機械翻訳について

Oracle Exadata Database Service on Dedicated Infrastructureのセキュリティ・ガイド

このガイドでは、「Exadataクラウド・インフラストラクチャ」のセキュリティについて説明します。 「Exadataクラウド・インフラストラクチャ」を保護するためのベスト・プラクティスに関する情報が含まれています。

• 「パート1: セキュリティ構成およびデフォルトで有効な機能」
  
• 「パート2: セキュリティ状況を更新するための追加手順」
  

パート1: セキュリティ構成およびデフォルトで有効な機能

• 「職責」
  「Exadataクラウド・インフラストラクチャ」は、顧客とOracleによって共同管理されます。
• 「インフラストラクチャのセキュリティ」
  「Exadataクラウド・インフラストラクチャ」によって提供されるセキュリティ機能。
• 「セキュリティ構成のデフォルトに従うガイド・プリンシプル」
  
• セキュリティ機能
  
• 「ゲストVMのデフォルト固定ユーザー」
  複数のユーザー・アカウントが定期的に「Exadataクラウド・インフラストラクチャ」のコンポーネントを管理します。 これらのユーザーは必須であり、変更できません。
• 「デフォルトのセキュリティ設定: お客様のVM」
  
• 「顧客VMのデフォルト・プロセス」
  DOMU、ゲストVMおよびゲストOSとも呼ばれる、顧客VMでデフォルトで実行されるプロセスのリスト
• 「デフォルトのデータベース・セキュリティ構成」
  
• 「デフォルトのバックアップ・セキュリティ構成」
  
• 「顧客システムおよび顧客データへのオペレータ・アクセス」
  ライフサイクル自動化の目的でゲストVMにアクセスできるのは、自動化されたツールのみです。
• 「コンプライアンス要件」
  
• 「顧客ゲストVMにアクセスするための緊急アクセス手順」
  一部の問題は、顧客のゲストVMにログインしたOracleによってのみ解決できます。

職責

「Exadataクラウド・インフラストラクチャ」は、顧客とOracleによって共同管理されます。

「Exadataクラウド・インフラストラクチャ」デプロイメントは、次の2つの職責に分類されます:

顧客アクセス可能なサービス: 「Exadataクラウド・インフラストラクチャ」のサブスクリプションの一部として顧客がアクセスできるコンポーネント

• お客様がアクセス可能な仮想マシン(VM)
• お客様がアクセス可能なデータベース・サービス

Oracle管理インフラストラクチャ: 顧客アクセス可能なサービスを実行するためにOracleによって所有され操作されるコンポーネント

• 電力配分装置(PDU)
• アウト・オブ・バンド(OOB)管理スイッチ » InfiniBandスイッチ
• Exadata Storage Server
• 物理Exadataデータベース・サーバー
• 顧客情報でExadataサーバーをホストするDatacenterセキュリティ

顧客は、(OCI Virtual Cloud NetworksおよびOCIセキュリティ・リストを介した)VMへのネットワーク・アクセス、VMにアクセスするための認証、VMで実行されているデータベースにアクセスするための認証など、顧客サービスへのアクセスを制御および監視します。 Oracleは、Oracle Managed Infrastructureコンポーネントおよび物理サーバー・セキュリティへのアクセスを制御および監視します。 Oracleスタッフは、お客様がお客様のVMにアクセスできない点を除き、お客様のVMやデータベースなど、お客様のサービスにアクセスする権限がありません。 『Exadata Cloud Service Security Controls』ドキュメントのhttps://www.oracle.com/a/ocom/docs/engineered-systems/exadata/exadata-cloud-service-security.pdf, Exception Workflowsを参照してください。

お客様は、クライアントを介して「Exadataクラウド・インフラストラクチャ」で実行されているOracleデータベース(DB)にアクセスし、ポート1521のOracle Netなどの標準のOracleデータベース接続メソッドを使用して、顧客VMで実行されているデータベースにVCNをバックアップします。 顧客は、ポート22のトークン・ベースのsshなど、標準のOracle Linuxメソッドを介してOracleデータベースを実行しているVMにアクセスします。

インフラストラクチャ・セキュリティ

「Exadataクラウド・インフラストラクチャ」によって提供されるセキュリティ機能。

• Oracle Cloud物理的セキュリティ

  Oracle Cloudデータ・センターは、Uptime Institute and Telecommunications Industry Association (TIA) ANSI/TIA-942-A Tier 3 (99.982 %可用性)またはTier 4 (99.995 %可用性)標準に準拠し、重要な機器運用のN2 ('N'は必要を意味します)冗長性メソドロジに従います。 Oracle Cloud Infrastructureサービスを格納するデータ・センターは、冗長電源を使用し、広範囲の停電時に発電機のバックアップを維持します。 サーバー室は気温と湿度が厳しく監視され、防火システムが設置されています。 データ・センターのスタッフは、発生する可能性があるセキュリティおよび可用性のイベントに対処するために、インシデント対応およびエスカレーション手順のトレーニングを受けています。 詳細については、「Oracle Cloud Infrastructureセキュリティ・ガイド」を参照してください。 Oracle Cloud Infrastructureデータ・センター・コンプライアンスの詳細は、「Oracle Cloudコンプライアンス」を参照してください。

• 顧客システムへのオペレータ・アクセス

  Oracleアクセス・プロトコルには次のものがあります:

  • 施設への物理的なアクセスは、特定のOracle従業員、受託業者および許可されたビジターに制限されます。
  • Oracleの従業員、下請業者および承認されたビジターは、Oracleの施設にいる間に着用する必要があるIDカードを発行します。
  • ビジターは、ビジターの登録簿に署名したり、Oracleの施設にいるときに担当者に同伴したり、Oracleとの機密保持契約の条項に従う必要があります。
  • セキュリティは、キー/アクセス・カードの所持と施設へのアクセス機能を監視します。 Oracleの雇用を離れるスタッフはキー/カードを返さなければならず、退職時にキー/カードが非アクティブ化されます。
  • セキュリティは、物理的なセキュリティ障壁またはサービス・ロケーションでのエントリ制御に対するすべての修復および変更を承認します。
  • Oracleでは、施設のリスク/保護レベルに応じて、24時間365日のオン・サイト・セキュリティ担当者またはロール役員を混在させています。 いずれの場合も、警官はロール、警報レスポンス、安全事案の記録を担当します。
  • Oracleは、統合された侵入者アラーム機能を備えた一元管理型の電子アクセス制御システムを実装しています。 アクセス・ログは6か月以上保存されます。 さらに、CCTVのモニタリングおよび記録の保存期間は、施設の機能およびリスク・レベルに応じて、最低30-90日です。
• ハイパーバイザ顧客分離

