1. Exadata Database Machineセキュリティ・ガイド
  2. Oracle Exadata Database Machineのセキュリティ機能

2 Oracle Exadata Database Machineのセキュリティ機能

Oracle Exadata Database Machineのハードウェアとソフトウェアが強化されました。

Oracle Exadata Database Machineを強化するために次のステップが実行されています。

  • 不要なパッケージがサーバーにインストールされないように、インストールされるパッケージのリストを縮小しました。

  • Oracle Exadata Storage Serverの不可欠なサービスのみを有効化しました。

  • ストレージ・サーバー上でファイアウォール(iptables)を有効化しました。

  • オペレーティング・システム・ユーザーの監査を有効化しました。

  • 強化されたパスワード・ポリシーを強制しました。

また、Oracleによって、サービスに対するNTPやSSHなどの推奨されるセキュアな構成も提供されます。さらに、Oracle Exadata Database Machineアーキテクチャにより、次のセキュリティ機能がコア・コンポーネントに提供されます。これらのセキュリティ機能は、階層化されたセキュリティ戦略の展開を推進する組織で最もよく採用されます。

2.1 Security-Enhanced Linuxの使用

Oracle Exadata System Softwareリリース21.2.0では、Exadata Database MachineでのSecurity-Enhanced Linux (SELinux)のサポートが導入されています。

SELinuxは、必須アクセス制御(MAC)を含むアクセス制御セキュリティ・ポリシーをサポートするメカニズムを提供するLinuxカーネル・セキュリティ・モジュールです。

Oracle Exadata System Softwareリリース21.2.0以降、Exadata Database Machine上のすべてのLinuxインストールには、Exadataユーザー、プログラム、プロセス、ファイルおよびデバイスに対してきめ細かい権限を実装する事前定義済のSELinuxポリシーが装備されています。各サーバーには、Exadata Database Machine上のSELinuxに対して単純な管理および監視機能を提供するhost_access_controlユーティリティ(/opt/oracle.cellos/host_access_control)も含まれています。

デフォルトでは、すべてのストレージ・サーバー、物理データベース・サーバー、仮想マシン(VM)ホストまたはVMデータベース・サーバーに、事前定義済のExadataセキュリティ・ポリシーが含まれています。ただし、SELinuxはデフォルトで無効になっています。

SELinuxを許可モードまたは強制モードで有効にすることを選択できます。許可モードでは、SELinuxはシステムをアクティブに監視し、監査ログにポリシー違反を記録します。ただし、許可モードではブロックされるアクションはありません。強制モードが有効になっている場合、SELinuxはポリシー違反をアクティブにブロックし、監査ログに操作を記録します。

Exadata Database MachineのSELinuxに関して、次の点に注意してください:

  • SELinuxを有効にする場合、事前定義済のExadataセキュリティ・ポリシーがサイトのすべてのアプリケーションおよびプロシージャと組み合せて動作するように、最初は許可モードをしばらく使用することをお薦めします。また、本番システムで許可モードを使用する前に、同等のテスト・システムでSELinuxを許可モードでテストする必要があります。

    システムが許可モードの間、ausearchなどの標準のSELinuxコマンドを使用してポリシー違反を監視する必要があります。許可モードでの完全なシステム操作でポリシー違反が発生しない場合、強制モードに簡単に移行できます。

  • 事前定義されたExadataセキュリティ・ポリシーのソース・ファイルは、/opt/oracle.SupportTools/selinuxにあります。ファイル・コンテキスト定義は/opt/oracle.SupportTools/selinux/Exadata.fcに含まれ、タイプ強制定義は/opt/oracle.SupportTools/selinux/Exadata.teに含まれています。これらのファイルを表示すると、Exadataセキュリティ・ポリシーを確認できます。

  • 事前定義済Exadataセキュリティ・ポリシーの変更はサポートされていません。また、サポートされていない変更は、次回Oracle Exadata System Softwareをアップグレードしたときに上書きされます。

  • 追加のセキュリティ・ポリシーを自由に実装できます。たとえば、標準のSELinuxオペレーティング・システム・コマンドを使用して追加のポリシーを手動で作成したり、audit2allowコマンドを使用して、監査ログに記録されたポリシー違反に対処するポリシー定義を生成できます。

Exadata Database MachineでSELinuxを管理するには、次の手順を使用します。

関連項目

親トピック: Oracle Exadata Database Machineのセキュリティ機能

2.1.1 SELinuxの有効化

host_access_controlユーティリティを使用して、ExadataでSELinuxを有効にできます。

  1. SELinuxモードを設定します。

    SELinuxは、許可モードまたは強制モードで動作するように構成できます。

    • 許可モードでは、SELinuxはシステムをアクティブに監視し、監査ログにポリシー違反を記録します。ただし、許可モードではブロックされるアクションはありません。

