1. セキュリティ・ガイドforリリース3.0.2
  2. セキュアなデプロイメントのチェックリスト
機械翻訳について

4 セキュアなデプロイメントのチェックリスト

この項では、Oracle Private Cloud Appliance製品をセキュアな方法でインストールおよび構成するために使用するステップのチェックリストを示します。 このチェックリスト・セクションには、Oracle Private Cloud Applianceの3つのレイヤーすべてに関連するアイテムが含まれています。

Oracle Private Cloud Applianceの3つのレイヤーは次のとおりです:

  • インフラストラクチャ - これは、お客様の施設に取り付けられている物理ラック・ハードウェアです。 セキュリティ関連のタスクの中には、システムのインストール時にこの基本レベルで実行されるものがあります。

  • 「サービス・エンクレーブ」 - これは、アプライアンス・インフラストラクチャが制御されるシステムの一部です。 このエンクレーブへのアクセスは厳密に監視され、特権管理者に制限されています。 「サービス・エンクレーブ」は、3つの管理ノードのクラスタで実行されます。 多くのセキュリティ関連タスクがこのレベルで実行されます。

  • 「コンピュート・エンクレーブ」 - 「コンピュート・エンクレーブ」は、Oracle Cloud Infrastructureとの互換性のために設計されています。 「コンピュート・エンクレーブ」は、コンピュート・インスタンス、ネットワーク、ストレージなどのリソースが制御される場所です。

インストール前の一般的な考慮事項

製品をインストールする前に、次の各アイテムを考慮することが重要です:

  • ネットワーク: 仮想インタフェースおよび物理インタフェース、ブリッジおよびルーティング

  • ユーザー・ロール: オペレータと管理者、その他、表示、変更または削除

  • パスワード・ルール: 長さと文字の要件、その他の特性

  • 暗号化アルゴリズム: 使用ガイドラインの許可または義務付け

  • プロセス・セキュリティのパッチ適用または更新: 制限、プロシージャの実行が許可されているロール

これは完全なリストではありません。 前もって計画できることが多いほど、よい。

インストール後の一般的な考慮事項

インストール後、次のことを確認してください:

  • ソフトウェアを最新の状態に維持します。 これには最新の製品リリースと、適用されるすべてのパッチが含まれます。

  • 権限を制限します(可能な場合)。 自分の作業を行うために必要なアクセス権のみをユーザーに付与します。 ユーザー権限を定期的にレビューして、現在の作業要件に対する関連性を判断します。

  • システムアクティビティをモニターします。 どのシステム・コンポーネントにアクセスできるユーザーとその頻度を確認し、それらのコンポーネントをモニターします。

  • Oracleセキュリティ機能について学習し、使用します。

  • セキュリティのベスト・プラクティスを使用します。

目標の監査

監査では、次の点を簡単に検出できます:

  • だれが変更を行いましたか? ("root"が改変したという情報以上の。)

  • 変更はいつ行われましたか? (適切なログ保持期間が重要です。)

  • 変更の目的は何でしたか? (悪質でない場合は、理由により変更されました。)

インストール・セキュリティのチェックリスト

製品をインストールする前に、製品によって提供されるサービスの概要を示すドキュメントを作成します。 欠点に対応できるようにレビューおよび更新しました。

インストール前のサイトの準備については、「Oracle Private Cloud Applianceインストレーション・ガイド」を参照してください。

インストール前のセキュリティの詳細は、「インストール前のセキュリティ詳細」を参照してください

インストール後構成のセキュリティ・チェックリスト

Oracle Private Cloud Applianceのインストール後、ハードウェアへのアクセスを制限し、シリアル番号を記録することによってハードウェアをセキュリティ保護します。

ハードウェア・セキュリティ・チェックリスト

システム・ハードウェアへのアクセスを制限するために、Oracleでは次の演習をお薦めします:

  • Oracle Private Cloud Applianceおよび関連する機器をロックされたアクセス制限のある部屋に取り付けます。

  • ラック内のコンポーネントでサービスが必要でない場合は、ラックのドアに鍵を掛けます。

  • コンポーネントは簡単に取り外せるように設計されているため、ホット・プラグ可能またはホット・スワップ可能なデバイスへのアクセスを制限します。

  • 予備の現場交換可能ユニット(FRU)または顧客交換可能ユニット(CRU)は鍵の掛かったキャビネットに保管します。 鍵の掛かったキャビネットへは、認可された人のみがアクセスできるように制限します。

  • SSHリスナー・ポートを管理ネットワークおよびプライベート・ネットワークに制限します。 SSHプロトコル2 (SSH-2)およびFIPS 140-2承認暗号を使用します。

