があります。TCP接続はデフォルトで暗号化されます。ネイティブの暗号化が使用されます。詳細なステップは、「Oracle Database Cloud Service上のポートを開く」を参照してください。
手順:
13.5.4 ステップ4: ターゲットのOracle Database Cloud Serviceインスタンスでの監査ポリシーの設定または確認
この手順を使用して、ターゲットのOracle Database Cloud Serviceインスタンスの監査ポリシーを設定および確認します。
有効になっている監査ポリシーを確認し、必要に応じて変更します。Oracle Database 11g、Oracle Database 11.2およびOracle Database 12cリリース・インスタンスで統合監査が有効になっていない場合は、Audit Vault Serverから監査ポリシーをプロビジョニングできます。Oracle Database 12cインスタンスで統合証跡が有効になっている場合は、DBCSインスタンス上で手動で監査ポリシーを変更してください。
ノート:
-
監査データの収集プロセスを開始する前に、DBCSインスタンスの監査設定を確認してください。現在、1つのAudit Vault Agentで最大10個のクラウド・ターゲットの監査証跡がサポートされています。監査レコードの収集速度は、ターゲットの監査証跡ごとに1日当たり最大2500万件です。推奨されるAudit Vault Agentの構成については、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。
-
オンプレミスのAudit Vault Serverによってデータが収集された後は、監査のクリーンアップのため、DBCSインスタンスでDBMS_AUDIT_MGMTパッケージを実行します。Audit Vault Serverは、すべてのターゲットのデータ保持ポリシーをサポートし、コンプライアンス要件を満たします。これにより、オンプレミス・インスタンスとDBCSインスタンスで異なる保持ポリシーを構成できます。
13.6 TCPSを使用したOracle Database Exadata Express Cloud Serviceターゲットの構成
TCPSモードでOracle Database Exadata Express Cloud Serviceターゲットを構成する方法を学習します。
13.6.1 ステップ1: 登録されたオンプレミス・ホストでのAudit Vault AgentのインストールおよびTCPSの構成
このステップでは、登録されたオンプレミス・ホストにOracle Audit Vault Agentをインストールし、TCPSを構成します。
前提条件
-
正しいバージョンのJDKがインストールされていることを確認します。サポートされているJDKのバージョンは次のとおりです。
-
JDK7u80以上
-
JDK8u71
-
JDK7およびJDK8の両方のJCE Unlimited Strength Jurisdiction Policy Files。JDK 8の.jarファイルは、http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.htmlからダウンロードできます
-
13.7 TCPを使用したOracle Database Exadata Express Cloud Serviceターゲットの構成
TCPモードでExadata Express Cloudターゲットを構成する方法を学習します。Audit Vault ServerとAudit Vault Agentはオンプレミスでインストールされています。
13.7.1 ステップ1: Oracle Audit Vault Serverでのオンプレミス・ホストの登録
この構成ステップでは、Oracle Audit Vault Serverでのオンプレミス・ホストの登録方法を説明します。
ステップ1: Audit Vault Serverでのオンプレミス・ホストの登録を参照してください。
13.7.2 ステップ2: 登録されたオンプレミス・ホストでのAudit Vault Agentのインストール
この構成ステップでは、登録されたオンプレミス・ホストにエージェントをインストールします。
13.7.3 ステップ3: Oracle Exadata Express Cloudターゲット・インスタンスでのユーザー・アカウントの作成
この構成ステップでは、Oracle Exadata Express Cloudターゲット・インスタンスでユーザー・アカウントを作成します。
13.7.4 ステップ4: ターゲットのOracle Exadata Express Cloudインスタンスでの監査ポリシーの設定または確認
この構成ステップを使用すると、ターゲットのOracle Exadata Express Cloudインスタンス上で監査ポリシーを設定および確認できます。
ノート:
これはOracle Exadata Express Cloud Serviceインスタンスではサポートされていません。
13.8 Autonomous Data WarehouseおよびAutonomous Transaction Processingの構成
TCPSモードでAutonomous Data WarehouseおよびAutonomous Transaction Processing用にOracle Database Cloud Serviceタイプをターゲットとして構成する方法を学習します。
13.8.1 ステップ1: 登録されたホストでのAudit Vault Agentのインストール
この構成ステップでは、登録されたホストにAudit Vault Agentをインストールします。
前提条件
正しいバージョンのJDKがインストールされていることを確認します。サポートされているJDKのバージョンは次のとおりです。
- JDK7u80以上
- JDK8u71
- JDK7およびJDK8の両方のJCE Unlimited Strength Jurisdiction Policy Files。JDK 8の.jarファイルは、http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.htmlからダウンロードできます
次のステップを実行します。
- ホスト・マシンにAudit Vault Agentをインストールします。詳細なステップは、「ホスト・コンピュータでのAudit Vault Agentのデプロイ」を参照してください。
- Audit Vault Agentを開始します。
13.8.2 ステップ2: Oracle Cloudインスタンスでのユーザー・アカウントの作成
この構成ステップでは、Oracle Cloudインスタンスにユーザー・アカウントを作成します。
この手順を完了し、Autonomous Data WarehouseまたはAutonomous Transaction Processing Cloudインスタンスのユーザー・アカウントを作成します。
13.8.3 ステップ3: Audit Vault ServerでのCloudインスタンス用のターゲットの作成
この構成ステップでは、Audit Vault ServerでAutonomous Data WarehouseインスタンスおよびAutonomous Transaction Processing Cloudインスタンス用のターゲットを作成します。
前提条件
-
ユーザーは、Oracle Cloud Infrastructureコンソールを使用して、クライアント・ウォレットをダウンロードする必要があります。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。
- クライアント・ウォレットを解凍します。ウォレットには、シングル・サインオン・ウォレット・ファイル(cwallet.sso)が含まれます。
- ユーザーはOracle Cloud Infrastructure Consoleの使用で接続文字列を取得できます。
ユーザーは、「ターゲットの構成」ページでこれらの詳細および特定の設定を入力する必要があります。次のステップに従います:
- Audit Vault Serverコンソールに管理者としてログインします。
- 「ターゲット」タブをクリックします。
- 右側の「登録」ボタンをクリックします。
- ターゲットの「名前」を入力し、Oracle Databaseとして「タイプ」を選択します。
- 必要に応じて、「説明」フィールドに入力します。
- 「監査接続の詳細」サブタブで、「詳細」オプションを選択します。
- 「プロトコル」メニューで、
「TCPS」
を選択します。 - 「ウォレット」フィールドで、シングル・サインオン・ウォレット・ファイル(
cwallet.sso
)をアップロードします。 - 「ターゲットの場所」フィールドに、TCPS接続文字列
jdbc:oracle:thin:@<Connection string from OCI Console>
を入力します。 - 「ユーザー名」と「パスワード」を入力します。
- 「保存」をクリックし、構成変更を保存します。
13.8.4 ステップ4: Audit Vault ServerでのAutonomous Data WarehouseインスタンスおよびAutonomous Transaction Processing Cloudインスタンス用の監査証跡の開始
この構成ステップでは、Audit Vault ServerでAutonomous Data WarehouseインスタンスおよびAutonomous Transaction Processing Cloudインスタンス用の監査証跡を開始します。
Audit Vault Serverコンソールを使用して、Autonomous Data WarehouseインスタンスおよびAutonomous Transaction Processing Cloudインスタンス用の監査証跡を作成します。詳細は、ステップ6: Audit Vault ServerでのOracle Database Cloud Serviceインスタンス用の監査証跡の開始を参照してください。