      許可モードを指定するには、次のコマンドを使用します。

      # /opt/oracle.cellos/host_access_control selinux --permissive

      事前定義済のExadataセキュリティ・ポリシーがサイトのすべてのアプリケーションおよびプロシージャと組み合せて動作するように、最初は許可モードをしばらく有効にすることをお薦めします。

    • 強制モードが有効になっている場合、SELinuxはポリシー違反をアクティブにブロックし、監査ログに操作を記録します。

      強制モードを指定するには、次のコマンドを使用します。

      # /opt/oracle.cellos/host_access_control selinux --enforcing
  2. ラベル変更を実行するようにシステムに指示します。

    SELinuxでは、各ファイルは、その使用を制御するコンテキストまたはセキュリティ・ラベルに関連付けられます。SELinuxが最初に有効になったら、システムのラベルを変更して、ファイルが適切なセキュリティ・コンテキストに関連付けられていることを確認する必要があります。

    次のコマンドは、システムに対してラベル変更を実行するように指示します。

    # /opt/oracle.cellos/host_access_control selinux --relabel

    このコマンドは、/.autorelabelにあるファイルにアクセスして、ラベル変更を実行するようシステムに指示します。ただし、ラベル変更プロセスは、次回のシステム再起動の一部として実行されます。

  3. システムを再起動します。

    ラベル変更を実行してSELinuxを有効にするには、システムの再起動が必要です。

親トピック: Security-Enhanced Linuxの使用

2.1.2 SELinuxモードの変更

SELinuxが有効になっている間、host_access_controlユーティリティを使用して、許可モードと強制モード間で即座に遷移できます。この場合、ラベル変更や再起動は必要ありません。

  • 許可モードに変更するには、次のコマンドを使用します。

    # /opt/oracle.cellos/host_access_control selinux --permissive

  • 強制モードに変更するには、次のコマンドを使用します。

    # /opt/oracle.cellos/host_access_control selinux --enforcing

親トピック: Security-Enhanced Linuxの使用

2.1.3 SELinuxの無効化

host_access_controlユーティリティを使用して、ExadataでSELinuxを無効にできます。

  1. SELinuxモードを無効に設定します。
    # /opt/oracle.cellos/host_access_control selinux --disabled
  2. システムを再起動します。

    SELinuxを非アクティブ化するには、システムの再起動が必要です。

親トピック: Security-Enhanced Linuxの使用

2.1.4 SELinuxステータスの表示

host_access_controlユーティリティを使用して、SELinuxステータスを表示できます。現在のステータスまたは構成済ステータスを表示できます。

  • 現在のステータスは、システムで現在アクティブなSELinuxモードを示します。

    現在のステータスを表示するには、次のコマンドを使用します。

    # /opt/oracle.cellos/host_access_control selinux --status

  • 構成済ステータスは、直近のhost_access_controlコマンドによって設定されたSELinuxモードを示します。構成済ステータスは、SELinuxモード設定を変更した後で、システムを再起動して新しいモードをアクティブ化する前の現在のステータスとは異なります。

    構成済ステータスを表示するには、次のコマンドを使用します。

    # /opt/oracle.cellos/host_access_control selinux --config

親トピック: Security-Enhanced Linuxの使用

2.2 システムの起動に使用するバイナリの制限

セキュア・ブートでは、カーネル・モジュール・レベルまで下る信頼のチェーンがサポートされています。

セキュア・ブートは、システムを起動する際に実行できるバイナリを制限するために使用する方法です。セキュア・ブートを使用すると、システムUEFIファームウェアでは、信頼できるエンティティの暗号署名を使用するブート・ローダーの実行のみを許可します。つまり、UEFIファームウェアで実行されるすべてのものは、システムで信頼できると認識されているキーによって署名される必要があります。サーバーを再起動するたびに、実行されるすべてのコンポーネントが検証されます。これにより、ブート・チェーン内の埋込みコードにマルウェアが隠れないようにします。

ロード可能なカーネル・モジュールは信頼できるキーで署名されている必要があり、署名がない場合はカーネルにロードできません。

次の信頼できるキーは、UEFI NVRAMの変数に格納されます。

  • Database (DB): 既知のキーを含む署名データベースです。DBに対して確認できるバイナリのみが、BIOSによって実行されます。

  • Forbidden Database (DBX): ブロックされているキーです。DBX内のエントリと一致するキーを持つオブジェクトをロードしようとすると、拒否されます。これは、正しくないキーを示すリストです。

  • Machine Owner Key (MOK): インストールするカーネル・モジュールのためにユーザーが追加したキーです。

  • Platform Key (PK): ハードウェア・ベンダーによってインストールされたキーです。このキーは、ベンダーによってインストールされ、ILOMファームウェア内にあります。このキーには、ホストからはアクセスできません。