  ハイパーバイザとは、クラウド環境で仮想デバイスを管理し、サーバーおよびネットワークの仮想化を処理するソフトウェアです。 従来の仮想化環境では、ハイパーバイザがネットワーク・トラフィックを管理するため、VMインスタンス間およびVMインスタンスと物理ホスト間を流れるようになります。 これにより、ハイパーバイザにかなりの複雑さと計算オーバーヘッドが追加されます。 仮想マシン・エスケープ攻撃などの概念実証コンピュータ・セキュリティ攻撃は、この設計に伴う大きなリスクを強調しています。 これらの攻撃は、攻撃者がVMinstanceの「ブレーク・アウト」を可能にし、基礎となるオペレーティング・システムにアクセスし、ハイパーバイザを制御できるようにすることで、ハイパーバイザの複雑さを悪化させます。 攻撃者は他のホストにアクセスでき、場合によっては検出されません。 Oracle Cloud Infrastructureは、ネットワーク仮想化をハイパーバイザから切り離すことで、このリスクを軽減します。 ネットワーク仮想を高度にカスタマイズされたハードウェアおよびソフトウェア層として実装し、クラウド制御をハイパーバイザおよびホストから遠ざけ、独自のネットワークに配置しました。 この強化および監視された制御層は、分離されたネットワーク仮想化を可能にするものです。 分離されたネットワーク仮想化は、攻撃対象領域を制限することでリスクを軽減します。 悪意のあるアクターが単一のホストでのVMエスケープ攻撃で成功した場合でも、クラウド・インフラストラクチャ内の他のホストに到達できないように設計されています。 攻撃は事実上1つのホストに含まれています。 分離されたネットワーク仮想化は、すべてのリージョンのすべてのデータ・センターに実装されます。つまり、すべてのOracle Cloud Infrastructureテナントがこのリスクを低減することでメリットを得られます。

  図6-1 分離されたネットワーク仮想化により、Oracle Generation 2 Cloudのリスクを軽減

  
  「図6-1 分離されたネットワーク仮想化によりOracle Generation 2 Cloudのリスクが軽減される」の説明」
• マルチテナント・セキュリティ

  多層防御のセキュリティ哲学に従い、マルチテナントには包括的な分離アーキテクチャがあります。

  これには4つの主要なカテゴリがあり、各カテゴリにいくつかの重要な機能があります。

  1. アクセス制御メカニズム
  2. 未承認の管理アクセスの防止
  3. データファイルへの直接アクセスから保護
  4. リソースの分離

  図6-2 マルチテナントの包括的な分離アーキテクチャ

  
  「図6-2 マルチテナントの包括的な分離アーキテクチャ」の説明」

セキュリティ構成のデフォルトに従うガイド・プリンシプル

• 「徹底的に守る」 「Exadataクラウド・インフラストラクチャ」には、サービス全体の機密性、整合性および可用性を確保するための多数のコントロールが用意されています。

  まず、「Exadataクラウド・インフラストラクチャ」は、Exadata Database Machine (https://docs.oracle.com/en/engineered-systems/exadata-database-machine/dbmsq/exadata-security-overview.html)によって提供される強化されたオペレーティング・システム・イメージから構築されます。 これにより、インストール・イメージが必要なソフトウェア・パッケージのみに制限され、不要なサービスが無効になり、システム全体にセキュアな構成パラメータが実装されて、コア・オペレーティング環境が保護されます。

  Exadata Database Machine成熟したプラットフォームのすべての強みを継承することに加えて、「Exadataクラウド・インフラストラクチャ」は顧客用にシステムをプロビジョニングするため、サービス・インスタンスに追加のセキュアなデフォルト構成選択肢が実装されます。 たとえば、すべてのデータベース表領域には、透過的データ暗号化(TDE)、初期データベース・ユーザーおよびスーパーユーザーに対する強力なパスワード強制、拡張監査およびイベント・ルールが必要です。

  また、「Exadataクラウド・インフラストラクチャ」は完全なデプロイメントとサービスを構成するため、PCI、HIPPA、ISO27001などの業界標準の外部監査の対象となります。 これらの外部監査要件により、ウイルス対策スキャン、システムへの予期しない変更に対する自動アラート、フリート内のすべてのOracle管理インフラストラクチャ・システムに対する日次脆弱性スキャンなど、付加価値サービス機能が強化されます。

• 最低限の権限

  Oracle Secure Coding Standardsでは、ソフトウェア・プロセスをその機能を実装するために最小限の権限レベルで実行する必要があります。

  各プロセスおよびデーモンは、より高いレベルの権限の要件を証明できる場合を除き、通常の非特権ユーザーとして実行する必要があります。 これにより、予期しない問題や、権限のないユーザー領域に対する脆弱性が含まれ、システム全体が危険にさらされることがなくなります。

  「この原則は、Oracle運用チームのメンバーにも適用されます」。名前付きアカウントを使用してメンテナンスまたはトラブルシューティングのために「Exadataクラウド・インフラストラクチャ」にアクセスします。 必要な場合にのみ、より高いレベルの権限への監査アクセスを使用して問題を解決または解決します。 ほとんどの問題は自動化によって解決されるため、自動化で問題を解決できない場合を除き、人間のオペレータにシステムへのアクセスを許可しないことで最小の権限を採用しています。

• 監査とアカウンタビリティ

  必要に応じてシステムへのアクセスが許可されますが、アカウンタビリティのためにすべてのアクセスおよびアクションが記録および追跡されます。

  「Exadataクラウド・インフラストラクチャ」監査ログはOracleによって制御され、セキュリティのモニタリングおよびコンプライアンスの目的で使用されます。 Oracleは、「Oracleインシデント・レスポンス演習」およびOracle Data Processing Agreementに従って、関連する監査ログを顧客と共有できます。

