K Oracle AVDFでのFIPS 140-2の有効化

Oracle AVDFでのFIPS 140-2の有効化について学習します。

K.1 FIPSおよびOracle AVDFについて

FIPS(連邦情報処理規格)とは、非軍事政府機関内、およびこれらの機関と協業する政府委託業者やベンダーによって使用されるドキュメント処理、暗号化アルゴリズムおよびその他の情報テクノロジ標準について記述した、一連の標準です。

FIPSの発行物は、米国国立標準技術研究所(NIST)によって発行されます。暗号化モジュールに関するセキュリティ要件(FIPS 140-2)という発行物では、いくつかの重要な領域に対するセキュリティ要件を指定します。これらのセキュリティ要件は、セキュリティ・システム内で使用される暗号化モジュールによって満たされ、機密ではあるが分類されていない情報を保護します。

次のOracle AVDFコンポーネントの場合のみ、FIPS 140-2を有効にできます:

  • Audit Vault Server: Audit Vault ServerでFIPSを有効にすると、埋込みのOracle Linuxオペレーティング・システムおよびOracle DatabaseでFIPSモードがオンになります。
  • Database Firewall: Database FirewallでFIPS 140-2を有効にすると、埋込みのOracle Linuxオペレーティング・システムでFIPSモードがオンになります。

ヒント:

FIPS 140-2を有効にする前に、ご使用のSSHキーがFIPSに準拠していることを確認してください。ご使用のSSHキーがFIPSに準拠していない場合は、FIPSを有効にした後にそのアプライアンスとのSSH接続が失われる可能性があります。

関連トピック

K.2 Audit Vault ServerでのFIPS 140-2の有効化

Audit Vault ServerでFIPSを有効にすると、埋込みのOracle Linuxオペレーティング・システムおよびOracle DatabaseでFIPSモードがオンになります。

ノート:

Oracle Cloud Infrastructure (OCI)上のOracle AVDFの場合は、FIPSモードを有効にする前に、opcユーザーのFIPS準拠のキーが/home/opc/.ssh/authorized_keysに登録されていることを確認してください。

  1. Audit Vault Serverコンソールにsuper administratorとしてログインします。
  2. 「設定」タブをクリックします。

    左側のナビゲーション・メニューの「セキュリティ」タブがデフォルトで選択されています。

  3. メイン・ページで、「FIPS」サブタブをクリックします。
  4. トグル・スイッチをクリックしてFIPS 140-2を有効にします。オンにすると、そのトグル・スイッチが緑色になります。
  5. 「保存」をクリックします。

    Audit Vault Serverが再起動されるというメッセージが表示され、続行するか取り消すかを尋ねられます。

  6. Audit Vault Serverに対してFIPS 140-2を有効にするには、「OK」ボタンをクリックして続行します。それ以外の場合は、「取消」をクリックします。

Audit Vault Serverが再起動されますが、数分間は使用できません。この期間中にAudit Vault Serverコンソールにアクセスしようとしないでください。ブラウザを閉じ、新しいタブまたはウィンドウを開いてAudit Vault Serverコンソールにログインします。

ノート:

  • Audit Vault Serverに対してFIPS 140-2モードを無効にするには、「FIPS」サブタブにあるトグル・スイッチをクリックします。

  • OCI上のOracle AVDFでは、FIPSモードを有効にした後にSSHアクセスが無効になった場合は、Audit Vault Serverコンソールにログインし、FIPSモードを無効にします。次に、SSHを使用してそのアプライアンスに再度ログインし、/home/opc/.SSH/authorized_keysにあるopcのユーザー・キーを、FIPSに準拠するように更新します。FIPSモードを有効または無効にした後は、そのコンソールを使用できるようになるまでに数分かかる可能性があります。

  • 高可用性構成では、プライマリAudit Vault Serverに対してFIPS 140-2モードを有効にすると、スタンバイAudit Vault ServerのFIPS 140-2モードも有効になります。同様に、プライマリAudit Vault Serverに対してFIPSモードを無効にすると、スタンバイAudit Vault Serverでもそれが無効になります。

K.3 Database FirewallでのFIPS 140-2の有効化

Database FirewallでFIPS 140-2を有効にする方法を学習します。

  1. Audit Vault Serverコンソールにsuper administratorとしてログインします。
  2. 「データベース・ファイアウォール」タブをクリックします。左側のナビゲーション・メニューの「データベース・ファイアウォール」タブがデフォルトで選択されています。
  3. FIPS 140-2を有効にする特定のDatabase Firewallインスタンスの名前をクリックします。
  4. 「構成」セクションで「FIPS」をクリックします。ダイアログが表示されます。
  5. ダイアログで、トグル・スイッチをオンにしてFIPS 140-2を有効にします。オンにすると、トグル・スイッチは緑色になります。
  6. 「保存」をクリックします。Database Firewallが再起動するメッセージが表示され、続行または取り消すように求められます。
  7. Database FirewallインスタンスのFIPS 140-2を有効にするには、「OK」をクリックして続行します。それ以外の場合は、「取消」をクリックします。