  • Key Exchange Key (KEK): 署名データベースの更新に必要なキーです。

UEFI構成メニューによるキーの追加、キーの変更またはセキュア・ブートの有効化および無効化には、ユーザーがシステム・コンソールに物理的にアクセスできる必要があります。Linuxを実行するほとんどのUEFI対応サーバーでは、デフォルトのブート・ローダーはgrub2です。セキュア・ブートが有効になっている場合は、さらにshimブート・ローダーが必要です。セキュア・ブート・モードで起動している場合は、最初にshimloaderが呼び出されます。それは、信頼できる署名がこれに含まれているためです。shimloaderは、次にgrub2をロードします。これはその後、OSカーネル(これも署名されている)をロードします。

セキュア・ブートは、X7-2以降のデータベースおよびストレージ・サーバーで使用できます。

親トピック: Oracle Exadata Database Machineのセキュリティ機能

2.2.1 セキュア・ブートの有効化と無効化

セキュア・ブートは、Exadataストレージ・サーバー、ベア・メタル・データベース・サーバーおよびKVMホストでデフォルトで有効になっています。KVMゲスト、XenベースのOracle VMサーバー(Dom0)およびOracle VMゲスト(DomU)では、セキュア・ブートはデフォルトで有効になっていません。

セキュア・ブート・オプションの設定は、デフォルトのままにしておくことをお薦めします。

ブート処理中に[F12]を押し、EFIブート・メニューに移動し、セキュア・ブート設定を変更することで、セキュア・ブート設定を変更できます。

セキュア・ブート・オプションのステータスを確認するには、次のコマンドを使用します。 

# mokutil --sb-state
SecureBoot enabled

親トピック: システムの起動に使用するバイナリの制限

2.2.2 セキュア・ブートで使用するキーと証明書の管理

mokutilコマンドを使用して、セキュア・ブートで使用するキーと証明書を管理できます。

証明書はDigiCertによって署名されます。デフォルトでは、証明書は署名日から1年間有効です。証明書が期限切れになっている可能性があるとしても、検証は、grubおよびカーネルが署名された日付と、証明書がその時点で有効になっていたかどうかに基づきます。

証明書を更新するには、保護されたサーバー上のカーネル、grub、およびILOMを新しい署名済バージョンで更新します。

  • 既存のキーを問い合せるには、コマンドmokutilを使用します。
    [root@dbm0celadm03 ~]# mokutil --list-enrolled
[key 1]
SHA1 Fingerprint: 5f:f4:35:5a:49:ec:8d:f1:56:d1:ee:9b:ac:f6:19:54:08:77:d3:59
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            21:b3:c1:01:19:dc:af:44:43:15:8b:0f:33:6b:18:be
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=Symantec Corporation, OU=Symantec Trust Network, CN=Symantec Class 3 Extended Validation Code Signing CA - G2
        Validity
            Not Before: Jun 30 00:00:00 2020 GMT
            Not After : Jul  1 23:59:59 2021 GMT
        Subject: jurisdictionC=US/jurisdictionST=Delaware/businessCategory=Private Organization/serialNumber=2101822, C=US/postalCode=94065, ST=California, L=Redwood City/street=500 Oracle Parkway, O=Oracle America Inc., OU=Winqual, CN=Oracle America Inc.
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:8d:3e:e0:3b:35:99:fb:11:c0:2a:12:ac:07:40:
                    f7:90:d4:d3:62:5e:85:2d:ea:94:af:5f:26:33:98:
                    c8:03:33:0e:30:5e:4d:44:ca:fa:1a:3a:49:88:64:
                    89:16:5c:39:f3:35:86:ed:25:eb:0f:ca:fa:2c:3d:
                    d6:23:2a:b3:1e:62:fb:45:88:1a:05:be:95:d6:6a:
                    d9:c5:f2:81:7a:cc:63:71:3c:37:a0:23:1c:eb:20:
                    1a:3d:13:89:6a:9e:47:a0:eb:ca:64:21:3f:7a:f4:
                    e6:09:bf:47:63:c8:b3:6b:a5:c6:1b:de:f6:06:12:
                    56:eb:ab:24:00:01:c9:80:db:be:66:49:64:ac:c8:
                    ce:1e:da:7a:c1:42:21:85:f9:67:81:a4:f0:6d:14:
                    01:9b:45:1e:9f:08:e5:18:b7:c5:34:e5:55:e2:11:
                    dc:fe:0c:36:32:f4:bb:cb:34:00:37:b2:41:05:5f:
                    0a:69:68:55:cb:4e:ec:ca:cc:1b:67:dc:05:f1:98:
                    95:c4:14:35:41:01:fe:f5:bd:63:1a:8d:cc:8a:1f:
                    b6:87:ac:02:ea:e2:2e:29:d6:11:b9:bc:aa:d6:44:
                    3e:32:3c:a9:12:a4:aa:09:ec:6e:ba:99:08:58:36:
                    6b:ef:40:c5:3e:47:36:93:53:f1:c9:f2:79:f2:53:
                    c9:9b
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Key Usage: critical
                Digital Signature
            X509v3 Extended Key Usage:
                Code Signing
            X509v3 Certificate Policies:
                Policy: 2.23.140.1.3
                  CPS: https://d.symcb.com/cps
                  User Notice:
                    Explicit Text: https://d.symcb.com/rpa