  すべてのインフラストラクチャ・コンポーネントで監査機能が提供され、すべてのアクションが確実に取得されます。 また、データベースおよびゲストVM構成の監査を構成でき、他のエンタープライズ監査システムと統合することもできます。

• クラウド運用の自動化

  システムのプロビジョニング、パッチ適用、メンテナンス、トラブルシューティングおよび構成に必要な手動操作を排除することで、エラーの機会が減ります。

セキュリティ機能

• 強化されたOSイメージ

  • 最小パッケージ・インストール:

    効率的なシステムを実行するために必要なパッケージのみがインストールされます。 インストールするパッケージのセットを小さくすると、オペレーティング・システムの攻撃対象領域が減少し、システムの安全性が向上します。

  • セキュアな構成:

    多くのデフォルト以外の構成パラメータは、システムおよびそのコンテンツのセキュリティ状態を強化するためにインストール時に設定されます。 たとえば、SSHは特定のネットワーク・インタフェースでのみ待機するように構成され、sendmailはlocalhost接続のみを受け入れるように構成され、その他の多くの同様の制限がインストール時に実装されます。

  • 必要なサービスのみを実行します:

    システムにインストールされているが、通常の操作には必要ないサービスは、デフォルトで無効になっています。 たとえば、NFSは様々なアプリケーションの目的で顧客が頻繁に構成するサービスですが、通常のデータベース操作には必要ないため、デフォルトでは無効になっています。 お客様は、必要に応じて要件に応じてサービスを構成することもできます。

• 攻撃対象領域の最小化

  強化されたイメージの一部として、攻撃対象領域が削減され、サービスの提供に必要なソフトウェアのみがインストールおよび実行されます。

• 追加のセキュリティ機能が有効です(grubパスワード、セキュア・ブート)

  • ExaDB-Dは、Exadataイメージ機能を活用して、grubパスワードやセキュア・ブートなどのベース・イメージに統合された機能を他にも多数楽しんでいます。
  • カスタマイズによって、お客様は追加の構成でセキュリティ体制をさらに強化したい場合があります。
• アクセス・メソッドの保護
  • 強力な暗号を使用したSSHを介したデータベース・サーバーへのアクセス。 弱い暗号はデフォルトで無効になっています。
  • 暗号化されたOracle Net接続を介したデータベースへのアクセス。 デフォルトでは、サービスは暗号化されたチャネルを使用して使用でき、デフォルトで構成されているOracle Netクライアントは暗号化されたセッションを使用します。
  • Exadata MS webインタフェース(https)を介した診断へのアクセス。
• 監査およびロギング
  • デフォルトでは、監査は管理操作に対して有効になっており、これらの監査レコードは、必要に応じて自動的に確認およびアラートを行うためにOCI内部システムに通信されます。

ゲストVMのデフォルト固定ユーザー

複数のユーザー・アカウントが定期的に「Exadataクラウド・インフラストラクチャ」のコンポーネントを管理します。 これらのユーザーは必須であり、変更できません。

すべてのExaDB-Dマシンで、Oracleはトークン・ベースのSSHログインを使用および推奨します。

次の3つのユーザーのクラスがあります。

• デフォルト・ユーザー: ログオン権限なし
  
• 「SHELLアクセスが制限されたデフォルト・ユーザー」
  これらのユーザーは、制限付きのシェル・ログインを使用して定義されたタスクを実行するために使用されます。 これらのユーザーは、定義済のタスクが削除されると失敗するため、削除しないでください。
• 「ログイン権限を持つデフォルト・ユーザー」
  これらの特権ユーザーは、システム内のほとんどのタスクを実行するために使用されます。 これらのユーザーは、実行中のシステムに重大な影響を与える可能性があるため、変更または削除しないでください。

デフォルト・ユーザー: ログオン権限なし

このユーザー・リストは、デフォルトのオペレーティング・システム・ユーザーと、exawatchやdbmsvcなどの特殊なユーザーで構成されます。 これらのユーザーは変更しないでください。 これらのユーザーは、すべて/sbin/nologinに設定されているため、システムにログインできません。

次のユーザーのリストでは、exawatchおよびdbmsvcユーザーを除き、ほとんどのユーザーが標準のLinux OSユーザーまたは標準のLinuxパッケージに関連しています。

• exawatch: exawatchユーザーは、データベース・サーバーとストレージ・サーバーの両方でシステム統計を収集およびアーカイブ
• dbmsvc: ユーザーは、Oracle Exadataシステムのデータベース・ノード・サービスの管理サーバーに使用されます

NOLOGINユーザー

bin:x:1:1:bin:/bin:/sbin/nologin
Daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/dev/null:/sbin/nologin
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
unbound:x:999:997:Unbound DNS resolver:/etc/unbound:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
saslauth:x:998:76:Saslauthd user:/run/saslauthd:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
chrony:x:997:996::/var/lib/chrony:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nslcd:x:65:55:LDAP Client User:/:/sbin/nologin
uucp:x:10:14:Uucp user:/var/spool/uucp:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
exawatch:x:1010:510::/opt/oracle.ExaWatcher:/sbin/nologin
sssd:x:996:508:User forsssd:/:/sbin/nologin
dbmsvc:x:2001:2001::/:/sbin/nologin
clamupdate:x:995:504:Clamav database update user:/var/lib/clamav:/sbin/nologin

SHELLアクセスが制限されたデフォルト・ユーザー

これらのユーザーは、制限付きのシェル・ログインを使用して定義されたタスクを実行するために使用されます。 これらのユーザーは、定義済のタスクが削除されると失敗するため、削除しないでください。

dbmmonitorパスワードはデプロイメント中にランダム文字列に設定されるため、最初の使用時に変更する必要があります。

• dbmmonitor: dbmmonitorユーザーはDBMCLIユーティリティに使用されます。 詳細は、「DBMCLIユーティリティの使用」を参照してください

制限付きシェル・ユーザー

dbmmonitor:x:2003:2003::/home/dbmmonitor:/bin/rbash

ログイン権限を持つデフォルト・ユーザー

これらの特権ユーザーは、システム内のほとんどのタスクを実行するために使用されます。 これらのユーザーは、実行中のシステムに重大な影響を与える可能性があるため、変更または削除しないでください。