    Database Firewallインスタンスが再起動され、しばらくの間使用できません。

  8. しばらく待ってから、左側のナビゲーション・メニューの「データベース・ファイアウォール」タブに戻ります。
  9. 「FIPSモード」列の下にあるFIPS 140-2モードのステータスを特定のDatabase Firewallインスタンスに対して確認します。

K.4 高可用性でのDatabase FirewallインスタンスのFIPS 140-2の有効化

高可用性構成でDatabase FirewallインスタンスのFIPS 140-2を有効にする方法を学習します。

前提条件

  • 高可用性を実現するには、Database Firewallのインスタンスを少なくとも2つ構成する必要があります。
  • 両方のDatabase FirewallインスタンスのFIPS 140-2ステータスは、「オフ」または「オン」である必要があります。FIPS 140-2モードは、両方のDatabase Firewallインスタンスで無効または有効にできます。これらの2つのインスタンスが異なるFIPSモードの場合、エラー・メッセージが画面に表示されます。
  1. Audit Vault Serverコンソールにsuper administratorとしてログインします。
  2. 「データベース・ファイアウォール」タブをクリックします。左側のナビゲーション・メニューの「データベース・ファイアウォール」タブがデフォルトで選択されています。
  3. 左側のナビゲーション・メニューの「高可用性」タブをクリックします。高可用性に構成されているすべてのDatabase Firewallインスタンスがメイン・ページに表示されます。
  4. ペアになったDatabase Firewallインスタンスの名前は、メイン・ページの「プライマリ」列と「セカンダリ」列の下にリストされます。FIPSを有効にするDatabase Firewallインスタンスの特定のペアを選択します。
  5. ページの右上隅にある「FIPS」をクリックします。ダイアログが表示されます。
  6. トグル・スイッチをオンにして、FIPS 140-2を有効にします。オンにすると、トグル・スイッチは緑色になります。
  7. 「保存」ボタンをクリックします。Database Firewallインスタンスが再起動するメッセージが表示され、続行または取り消すように求められます。
  8. Database FirewallインスタンスのFIPS 140-2を有効にするには、「OK」をクリックして続行します。それ以外の場合は、「取消」をクリックします。

    Database Firewallインスタンスが再起動され、しばらくの間使用できません。

  9. しばらく待ってから、列「FIPSモード」のFIPS 140-2モードのステータスをペアになっているDatabase Firewallインスタンスに対して確認します。

関連項目:

Database Firewallの高可用性の構成

K.5 高可用性におけるDatabase FirewallインスタンスのFIPS 140-2を有効にした後のステータスの確認

高可用性で構成されているDatabase FirewallインスタンスのFIPS 140-2を有効または無効にした後、ステータスを確認またはチェックする方法を学習します。

  1. Audit Vault Serverコンソールにスーパー管理者としてログインします。
  2. 「設定」タブをクリックします。
  3. 左側のナビゲーション・メニューの「システム」タブをクリックします。
  4. 「モニタリング」セクションで「ジョブ」をクリックします。「ジョブ」ダイアログが表示されます。
  5. 最新のジョブが上部にリストされます。それ以外の場合は、高可用性で構成されたDatabase FirewallインスタンスのFIPS 140-2モードの有効化または無効化の際に固有のジョブを見つけるために再配置します。
  6. ステータスが「完了」であることを確認します。それ以外の場合は、特定のジョブの左側にある「ジョブの詳細」アイコンをクリックします。
  7. 「ジョブ・ステータスの詳細」ダイアログが表示されます。これには、トリガーされたジョブに関連するイベントのリストに関する詳細情報が含まれます。

K.6 プロキシ・モードでデプロイされた高可用性のDatabase FirewallインスタンスのFIPS 140-2の有効化

プロキシ・モードでデプロイされた高可用性のDatabase FirewallインスタンスのFIPS 140-2を有効にする方法を学習します。

前提条件

プロキシ・モードで高可用性を実現するには、Database Firewallインスタンスを少なくとも2つ構成する必要があります。

高可用性の一部であり、モニタリング/ブロック(プロキシ)モードでデプロイされているすべてのDatabase Firewallインスタンスについて、FIPS 140-2を有効または無効にするステップは次のとおりです。

  1. 高可用性の一部であるDatabase Firewallインスタンスはすべて、同じFIPS 140-2モードである必要があります。FIPS 140-2に対して有効または無効にする必要があります(「オン」または「オフ」)。
  2. すべてのDatabase FirewallインスタンスのFIPS 140-2を有効または無効にするには、「Database FirewallでのFIPS 140-2の有効化」の手順に従います。
  3. 前のステップを実行した後、高可用性の一部であるDatabase Firewallインスタンスはすべて、同じFIPS 140-2モード(「オン」または「オフ」)である必要があります。

    ノート:

    Database Firewallインスタンスが異なるFIPS 140-2モード(一部ではFIPS 140-2が有効で、一部では無効になっている)の場合、一貫性のない動作が予想されます。

    関連項目:

    プロキシ・モードでのDatabase Firewallの高可用性の構成