            X509v3 Subject Key Identifier:
                BC:59:71:95:4C:74:9D:3D:30:98:52:EF:0F:3C:23:6F:A4:98:E8:F6
            X509v3 Authority Key Identifier:
                keyid:16:66:DE:4A:34:E3:50:A7:11:86:03:B1:6C:A9:C6:AC:CD:59:6E:9B

            X509v3 CRL Distribution Points:

                Full Name:
                  URI:http://sw.symcb.com/sw.crl

            Authority Information Access:
                OCSP - URI:http://sw.symcd.com
                CA Issuers - URI:http://sw.symcb.com/sw.crt

    Signature Algorithm: sha256WithRSAEncryption
         38:4d:10:69:07:db:7c:ce:18:2b:1e:c5:89:1c:71:a9:b0:07:
         19:43:2d:a0:88:c5:f5:bf:82:a9:4b:f9:45:fa:2c:7c:00:cb:
         be:24:b0:a8:98:7d:f5:a3:c4:42:52:f4:75:fd:22:c5:0c:2e:
         a2:13:7f:b9:24:79:04:d5:ea:0e:1a:e6:e8:4c:61:48:65:5b:
         c7:30:81:90:fd:17:d5:39:d4:70:00:00:b8:c5:80:03:da:88:
         e0:f1:39:aa:d9:1d:ef:2f:bf:c3:06:18:2a:1b:1f:ce:30:a2:
         bb:dd:d0:46:0e:d5:e1:22:0c:a0:cc:df:00:fe:0a:99:d5:cc:
         16:76:4b:ab:dc:bb:80:4b:0e:1b:f5:5e:04:22:3e:a9:d0:70:
         56:87:9b:c1:2f:95:cf:36:34:e7:c7:2e:0c:56:f3:24:fa:7d:
         f7:25:54:50:34:f6:e5:30:76:8b:fd:65:25:19:8a:54:f9:f1:
         93:24:ad:22:25:4a:e0:a2:63:b6:d7:d1:82:4e:5a:fc:34:52:
         b4:9e:7d:1a:e2:b7:a1:92:13:0f:9d:7b:ae:42:6f:64:a2:02:
         47:c7:f9:11:12:e4:82:b9:f7:ed:ce:14:ac:c2:b4:e3:cc:c4:
         ef:f8:9f:78:23:91:89:b0:37:24:f1:c6:61:0c:2e:cf:af:29:
         e5:68:70:4d

親トピック: システムの起動に使用するバイナリの制限

2.2.2.1 mokutilの使用によるセキュア・ブートのキーの追加

セキュア・ブートで使用するための新しいキーをインポートまたは追加できます。

コマンドmokutil --helpを使用してその他のオプションを表示できます。
これらのコマンドは、rootユーザーで実行する必要があります。
  1. 追加するキーのために、DERフォーマット済のX509証明書ファイルを作成します。
  2. そのキーがすでにアクティブになっているかどうかを確認します。
    # mokutil --test-key new_target_cert.cer
  3. そのキーが現在アクティブでない場合は、キー証明書をインポートします。
    # mokutil --import new_target_cert.cer
2.2.2.2 mokutilの使用によるセキュア・ブートのキーの削除

セキュア・ブートで使用するためのキーを削除できます。

コマンドmokutil --helpを使用してその他のオプションを表示できます。
これらのコマンドは、rootユーザーで実行する必要があります。
  • キーを削除するには、次のコマンドを使用します。
    mokutil --delete key_file

2.2.3 セキュア・ブートのトラブルシューティング

セキュア・ブートが有効になっている場合、次の問題が発生する可能性があります。

  • セキュア・ブート違反: 無効な署名が検出されました。設定でセキュア・ブート・ポリシーを確認します。 - grubローダーに無効な署名があります。

    ノート:

    証明書が期限切れになっている可能性があるとしても、検証は、grubおよびカーネルが署名された日付と、証明書がその時点で有効になっていたかどうかに基づきます。
  • エラー: ファイルに無効な署名があります。エラー: まずカーネルをロードする必要があります。 - grubローダーは署名されていますが、カーネルは署名されていません。
  • エラー: 検証失敗: (15)アクセスが拒否されました。イメージのロードに失敗: アクセスが拒否されました。start_image()でAccess Deniedが返されました - サーバーが署名されていないイメージにISOイメージがロードされています。

親トピック: システムの起動に使用するバイナリの制限

2.3 分離ポリシーの使用

Oracle Exadata Database Machineは複数の分離レベルをサポートしています。

ITインフラストラクチャの統合、共有サービス・アーキテクチャの実装、およびセキュアなマルチテナント型サービスの提供を必要とする組織では、サービス、ユーザー、データ、通信およびストレージを分離すると有益です。Oracle Exadata Database Machineを使用すると、組織のニーズに基づいて、柔軟に分離ポリシーおよび戦略を実装できます。Oracle Exadata Database Machineのセキュアな分離には次のレベルがあります。