  • SSHが許可される認証メカニズムを制限します。 本質的にセキュアでない方法は無効化されます。

  • すべての主要なコンピュータ・ハードウェア・アイテム(FRUなど)にラベルを付けます。

  • ハードウェアのアクティベーション・キーとライセンスは、システム緊急時にシステム・マネージャが簡単に取り出せる安全な場所に保管します。

ハードウェア・シリアル番号チェックリスト

すべてのシリアル番号を記録し、安全なロケーションに保管してください。 アプライアンス全体のシリアル番号を取得するには、いくつかの方法があります:

  • 「サービス・エンクレーブ」コンソールの使用(管理コンソール)

  • 適切なモニタリング・ダッシュボードの使用( Grafana)

  • 管理コマンドライン・インタフェース(CLI)の使用

ラック・コンポーネントのシリアル番号の取得方法の詳細は、「ラック内のハードウェア・コンポーネントのシリアル番号の取得」を参照してください

ソフトウェア・セキュリティ・チェックリスト

ソフトウェアを保護するために、Oracle Private Cloud Applianceの初期インストール後、Oracleでは、システム・アクセスを制限するために次の演習をお薦めします:

  • rootスーパーユーザー・アカウントの使用を制限します。 個々のユーザー・アカウントを作成して使用すると、監査証跡での肯定的な識別が保証され、管理者がチームまたは会社を離れた場合のメンテナンスが減ります。

  • 管理ノードで新規ユーザーを作成しないでください。

  • 顧客が管理する層の不要なプロトコルとモジュールを無効にします。

  • 物理セーバーとネットワーク・スイッチにはシステムへの直接アクセスを提供するポートとコンソール接続があるため、USBポート、ネットワーク・ポート、およびシステム・コンソールへの物理アクセスを制限してください。

  • ネットワークを介してシステムを再起動する機能を制限します。

  • その他のセキュリティ機能を有効にする方法の詳細は、このガイドの「Oracle Private Cloud Applianceのセキュリティ機能」を参照してください。

ネットワーク・セキュリティ・チェックリスト

クラウド・ネットワーク・セキュリティおよびコンピュート・インスタンスへのアクセスを制御するために実行できる他のステップがあります:

  • インスタンスにパブリックIPアドレスが必要ない場合は、プライベート・サブネットを使用します。

  • インスタンス上のファイアウォール・ルールを構成して、パケット・レベルでインスタンス間のトラフィックを制御します。 ただし、Oracle-Oracle Linuxを実行するイメージには、SSHトラフィックのTCPポート22でのイングレスを許可するデフォルト・ルールが自動的に含まれます。 また、Microsoft Windowsイメージには、リモート・デスクトップ・アクセス用にTCP port 3389でイングレスを許可するデフォルト・ルールが含まれています。

  • 必要な接続のみを許可するようにゲートウェイおよびルート表を構成します。 これにより、オンプレミス・ネットワークや別のVCNなどの外部の宛先へのトラフィック・フローを制御できます。

  • IAMポリシーを使用して、Oracle Private Cloud Applianceインタフェースへのアクセスを制御します。 アクセスできるクラウド・リソースと、許可されるアクセスのタイプを制御できます。 たとえば、ネットワークとサブネットを設定できるユーザーや、ルート表、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを更新できるユーザーを制御できます。

Oracle Private Cloud Applianceネットワーク・セキュリティの詳細は、「Oracle Private Cloud Applianceユーザーズ・ガイド」および「Oracle Private Cloud Appliance管理者ガイド」を参照してください。

アカウントおよびパスワードのセキュリティ・チェックリスト

Oracle Private Cloud Applianceシステムの電源を初めて投入する場合は、システムを初期設定するために様々なタスクを実行する必要があります。 アカウントとパスワードは、予期しない変更が行われないように確認する必要があります。

インフラストラクチャ・アカウントとパスワードのセキュリティ・チェックリスト

ラックのインストールと構成が成功したら、すぐにデフォルトのパスワードを変更します。

更新するパスワードは次のとおりです:

  • コンピュート・ノードのパスワード

  • コンピュート・ノードのOracle Integrated Lights Out Manager (ILOM)パスワード

  • 管理ノードのパスワード

  • 管理ノードのILOMパスワード

  • リーフ・スイッチのパスワード

  • 管理スイッチ・パスワード

  • スパイン・スイッチ・パスワード

  • Oracle ZFS Storage Applianceパスワード

  • Oracle ZFS Storage Appliance ILOMパスワード

管理ノードには、インフラストラクチャのデフォルト・パスワードを変更する必要があるかどうかを確認するためのツールがあります。 これを実行するには:

  1. インストール・チームから提供されたデフォルトの管理ユーザーおよびパスワードを使用して、管理ノードにログインします。

  2. 次のコマンドを実行: /var/lib/pca-foundation/scripts/healthcheck.py.