SSHキーは、カスタマ・スタッフおよびクラウド自動化ソフトウェアによるログインに使用されます。

顧客が追加したSSHキーは、UpdateVmClusterメソッド、または顧客のVMに直接アクセスして顧客VM内のSSHキーを管理することによって追加できます。 お客様は、キーを識別できるようにコメントを追加する必要があります。 顧客がUpdateVmClusterメソッドによってSSHキーを追加すると、キーはopcユーザーのauthorized_keysファイルにのみ追加されます。

クラウド自動化キーは、VMクラスタ・メモリーのサイズ変更や一意などの特定のクラウド自動化タスクに固有の一時的なものです。 クラウド自動化アクセス・キーは、次のコメントで識別できます: OEDA_PUB, EXACLOUD_KEY, ControlPlane。 クラウド自動化キーは、クラウド自動化タスクの完了後に削除されるため、root、opc、oracleおよびgridアカウントのauthorized_keysファイルには、クラウド自動化アクションの実行中はクラウド自動化キーのみが含まれる必要があります。

特権ユーザー

root:x:0:0:root:/root:/bin/bash 
oracle:x:1001:1001::/home/oracle:/bin/bash 
grid:x:1000:1001::/home/grid:/bin/bash 
opc:x:2000:2000::/home/opc:/bin/bash 
dbmadmin:x:2002:2002::/home/dbmadmin:/bin/bash

• root: Linuxの要件。ローカルの特権付きコマンドを実行するために慎重に使用されます。rootは、Oracle Trace File Analyzer AgentやExaWatcherなどの一部のプロセスにも使用されます。
• grid: Oracle Grid Infrastructureソフトウェア・インストールを所有し、グリッド・インフラストラクチャ・プロセスを実行します。
• oracle: Oracleデータベース・ソフトウェアのインストールを所有し、Oracle Databaseプロセスを実行します。
• opc:
  • Oracle Cloud自動化で自動化タスクに使用されます。
  • (自動化機能をサポートするために)追加の認証なしで特定の特権付きコマンドを実行する機能があります。
  • Oracle DatabaseおよびOracle Grid Infastructureソフトウェアのライフサイクル操作(パッチ適用、データベースの作成など)を実行するローカル・エージェント(DCSエージェントとも呼ばれる)を実行します。
• dbmadmin:
  • dbmadminユーザーは、Oracle Exadata Database Machineコマンドライン・インタフェース(DBMCLI)ユーティリティに使用されます。
  • データベース・サーバーですべてのサービスを実行するには、dbmadminユーザーを使用する必要があります。 詳細は、DBMCLIユーティリティの使用を参照してください。

デフォルトのセキュリティ設定: お客様のVM

Oracle Exadata Database Machineのセキュリティ機能で説明されているすべてのExadata機能に加えて、次のセキュリティ設定も「Exadataクラウド・インフラストラクチャ」インスタンスに適用できます。

• デフォルト以外のパラメータを使用したカスタム・データベース・デプロイメント。
  コマンドhost_access_controlは、Exadataのセキュリティ設定を構成します:

  • パスワードのエージングおよび複雑性ポリシーを実装します。
  • アカウントのロックアウトおよびセッション・タイムアウト・ポリシーを定義します。
  • リモートのrootアクセスを制限します。
  • 特定のアカウントへのネットワーク・アクセスを制限します。
  • ログイン警告バナーの実装。
• account-disable: 特定の構成済条件が満たされた場合にユーザー・アカウントを無効にします。
• pam-auth: パスワード変更およびパスワード認証のためのさまざまなPAM設定。
• rootssh: /etc/ssh/sshd_configのPermitRootLogin値を調整して、rootユーザーがSSHを介してログインすることを許可または拒否します。
  • デフォルトでは、PermitRootLoginはnoに設定されています。
  • クラウド自動化でライフサイクル管理操作を実行するには、PermitRootLogin=without-passwordが必要です。rootログインを無効にすると、そのサービス機能は失敗します。
• session-limit: /etc/security/limits.confの* hard maxloginsパラメータ(すべてのユーザーの最大ログイン数)を設定します。 この制限は、uid=0のユーザーには適用されません。

  デフォルトは* hard maxlogins 10で、推奨されるセキュアな値です。

• ssh-macs: 使用可能なメッセージ認証コード(MAC)アルゴリズムを指定します。
  • MACアルゴリズムは、プロトコル・バージョン2でデータ整合性保護のために使用されます。
  • サーバーとクライアントの両方について、デフォルトでhmac-sha1, hmac-sha2-256, hmac-sha2-512に設定されます。
  • 推奨値の保護: サーバーとクライアントの両方のhmac-sha2-256、hmac-sha2-512。
• password-aging: 対話型ユーザー・アカウントの現在のパスワード・エージングを設定または表示します。
  • -M: パスワードを使用できる最大日数。
  • -m: パスワード変更の間隔として許容される最小日数。
  • -W: パスワードの有効期限が切れるまでの警告日数。
  • デフォルトは-M 99999, -m 0, -W 7です
  • --strict_compliance_only-M 60、-m 1、-W 7
  • 推奨値の保護: -M 60, -m 1, -W 7

顧客VMのデフォルト・プロセス

DOMU、ゲストVMおよびゲストOSとも呼ばれる、顧客VMでデフォルトで実行されるプロセスのリスト

• Exadataクラウド・インフラストラクチャ VMエージェント:

  データベース・ライフサイクル操作を処理するためのクラウド・エージェント。

  • opcユーザーとして実行します
  • プロセス表は、jar名を持つJavaプロセスとして実行されていることを示しています - dbcs-agent-VersionNumber-SNAPSHOT.jarおよびdbcs-admin-VersionNumver-SNAPSHOT.jar。
• Oracle Trace File Analyzerエージェント:

  Oracle Trace File Analyzer (TFA)では、1つのバンドルに多数の診断ツールが提供されるため、Oracleデータベースおよびクラスタウェアに関する診断情報の収集が容易になり、Oracle Supportの処理時に問題の解決に役立ちます