  • ネットワーク・トラフィックの分離
    Exadata Database Machineは、複数のネットワークを使用してネットワーク・トラフィックを分割します。
  • データベースの分離
    オペレーティング・システム制御とデータベース機能を使用して、データベースの分離を有効にします。
  • ストレージの分離
    Exadata Database Machineストレージは、RDMAネットワーク・ファブリック (InfiniBandまたはRDMA over Converged Ethernet (RoCE))を使用することでアーキテクチャの残りの部分と分離されます。

親トピック: Oracle Exadata Database Machineのセキュリティ機能

2.3.1 ネットワーク・トラフィックの分離

Exadata Database Machineは、ネットワーク・トラフィックを分割するために複数のネットワークを使用します。

物理的なネットワーク・レベルで、クライアント・アクセスがデバイス管理およびデバイス間通信から分離されます。クライアントと管理ネットワーク・トラフィックは、個別のネットワーク上で分離されます。クライアント・アクセスは、システムで実行中のサービスへの信頼性の高い高速アクセスを可能にする、結合イーサネット・ネットワーク・インタフェースを介して提供されます。管理アクセスは、物理的に独立したイーサネット・ネットワーク・インタフェースを介して提供されます。これにより、運用ネットワークと管理ネットワーク間の分離が実現します。

組織は、仮想LAN (VLAN)を構成することによって、クライアント・アクセス・ネットワーク上のネットワーク・トラフィックをさらに分割することを選択できます。VLANでは、要件に基づいてネットワーク・トラフィックを分割します。通信の機密保持と整合性を確保するために、暗号化されたプロトコルをVLAN上で使用することをお薦めします。

デバイス間通信は、RDMAネットワーク・ファブリック (InfiniBandまたはRDMA over Converged Ethernet (RoCE))によって提供されます。RDMAネットワーク・ファブリックは、Oracle Exadata Storage Serverとデータベース・サーバー間の通信用の、高パフォーマンスで低レイテンシのバックプレーンです。デフォルトでは、Oracle Exadata Storage Serverには構成済のソフトウェア・ファイアウォールが含まれます。ソフトウェア・ファイアウォールを使用してデータベース・サーバーを構成することもできます。

ノート:

InfiniBandプライベート・ネットワークをパーティション分割しても、InfiniBandファブリックは保護されません。パーティション分割では、マシン間でのInfiniBandのトラフィックの分離のみを行います。

親トピック: 分離ポリシーの使用

2.3.2 データベースの分離

オペレーティング・システム制御とデータベース機能を使用して、データベースの分離を有効にします。

環境全体を単一のアプリケーションまたはデータベース専用にすることによって物理的に分離することは、最適な分離方法の1つです。ただし、費用がかかります。同じオペレーティング・システム・イメージ内の複数のデータベースを使用するという分離戦略によって、費用効果を高めることができます。複数データベースの分離は、ユーザー、グループおよびリソース制御専用の資格証明などの、データベース・レベルとオペレーティング・システム・レベルの制御を組み合せて実現されます。

Oracle Exadata Database Machineでは、Oracle Databaseのすべてのセキュリティ・オプションを使用できます。より細かい粒度でデータベースを分離する場合は、Oracle Database VaultOracle Virtual Private DatabaseOracle Label Securityなどのソフトウェアを使用できます。

Oracle Database Vaultには、単一のデータベース内の論理レルムを使用して分離を強制する、必須アクセス制御モデルが含まれています。論理レルムは、管理アカウントによるアプリケーション・データへの非定型アクセスをブロックすることによって、既存のアプリケーション表の周囲に保護境界を形成します。Oracle Database Vaultコマンド・ルールにより、だれが、いつ、どこで、どのようにデータベースおよびアプリケーション・データにアクセスするかを制限するポリシーベースの制御が可能になります。これにより、アプリケーション・データへの信頼できるパスが作成されます。Oracle Database Vaultを使用して、時間、ソースIPアドレスおよび他の条件に基づいてアクセスを制限することもできます。

Oracle Virtual Private Databaseを使用すると、データベースの表とビューへの、行および列レベルのファイングレイン・アクセスを強制するポリシーを作成できます。Oracle Virtual Private Databaseでは、ポリシーがデータベース・オブジェクトに関連付けられ、データへのアクセス方法に関係なく自動的に適用されるため、セキュリティのポータビリティが提供されます。データベース内で粒度の細かい分離を実現するために、Oracle Virtual Private Databaseを使用できます。

Oracle Label Securityは、データの分類、および分類に基づいたそのデータへのアクセスの仲介に使用されます。組織は、組織のニーズを最適にサポートする、階層や非結合などの分類計画を定義します。この機能を使用すると、異なる分類レベルで格納された情報を単一の表領域内の行レベルで分離できます。