ツールの出力には、出荷時のデフォルトから変更するパスワードが表示されます。

「サービス・エンクレーブ」アカウントおよびパスワードのセキュリティ・チェックリスト

インストール時および構成時に、SuperAdmin認可グループとパスワードを持つ初期ユーザーが「サービス・エンクレーブ」に設定されています。「Oracle Private Cloud Applianceインストレーション・ガイド」を参照してください。

「サービス・エンクレーブ」は、ユーザーが資格証明を共有しないマルチユーザー環境です。 「サービス・エンクレーブ」内のアクションはアプライアンス上のすべてのテナンシに影響するため、この領域に必要なユーザーはほとんどありません。 一般的なセキュリティ・ガイドラインは次のとおりです:

  • 資格証明を共有しません。

  • 「サービス・エンクレーブ」管理ツールへのアクセスが必要なユーザーごとにユーザーを作成します。 この演習では、より適切な監査トラッキングと個々のニーズの管理を可能にします。

  • 最小特権の規則を適用するには、その個人に最適な承認グループを選択します。

  • 新しいユーザーを作成するときは、共通パスワードを使用せず、新しいユーザーにはデフォルトの初期パスワードを使用しないでください。

  • パスワードを定期的に変更します。 「サービス・エンクレーブ」には、プロアクティブなパスワード変更またはタイムアウト通知はありません。

サービス・エンクレーブには3つの認可グループがあります:

  • 管理者 - ユーザー管理を除くほとんどの操作に対する認可。

  • モニター - 自分のプロファイルのみを管理したり、「サービス・エンクレーブ」情報を変更せずに参照できる読取り専用ロール。

  • SuperAdmin - すべての機能に対する認可。SuperAdminのみが「サービス・エンクレーブ」の新しいユーザーを作成し、既存のユーザーのロールを変更できます。

「サービス・エンクレーブ」では、認可グループのリストは静的です。 承認を変更するために既存のグループを変更することはできず、別の承認で新しいグループを作成することはできません。

サービス顧客アカウントとパスワードのセキュリティ・チェックリスト

「Oracle Private Cloud Applianceインストレーション・ガイド」のインストールおよび構成の直後に、デフォルトのCustomer Enclaveユーザーまたはテナンシはありません。

「サービス・エンクレーブ」管理者がテナンシを作成すると、初期ユーザーが作成され、パスワードが割り当てられます。

新しいテナンシ管理者がアカウントにログインし、「コンピュート・エンクレーブ」コンソール(https://adminconsole.<domain>)を使用してパスワードを変更します。

ログインしたら、ユーザー名が表示されるコンソールの右上にあるパスワードの変更ドロップダウンを使用します。 テナンシ管理者は、どのユーザー(自身を含む)でもリセットできない唯一のユーザー・アカウントです。 「サービス・エンクレーブ」 SuperAdminによって作成されたプライマリ・テナンシ管理者が使用できるオプションは、パスワードを安全に格納し、ログインの成功後にユーザー・インタフェースでパスワードの変更アクションを使用することです。

「コンピュート・エンクレーブ」のパスワード・ポリシーは次のとおりです:

  • パスワードの最小文字数は12文字です

  • パスワードに1つ以上の大文字が含まれています

  • パスワードに1つ以上の小文字が含まれています

  • パスワードに少なくとも1つの記号(@$!#%*?&)が含まれています

  • パスワードに1つ以上の数字が含まれています

パスワード・ポリシーは変更できません。

アカウントおよびパスワードのセキュリティ・チェックリストのモニタリングおよびロギング

Oracle Private Cloud Applianceのモニタリングおよびロギング機能には、次のコンソールからアクセスします:

  • Grafana: https://grafana.<domain>

  • Prometheus: https://prometheus.<domain>

Oracle Private Cloud Applianceでは、この層は両方のプラットフォーム(admin)に対して単一のユーザーを持ち、デフォルトのパスワードとともに提供されます。 インストールおよび構成後にこのパスワードを変更します。 パスワードを変更するには、rootおよび「インフラストラクチャ・レイヤーのパスワード・メンテナンス」で更新されたパスワードを使用して、インフラストラクチャ・レイヤーのいずれかの管理ノードにログインします。

ログインしたら、Python 3ランタイムおよびこのプログラムを使用してパスワードを更新します:

python3 /lib/python3.6/site-packages/pca_foundation/secret_service/scripts/sauron_credential_update.py -username <username> -password <password>

パスワード・ポリシーでは、次のパスワードが必要です:

  • 12-20文字の長さにする必要があります

  • 大文字、小文字および数字をそれぞれ1つ以上含める必要があります

  • 記号 -_+=を含めることができます

Oracle Private Cloud Applianceのモニタリングおよびロギング・ツールには、次の制限があります

  • ユーザーを追加できません

  • 資格証明更新ツールでは、リクエストの成功または失敗に関するパスワードまたは戻り情報は確認されません

  • GrafanaおよびPrometheus画面は、無効な試行後にユーザーをロックアウトしません