  • rootユーザーとして実行します
  • initdデーモンとして実行されます(/etc/init.d/init.tfa)
  • プロセス表にはJavaアプリケーション(oracle.rat.tfa.TFAMain)が表示されます
  • rootおよびexawatchユーザーとして実行されます。
  • バックグラウンド・スクリプトExaWatcher.shとして実行します。そのすべての子プロセスはPerlプロセスとして実行されます。
  • プロセス・テーブルは複数のPerlアプリケーションとして表示されます。ExaWatcher:
• データベースおよびGI(クラスタウェア):
  • dbmsvcおよびgridユーザーとして実行します
  • プロセス表には、次のアプリケーションが表示されます:
    • gridユーザーとしてoraagent.bin、apx_*およびams_*
    • dbrsMainおよびJavaアプリケーション - derbyclient.jar、oracleユーザーとしてweblogic.Server。
• 管理サーバー(MS):

  イメージ機能を管理およびモニタリングするためのExadataイメージ・ソフトウェアの一部。

  • dbmadminとして実行します。
  • プロセス表は、Javaプロセスとして実行されていることを示しています。

• 「ゲストVMネットワーク・セキュリティ」
  
• 「コンプライアンス要件」
  

ゲストVMネットワーク・セキュリティ

表6-18 ゲストVMサービスのデフォルト・ポート・マトリックス

インタフェースのタイプ	インタフェースの名前	ポート	実行プロセス
クライアントVLAN上のブリッジ	bondeth0	22	sshd
		1521 オプションで、1024から8999までの範囲でSCANリスナー・ポート(TCP/IP)を割り当てることができます。 デフォルトは1521です。	Oracle TNSリスナー
		5000	Oracleトレース・ファイル・アナライザ・コレクタ
		7879	Jetty管理サーバー
	bondeth0:1	1521 オプションで、1024から8999までの範囲でSCANリスナー・ポート(TCP/IP)を割り当てることができます。 デフォルトは1521です。	Oracle TNSリスナー
	bondeth0:2	1521 オプションで、1024から8999までの範囲でSCANリスナー・ポート(TCP/IP)を割り当てることができます。 デフォルトは1521です。	Oracle TNSリスナー
バックアップVLAN上のブリッジ	bondeth1	7879	Jetty管理サーバー
各クラスタ・ノードで実行されているOracle Clusterwareは、これらのインタフェースを介して通信します。	clib0/clre0	1525	Oracle TNSリスナー
		3260	シノニムDSM iSCSI
		5054	Oracle Gridプロセス間通信
		7879	Jetty管理サーバー
		動的ポート: 9000-65500 ポートは、オペレーティング・システムで構成された一時的な範囲によって制御され、動的です。	システム・モニター・サービス(osysmond)
		動的ポート: 9000-65500 ポートは、オペレーティング・システムで構成された一時的な範囲によって制御され、動的です。	クラスタ・ロガー・サービス(ologgerd)
	clib1/clre1	5054	Oracle Gridプロセス間通信
		7879	Jetty管理サーバー
クラスタ・ノードは、これらのインタフェースを使用してストレージ・セル(ASMディスク)にアクセスします。 ただし、ストレージ・インタフェースにアタッチされたIP/ポート7060/7070を使用して、コントロール・プレーン・サーバーからDBCSエージェントにアクセスします。	stib0/stre0	7060	dbcs-admin
		7070	dbcs-agent
	stib1/stre1	7060	dbcs-admin
		7070	dbcs-agent
コントロール・プレーン・サーバーをdomUに	eth0	22	sshd
ループバック	lo	22	sshd
		2016	Oracle Grid Infrastructure
		6100	Oracle Notification Service (ONS)、Oracle Grid Infrastructureの一部
		7879	Jetty管理サーバー
		動的ポート9000-65500	Oracle Trace File Analyzer

ノート:

TNSリスナーは、既知のポート(1521、1525)への初期接続後に動的ポートをオープンします。

ゲストVMのデフォルトのiptablesルール:

デフォルトのiptablesは、入力、転送および出力チェーンで接続を受け入れるように設定されています。

#iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

コンプライアンス要件

「PII (個人情報)」この情報は機密および機密とみなされ、法的規制、財政責任および個人的な評判の目的で個人情報が不正に使用されないように保護する必要があります。

個人識別可能情報(PII)がデータに表示されないようにするために、明示的なルールのセットを構成する必要があります。

デフォルトのApplication Performance Monitoringルールでは、金額、銀行口座番号および日付が認識されて、URLのPIIが非表示になります。 ただし、デフォルト・ルールで取得されるのは明らかなPIIのみで、すべてが網羅されるわけではありません。 環境内で正しいレポートが確実に行われ、PIIがデータに表示されないようにするには、デフォルト・ルールを評価し、さらにルールを構成する必要があります。

詳細は、「個人識別可能情報の非表示」および「セキュリティと個人を特定できる情報」を参照してください

バックアップの保存

自動バックアップ機能を有効にすると、Object Storageへのデータベースの日次増分バックアップがサービスによって作成されます。 作成された最初のバックアップは、レベル0のバックアップです。 その後、レベル1のバックアップが、次の週末まで日ごとに作成されます。 新しいレベル0のバックアップから開始して、週末ごとにサイクルを繰り返します。

自動バックアップを有効にする場合は、次の事前設定された保持期間のいずれかを選択できます: 7日、15日、30日、45日または60日。 増分バックアップは、選択した保持期間の最後に自動的に削除されます。

詳細は、「Oracle Exadata Database Service on Dedicated Infrastructureでのデータベースのバックアップおよびリカバリの管理」を参照してください

監査ログ保持期間

OCI監査サービスは、サポートされているサービスに対して実行されたAPI操作のレコードをログ・イベントのリストとして提供します。 デフォルトでは、監査サービス・レコードは365日間保持されます。

詳細は、「監査ログ保持期間」を参照してください

サービス・ログの保持

APIゲートウェイ、イベント、ファンクション、ロード・バランシング、オブジェクト・ストレージ、VCNフロー・ログなどのOracle Cloud Infrastructureサービスは、サービス・ログを発行します。 これらのサポートされる各サービスには、そのサービスのロギングを有効または無効にできるログ・リソースがあります。 デフォルトでは、ログ保持は1か月ですが、6か月まで設定できます。

ログ・グループを使用して、IAMポリシーを使用してサービスによって生成される機密ログへのアクセスを制限できます。 ログを保護するために複雑なコンパートメント階層に依存する必要はありません。 たとえば、1つのコンパートメントのデフォルト・ログ・グループが、テナンシ全体のログを格納する場所であるとします。 通常の場合と同様に、IAMポリシーでログ管理者にコンパートメントへのアクセス権を付与します。 ただし、一部のプロジェクトには個人を特定できる情報(PII)が含まれており、これらのログは選択したログ管理者グループのみが表示できるとします。 ログ・グループを使用すると、PIIを含むログを個別のログ・グループに配置し、IAMポリシーを使用して、少数のログ管理者以外のすべてのユーザーに対してアクセスを制限できます。