親トピック: 分離ポリシーの使用

2.3.3 ストレージの分離

Exadata Database Machineストレージは、RDMAネットワーク・ファブリック (InfiniBandまたはRDMA over Converged Ethernet (RoCE))を使用することでアーキテクチャの残りの部分と分離されます。

Oracle Exadata Storage Serverによって管理されるストレージは、Oracle Automatic Storage Management (Oracle ASM)を使用してさらに分割し、個別のディスク・グループを作成できます。各ディスク・グループに独自のセキュリティ・ポリシーを設定できます。

親トピック: 分離ポリシーの使用

2.4 Oracle Exadata Storage Serverへのネットワーク・アクセス

Oracle Exadata System Softwareには、各セルにファイアウォールを実装するセルウォール・サービスが含まれています。

このサービスは/etc/init.d/cellwallディレクトリにあり、セル上にiptablesファイアウォールを実装します。さらに、SSHサーバーは管理ネットワーク(NET0)およびRDMAネットワーク・ファブリック上のみでの接続リクエストに応答するよう構成されています。

ファイアウォール・ルールを確認するには、次のコマンドをrootユーザーとして実行します。 

iptables --list

ノート:

データベース・サーバーに自動的に構成されるファイアウォールはありません。Exadata Database Machineの現在のネットワーク要件を満たすように、データベース・サーバー上にiptablesのセットを実装します。

親トピック: Oracle Exadata Database Machineのセキュリティ機能

2.5 データへのアクセス制御

アプリケーション・データ、ワークロードおよび実行の基礎となるインフラストラクチャを保護するために、Oracle Exadata Database Machineには、ユーザーと管理者の両方のための、包括的で柔軟なアクセス制御機能が備えられています。

制御機能には、ネットワーク・アクセス、データベース・アクセスおよびストレージ・アクセスが含まれます。

  • ネットワーク・アクセスの制御
    単純なネットワーク・レベルの分離を超えて、デバイス・レベルでファイングレイン・アクセス制御ポリシーを設定できます。
  • データベース・アクセスの制御
    職務の分離は、共謀行動のリスクを減らし、不測のエラーを防止するために、アーキテクチャのすべてのレイヤーで重要です。
  • ストレージ・アクセスの制御
    Oracle Exadata System Softwareは、オープン・セキュリティ、Oracle ASMを有効範囲にしたセキュリティ、およびデータベースを有効範囲にしたセキュリティのアクセス制御モードをサポートしています。

親トピック: Oracle Exadata Database Machineのセキュリティ機能

2.5.1 ネットワーク・アクセスの制御

単純なネットワーク・レベルの分離を超えて、デバイス・レベルでファイングレイン・アクセス制御ポリシーを設定できます。

Oracle Exadata Database Machineのすべてのコンポーネントには、ネットワーク分離などのアーキテクチャの手法を使用するか、またはパケット・フィルタリングおよびアクセス制御リストを使用して、コンポーネント間、サービス間、またはコンポーネントとサービスの間の通信を制限することによって、サービスへのネットワーク・アクセスを制限する機能があります。

親トピック: データへのアクセス制御

2.5.2 データベース・アクセスの制御

職務の分離は、共謀行動のリスクを減らし、不測のエラーを防止するために、アーキテクチャのすべてのレイヤーで重要です。

たとえば、異なるオペレーティング・システム・アカウントを使用して、Oracle Automatic Storage Management (Oracle ASM)をサポートする管理者を含むデータベース管理者とストレージ管理者のロールを分離します。Oracle Database内では、ユーザーがアクセスを認可されているデータ・オブジェクトにのみアクセスできるように、ユーザーに特定の権限およびロールを割り当てることができます。明示的に許可されないかぎり、データを共有することはできません。

パスワード・ベース認証に加え、Oracle Databaseは、公開キー証明書、RADIUSおよびKerberosもサポートします。Oracle Enterprise User Securityを使用して、データベースを認証および認可用の既存のLDAPリポジトリに統合できます。これらの機能によって、データベースにアクセスするユーザーのIDがより確実に保証されます。

Oracle Database Vaultを使用して、管理および特権ユーザー・アクセスを管理し、アプリケーション・データにどのように、いつ、どこでアクセスできるかを制御できます。Oracle Database Vaultは、盗まれたログイン資格証明の悪用、アプリケーション・バイパス、およびアプリケーションとデータに対する未認可の変更(アプリケーション・データのコピー作成の試みを含む)を阻止します。Oracle Database Vaultは、ほとんどのアプリケーションおよび日常業務に対して透過的です。多元的な認可ポリシーをサポートし、企業活動を中断することなくポリシーのセキュアな強制を可能にします。

Oracle Database Vaultでは、職務分離を強制し、アカウント管理、セキュリティ管理、リソース管理および他の機能が、それらの権限を持つことを認可されたユーザーにのみ許可されるようにできます。