詳細は、「サービス・ログ」および「ログおよびログ・グループの管理」を参照してください

デフォルトのデータベース・セキュリティ構成

デフォルトのデータベース・セキュリティ機能が有効化され、使用されています:

• 透過的データベース暗号化(TDE)は、Oracle Database Cloudツールによって作成されたデータベース表領域に使用されます。
  • CDB$ROOT: ユーザー表領域は暗号化されています
  • PDBs: すべての表領域が暗号化されます
  • Walletパスワードは、初期DB作成時に指定されます。 Walletのパスワードは、dbaascliを使用して変更できます。 お客様は定期的にパスワードを変更する必要があります。
• データベース内のユーザー
  • データベースに追加ユーザーは作成されません。
  • DBの作成後、SYS、SYSTEMおよびDBSNMPを除くすべてのDBユーザーがロックされます。
  • 監査は次の操作に対して有効です:
    • DATABASE LINK
    • PUBLIC DATABASE LINK
    • PUBLIC SYNONYM
    • DROP ANY PROCEDURE
    • PROCEDURE
    • ALTER SYSTEM
    • TRIGGER
    • CREATE DATABASE LINK
    • ALTER DATABASE LINK
    • CREATE PROCEDURE
    • ALTER SYSTEM
    • CREATE TRIGGER
    • CREATE ANY TRIGGER
    • SELECT ANY DICTIONARY
    • DB VERSION_11_2: EXEMPT REDACTION POLICY
    • DB VERSION_12_1またはDB VERSION_12_2: BECOME USER
    • DB VERSION_12_1: SESSION
    • DBAASSECURE プロファイルが作成され、データベース・ユーザー・アカウントのデフォルト・プロファイルとして設定されます。

• すべてのネットワーク接続に対するネイティブSQL*Net暗号化 - デフォルトで「Exadataクラウド・インフラストラクチャ」に設定されている関連するsqlnet.oraパラメータは、次のとおりです:

  • SQLNET.ENCRYPTION_TYPES_SERVER = (AES256, AES192, AES128)

  • SQLNET.ENCRYPTION_SERVER = requested

  • SQLNET.CRYPTO_CHECKSUM_SERVER = accepted

  • SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER = (SHA256, SHA384, SHA512)

• ポート2484上のデータベースへのネットワーク接続用に提供されるTCPSプロトコル(/var/opt/oracle/dbaas_acfs/grid/tcps_walletsで構成されたウォレット)。 デフォルトで「Exadataクラウド・インフラストラクチャ」に設定されている関連するsqlnet.oraパラメータは、次のとおりです:

  • SSL_CIPHER_SUITES = (SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, 
    SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, 
    SSL_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 
    SSL_ECDHE_RSA_WITH_AES_256_GCM_SHA384)

  • WALLET_LOCATION = (SOURCE=(METHOD=FILE)(METHOD_DATA=(DIRECTORY=/var/opt/oracle/dbaas_acfs/grid/tcps_wallets)))

  • SQLNET.IGNORE_ANO_ENCRYPTION_FOR_TCPS = TRUE

  • SSL_VERSION = 1.2

• リモート・リスナーの登録 - リスナーはGIホームから走る。 「Exadataクラウド・インフラストラクチャ」デプロイメントでは、Grid Infrastructure vresionが「Oracle Supportドキュメント2333222.1 (Exadata Cloud Serviceソフトウェア・バージョン)」で急増します。 「Exadataクラウド・インフラストラクチャ」のデフォルト構成には、セキュリティの目的でリモート・リスナー登録を制限するために、listener.oraパラメータVALID_NODE_CHECKING_REGISTRATION_LISTENER=SUBNETとREMOTE_REGISTRATION_ADDRESS_<SCANLISTENER>=<value>の組合せが含まれます。
• OCI Vault統合 - TDE暗号化キーは、OCI Vault (キー管理システム)に格納できます。 プリンシパル、ボールトなどを構成する詳細および手順については、「Exadata Cloud Infrastructureでの顧客管理キー」を参照してください。 プライベート・ボールト・タイプと共有ボールト・タイプはどちらも、「Exadataクラウド・インフラストラクチャ」 OCI Vault統合でサポートされています。 DBユーザー認証はOCI Vaultと統合されていません。

デフォルトのバックアップ・セキュリティ構成

OS/VMバックアップ:

Oracleは、ゲストVMのフル・バックアップを毎週実行し、1つ以上のバックアップ・コピーを保持します。 これらのバックアップは、ゲストVM (Exadataストレージに存在するASMディスク・グループではなく、ローカルOSファイルシステム)の完全なディスク・スナップショットです。 このバックアップは、毎週事前設定された時間にトリガーされます。 バックアップはdom0にローカルに格納されます。 お客様は、My Oracle Support (MOS)サービス・リクエスト(SR)を提出することで、最新のバックアップからゲストVMイメージをリストアするようにOracleにリクエストできます。 Oracleでは、イメージ・バックアップから特定のファイルをリストアできません。 単一ファイル・リストアを実行できる必要がある場合、ゲストVMでファイル・レベルのバックアップを実行する必要があります。

管理対象DBバックアップ:

• 毎週完全バックアップ(レベル0)
• 7日サイクルでの日次ローリング増分バックアップ(レベル1)
• データベース・デプロイメント作成プロセス中に特定の時間セットで毎日自動バックアップを実行

バックアップの保存期間は、30日間(オブジェクト・ストレージ上)から7日間(ローカル・ストレージ上)まで異なります

暗号化:

• Object Storageとローカル・ストレージの両方: クラウド・ストレージへのすべてのバックアップは暗号化されます。
• オブジェクト・ストレージのみ: クラウド・ストレージへのすべてのバックアップは暗号化されます。

すべてのバックアップはCP UIまたはCP APIを介して構成できます。

すべてのバックアップは、透過的データ暗号化(TDE)ウォレット暗号化に使用される同じマスター・キーで暗号化されます。

顧客システムおよび顧客データへのオペレータ・アクセス

ライフサイクル自動化の目的でゲストVMにアクセスできるのは、自動化されたツールのみです。

特定のユースケースの1つは、ゲストVMがブートできない場合です。 この場合、お客様はリカバリ目的でゲストVMにアクセスする権限を提供する必要があります。 このシナリオを処理するための詳細は、「Exadata Cloud Serviceセキュリティ制御」の例外ワークフローに関する項を参照してください。

顧客は、ゲストVMへのネットワーク・アクセス(ゲストVMに実装されたレイヤー2 VLANおよびファイアウォール経由)、ゲストVMにアクセスするための認証、ゲストVMで実行されているデータベースにアクセスするための認証など、顧客サービスへのアクセスを制御および監視します。 Oracleは、Oracle管理インフラストラクチャ・コンポーネントへのアクセスを制御および監視します。 Oracleスタッフは、ゲストVMやデータベースなどの顧客サービスにアクセスする権限がありません。

コンプライアンス要件

「PII (個人情報)」この情報は機密および機密とみなされ、法的規制、財政責任および個人的な評判の目的で個人情報が不正に使用されないように保護する必要があります。

個人識別可能情報(PII)がデータに表示されないようにするために、明示的なルールのセットを構成する必要があります。

デフォルトのApplication Performance Monitoringルールでは、金額、銀行口座番号および日付が認識されて、URLのPIIが非表示になります。 ただし、デフォルト・ルールで取得されるのは明らかなPIIのみで、すべてが網羅されるわけではありません。 環境内で正しいレポートが確実に行われ、PIIがデータに表示されないようにするには、デフォルト・ルールを評価し、さらにルールを構成する必要があります。

詳細は、「個人識別可能情報の非表示」および「セキュリティと個人を特定できる情報」を参照してください

バックアップの保存

自動バックアップ機能を有効にすると、Object Storageへのデータベースの日次増分バックアップがサービスによって作成されます。 作成された最初のバックアップは、レベル0のバックアップです。 その後、レベル1のバックアップが、次の週末まで日ごとに作成されます。 新しいレベル0のバックアップから開始して、週末ごとにサイクルを繰り返します。

自動バックアップを有効にする場合は、次の事前設定された保持期間のいずれかを選択できます: 7日、15日、30日、45日または60日。 増分バックアップは、選択した保持期間の最後に自動的に削除されます。

詳細は、「Oracle Exadata Database Service on Dedicated Infrastructureでのデータベースのバックアップおよびリカバリの管理」を参照してください

監査ログ保持期間

OCI監査サービスは、サポートされているサービスに対して実行されたAPI操作のレコードをログ・イベントのリストとして提供します。 デフォルトでは、監査サービス・レコードは365日間保持されます。

詳細は、「監査ログ保持期間」を参照してください

サービス・ログの保持

APIゲートウェイ、イベント、ファンクション、ロード・バランシング、オブジェクト・ストレージ、VCNフロー・ログなどのOracle Cloud Infrastructureサービスは、サービス・ログを発行します。 これらのサポートされる各サービスには、そのサービスのロギングを有効または無効にできるログ・リソースがあります。 デフォルトでは、ログ保持は1か月ですが、6か月まで設定できます。

ログ・グループを使用して、IAMポリシーを使用してサービスによって生成される機密ログへのアクセスを制限できます。 ログを保護するために複雑なコンパートメント階層に依存する必要はありません。 たとえば、1つのコンパートメントのデフォルト・ログ・グループが、テナンシ全体のログを格納する場所であるとします。 通常の場合と同様に、IAMポリシーでログ管理者にコンパートメントへのアクセス権を付与します。 ただし、一部のプロジェクトには個人を特定できる情報(PII)が含まれており、これらのログは選択したログ管理者グループのみが表示できるとします。 ログ・グループを使用すると、PIIを含むログを個別のログ・グループに配置し、IAMポリシーを使用して、少数のログ管理者以外のすべてのユーザーに対してアクセスを制限できます。

詳細は、「サービス・ログ」および「ログおよびログ・グループの管理」を参照してください

顧客ゲストVMにアクセスするための緊急アクセス手順

一部の問題は、顧客のゲストVMにログインしたOracleによってのみ解決できます。

お客様のゲストVMへのアクセスが必要な状況と、ゲストVMへのアクセスに推奨される手順を次に示します:

1. 「初期データベースはまだ作成されておらず、顧客にはゲストVMへのSSHアクセスがまだありません」の場所。 たとえば、顧客が初期データベースを作成できない理由をトラブルシューティングするために顧客がオープンしたSRなどです。 この場合、お客様はゲストVMにアクセスできず、まだデータベースが作成されていないため、ゲストVMに顧客データが存在しません。

   ExaDB-Dサービスに関連付けられたセキュリティ・ポリシーに従って、Oracle担当者は、お客様の明示的な権限なしに顧客ゲストVMにアクセスすることを禁止されています。 このポリシーに準拠するには、次の質問をすることで、OracleがゲストVMにアクセスするためのお客様の許可を得る必要があります。

   「OracleがこのSRの問題describedを解決するには、お客様のゲストVMにログインできるよう、お客様の明示的な権限が必要です。 ゲストVMにアクセスする権限を明示的に付与することで、顧客ゲストVMまたは関連するデータベースに格納されている機密データがないことを確認し、顧客セキュリティ・チームがOracleがこの問題の修正を支援するために顧客ゲストVMへのアクセス権を持つことをOracleに認可しています。 ゲストVMにアクセスする権限はありますか?」

   顧客による肯定的なレスポンスの後、Oracleサポート・スタッフは顧客のゲストVMにログインして問題を解決できます。

2. 「顧客システムに存在するデータベースの数と、顧客はゲストVMにアクセスできますが、多くの状況のいずれかを解決するために、ゲストVMへのログインをサポートする必要があります」がある状況

   発生しました(ゲストVMの変更によりノードが起動しません。たとえば、fstabに存在しないマウント、fsck、Hugepage / sysctl confの変更、lvmバックアップが正常に完了しないなど、ノードは起動しません。fstabには、存在しないマウントに対する誤ったエントリがあります。顧客は、/etc/ssh/sshd_configファイルなどのsshd構成または権限を変更しました。または、顧客が直面している問題の解決をOracleが支援することを望んでいるためです。