親トピック: データへのアクセス制御

2.5.3 ストレージ・アクセスの制御

Oracle Exadata System Softwareは、オープン・セキュリティ、Oracle ASMを有効範囲にしたセキュリティ、およびデータベースを有効範囲にしたセキュリティのアクセス制御モードをサポートしています。

  • オープン・セキュリティでは、データベースがどのグリッド・ディスクにもアクセスできます。

  • Oracle ASMを有効範囲にしたセキュリティでは、1つ以上のOracle ASMクラスタに割り当てられた複数のデータベースで特定のグリッド・ディスクを共有できます。

    Oracle ASMは、そのアクセス制御モード全体に加えて、ディスク・グループおよびファイル・レベルでのアクセス制御をサポートし、認可されたユーザーのみがディスクに格納されたコンテンツにアクセスできるようにします。

    ノート:

    • /etc/oracle/cell/network-config/cellkey.oraファイルは、Oracle Grid Infrastructureの特定の一意のグループ(asmadminなど)に所属するソフトウェア・インストールの所有者のみが読み取れるようにする必要があります。

    • Oracle Grid Infrastructureホーム内のkfodユーティリティを使用してトラブルシューティングを行うか、クラスタでアクセス可能なディスクを確認します。

  • データベースを有効範囲にしたセキュリティは、粒度が最も細かいレベルのアクセス制御であり、特定のデータベースのみが特定のグリッド・ディスクにアクセスできます。

    データベースを有効範囲にしたセキュリティは、コンテナ・レベルで機能します。これは、グリッド・ディスクをコンテナ・データベース(CDB)または非CDBDB_UNIQUE_NAMEで使用可能にする必要があることを意味します。そのため、プラガブル・データベース(PDB)単位でデータベースを有効範囲にしたセキュリティを設定することはできません。

    ノート:

    データベースを有効範囲にしたセキュリティの設定は、Oracle ASMを有効範囲にしたセキュリティを構成およびテストしてから行ってください。

デフォルトでは、ストレージ・サーバーでSSHが有効化されています。必要に応じて、SSHアクセスをブロックするためにストレージ・サーバーをロックできます。その場合でも、計算ノード上で実行されている、HTTPSおよびREST APIの使用によりセル上で実行されているWebサービスと通信するexacliを使用して、ストレージ・サーバーでの操作は実行できます。これは、CellCLIでユーザーおよびロールを作成してからremoteLoginを無効にすることで、高いレベルで実現されます。

関連項目

親トピック: データへのアクセス制御

2.6 暗号化サービスの使用

保存済、移動中および使用中の情報を保護および検証するための要件では、多くの場合、暗号化サービスが採用されます。暗号化と復号化からデジタル・フィンガープリントと証明書検証まで、暗号化はIT組織で最も広く採用されるセキュリティ制御の1つです。

Oracle Exadata Database Machineでは、可能な場合は常にIntel AES-NIおよびOracle SPARCによって提供されるプロセッサ・チップ上のハードウェアベースの暗号化エンジンが使用されます。暗号化操作にハードウェアを使用すると、ソフトウェアでその操作を実行するよりも、パフォーマンスが大幅に高くなります。どちらのエンジンでもハードウェアで暗号化操作を実行でき、かつ、どちらもデータベース・サーバーおよびストレージ・サーバー上のOracleソフトウェアによって活用されます。

ネットワーク暗号化サービスでは、暗号で保護されたプロトコルを使用することによって通信の機密保持および整合性が保護されます。たとえば、セキュア・シェル(SSH)アクセスでは、システムおよびIntegrated Lights Out Manager (ILOM)へのセキュアな管理アクセスが提供されます。SSL/TLSは、アプリケーションと他のサービス間のセキュアな通信を可能にできます。

データベース暗号化サービスを使用するには、Oracle Advanced Securityのコンポーネントである透過的データ暗号化(TDE)を使用します。TDEでは、表領域全体および表内の個々の列の暗号化がサポートされます。TDEはOracle Databaseのアーキテクチャに組み込まれており、データの暗号化は一時表領域およびREDOログで保持されます。データ暗号化はデータベース・バックアップにも保持され、使用中のストレージ・デバイスに関係なくデータが保護されます。Exadataでは、データがExadataスマート・フラッシュ・キャッシュまたは永続メモリー(PMEM)キャッシュにある場合も、データは暗号化されたままになります。

さらに、Oracle Advanced Securityは、ネイティブ暗号化またはSSLを使用してOracle Net ServicesおよびJDBCトラフィックを暗号化し、ネットワークでの移動中に情報を保護できます。管理接続とアプリケーション接続の両方を保護し、移動中のデータが保護されるようにできます。SSLの実装では、匿名(Diffie-Hellman)、X.509証明書を使用したサーバーのみの認証、X.509による相互(クライアント-サーバー)認証などの一連の標準認証方式がサポートされます。