   このケースは、お客様のゲストVMファイル・システムまたはデータベースに機密データが存在する可能性があるため、最初のケースよりも重大です。 この場合、オラクルのサポート・スタッフは、次のSRタイトルおよびコンテンツでこの権限を取得するために、特に新しい明示的なSRを開くようにお客様に依頼する必要があります。

   ExaDB-Dサービスに関連付けられたセキュリティ・ポリシーに従って、Oracle担当者は、お客様の明示的な権限なしに顧客ゲストVMにアクセスすることを禁止されています。 Oracleがこのポリシーに準拠するため、次のとおり正確な言語で新規SRをオープンするよう求められます。ゲストVM.Pleaseにアクセスする明示的な権限をOracleに付与します。次の言語に対する変更により、SRの解決が遅延する可能性があります。

   新規SRタイトル: AKシリアル番号AK99999999を持つExaDB-C@CのDomUにアクセスする権限をOracleに付与するSR

   新規SRコンテンツ: SR# 1-xxxxxxxx年に記載された問題の解決のサポートのために、DomUにアクセスするための明示的な権限をOracleに付与するために、このSRをオープンしています。

   この権限を提供することで、OracleがDomUのすべてのファイルにアクセスできることを理解し、機密情報がないことに同意

   DomUのいずれかのファイル・システムに格納されているファイル。 また、顧客セキュリティ・チームがOracleに顧客DomUへのアクセス権を付与したことも同意

   前述のSRに記載されている問題を解決するため。

   前述のSRでお客様からの肯定的な対応を行った後、Oracleサポート・スタッフはお客様のゲストVMにログインして問題を解決できます。

パート2: セキュリティ状況を更新するための追加手順

• 「お客様の責任」
  コンポーネント別の様々な操作に対するOracle Cloud操作職責および顧客職責のリスト
• 「追加のセキュリティ機能の有効化」
  

お客様の責任

コンポーネント別の様々な操作に対するOracle Cloud操作職責および顧客職責のリスト

表6-19 Oracle Cloud様々な業務に対する業務および顧客の責任

操作	Oracle Cloud ORACLE CLOUD PLAFTORMの業務責任	ORACLE CLOUD PLAFTORMの顧客職責	CUSTOMER / TENANT INSTANCESのOracle Cloud業務責任	CUSTOMER / TENANT INSTANCESに対する顧客の責任
DATABASE DEPLOYMENT	ExaCSデプロイメントのソフトウェア・インフラストラクチャおよびガイダンス	ネットワーク管理者: クラウド・ネットワーク・インフラ(VCN、バックアップ/クライアント・サブネット、ゲートウェイなど)の構成データベース管理:データベース要件の設定(メモリー、ストレージ、計算、データベース・バージョン、データベース・タイプなど)	オペレーティング・システム、データベースおよびグリッド・インフラストラクチャのインストール	データベース管理: ワークロードに基づいてお客様のハードウェア要件を管理
MONITORING	物理的セキュリティ、インフラストラクチャ、コントロール・プレーン、ハードウェア障害、可用性、容量	必要なものはありません	カスタマ・サービスのモニタリングをサポートするインフラストラクチャの可用性	データベース管理: 顧客オペレーティング・システム、データベース、アプリケーションおよびグリッド・インフラストラクチャのモニタリング
INCIDENT MANAGEMENT & RESOLUTION	インシデント管理とRemediationSpare部分およびフィールド派遣	必要なものはありません	基礎となるプラットフォームに関連するインシデントのサポート	データベース管理: 顧客アプリケーションのインシデント管理および解決
PATCH MANAGEMENT	ハードウェアのプロアクティブなパッチ適用、IaaS/PaaS制御スタック	必要なものはありません	使用可能なパッチ(Oracle Databaseパッチ・セットなど)のステージング	データベース管理: テナントinstancesTestingのパッチ適用
BACKUP & RESTORATION	インフラストラクチャおよびコントロール・プレーンのバックアップとリカバリ、お客様のVMの再作成	必要なものはありません	お客様がアクセス可能な実行中のVMを提供	データベース管理: Oracleネイティブまたはサードパーティの可用性を使用した顧客のIaaSおよびPaaSデータのスナップショット / バックアップおよびリカバリ

追加のセキュリティ機能の有効化

• 「KMS統合(HSMキー)」
  
• 「TDE表領域暗号化に対するデフォルト以外の暗号化アルゴリズムの使用」
  

KMS統合(HSMキー)

Oracle Exadata Cloud Service (ExaCS)には、OCI Vaultサービスとの統合があり、データベースに対して保存中のデータを保護します。 ユーザーは、Exadataデータベースを保護するOCI Vault内でTDEマスター・キーを作成および管理できるようになりました。

この機能を使用すると、ユーザーはOCIボールト・サービスを使用してマスター暗号化キーの格納および管理を開始できます。 データベースの保護に使用されるOCI Vaultキーは、高可用性に格納されます。

耐久性とマネージド・サービス。 ExaCSのOCIボールト統合は、Oracle Database 11gリリース2 ( 11.2.0.4)以降でのみ使用できます。

OCI VaultとExaDB-Dの統合により、お客様は次のことができるようになりました:

• TDEマスター・キーの一元管理
• TDEマスター・キーを高可用性で耐久性のあるマネージド・サービスに格納します。このサービスでは、連邦情報処理標準(FIPS) 140-2セキュリティ・レベル3のセキュリティ認証を満たすハードウェア・セキュリティ・モジュール(HSM)によってキーが保護されます。
• セキュリティ・コンプライアンスおよび規制要件を維持するために、暗号化キーを定期的にローテーションします。
• Oracle管理キーから既存のデータベースの顧客管理キーに移行します。
• キー・バージョンは、そのプラガブル・データベース(PDB)ではなく、コンテナ・データベース(CDB)にのみ割り当てられます。 PDBには、自動的に生成された新しいキー・バージョンが割り当てられます。

TDE表領域暗号化に対するデフォルト以外の暗号化アルゴリズムの使用

公開されている『Oracle Advanced Security Guide』(「セクションの表の列の暗号化」)で、説明されているデフォルト以外の暗号化アルゴリズムIDを使用して列を暗号化する表を作成するメソッドについて説明します。