親トピック: Oracle Exadata Database Machineのセキュリティ機能

2.7 Oracle Exadata Database Machineの監視および監査

コンプライアンス・レポートのためであれ、インシデント応答のためであれ、監視と監査は、組織がIT環境の可視性を高めるために使用する必要がある重要な機能です。

監視と監査が行われる程度は、多くの場合、環境のリスクまたは重要度に基づきます。Exadata Database Machineは、サーバー、ネットワーク、データベースおよびストレージ・レイヤーで包括的な監視および監査機能を提供し、組織の監査およびコンプライアンス要件をサポートする情報を組織が使用できるように設計されています。

親トピック: Oracle Exadata Database Machineのセキュリティ機能

2.7.1 Oracle Exadata Database Machineの監視および監査

AIDEは、システムに対する悪質な変更または計画外の変更をレポートするセキュリティ機能です。

Oracle Exadata System Softwareリリース19.1.0では、Exadataシステム上のファイルへの不正アクセスを防止するために、Advanced Intrusion Detection Environment (AIDE)のサポートが追加されました。AIDEは、システム上にファイルのデータベースを作成し、そのデータベースを使用してファイルの整合性を確認して、システム侵入を検出します。AIDEについてさらに学習するには、https://en.wikipedia.org/wiki/Advanced_Intrusion_Detection_Environment参照してください。

Exadata Database Machineでは、AIDEがシステム(ファイルまたはディレクトリ)への計画外の変更を識別したときに、管理サーバー(MS)のアラートが生成されます。

ソフトウェアのインストールや構成が行われている非本番システムまたは一時的にNON-PRODUCTIONとみなされているシステムでは、AIDEは誤検出を含む大量のアラートを生成することがあります。システムがNON-PRODUCTIONモードの場合は、/opt/oracle.SupportTools/exadataAIDE -disableコマンドを実行して、各計算ノードでAIDEを一時的に無効にすることをお薦めします。

PRODUCTIONに戻されたシステムの場合、ソフトウェア・インストールをロック・ダウンした後の最後のステップの1つは、次のコマンドを実行することによるAIDEデータベースの最終更新である必要があります。

  • /opt/oracle.SupportTools/exadataAIDE -enable — AIDEが以前に無効にされていた場合

  • /opt/oracle.SupportTools/exadataAIDE -u — 新しいAIDEデータベース・ベースラインを生成する場合

PRODUCTIONデータベース・サーバーのいずれかで構成を変更する必要がある場合は、変更後に/opt/oracle.SupportTools/exadataAIDE -uコマンドを実行して、AIDEデータベースの更新を実行します。

ノート:

AIDEデータベースを更新すると、オープンしているすべてのAIDE MSアラートがクリアされます。

親トピック: Oracle Exadata Database Machineの監視および監査

2.7.2 Oracle Databaseアクティビティの監視および監査

Oracle Databaseのファイングレイン監査のサポートによって、組織は監査レコードの生成時期を選択的に決定するポリシーを確立できます。

ポリシーを確立すると、組織は他のデータベース・アクティビティに集中し、監査アクティビティに関連付けられることの多いオーバーヘッドを削減できます。

Oracle Audit Vaultはデータベース監査設定の管理を一元化し、セキュアなリポジトリへの監査データの統合を自動化します。Oracle Audit Vaultには、特権ユーザーのアクティビティやデータベース構造への変更を含む広範なアクティビティを監視するための組込みレポートが含まれています。Oracle Audit Vaultで生成されるレポートによって、様々なアプリケーションおよび管理データベースのアクティビティを可視化し、アクションのアカウンタビリティをサポートする詳細な情報を取得できます。

Oracle Audit Vaultを使用すると、未認可アクセスの試みやシステム権限の不正使用を示す可能性のあるアクティビティのプロアクティブな検出および警告が可能になります。これらの警告には、特権ユーザー・アカウントの作成や機密情報を含む表の変更などの、システム・イベントとユーザー定義イベントの両方を含めることができます。

Oracle Database Firewall Remote Monitorは、リアルタイムのデータベース・セキュリティ監視を提供できます。Oracle Database Firewall Remote Monitorはデータベース接続を問い合せて、アプリケーション・バイパス、未認可のアクティビティ、SQLインジェクション、その他の脅威などの悪意のあるトラフィックを検出します。Oracle Database Firewallは正確なSQLグラマーベースのアプローチを使用することによって、疑わしいデータベース・アクティビティを組織が迅速に識別できるようにします。

親トピック: Oracle Exadata Database Machineの監視および監査

2.7.3 Oracle Exadataサーバー上でのオペレーティング・システム・アクティビティの監視

各Exadataサーバーは、システム・レベルのアクティビティを監査するようにauditdで構成されています。

監査を管理してレポートを生成するには、auditctlコマンドを使用します。監査ルールは/etc/audit/audit.rulesファイルにあります。パッチ・セットを適用すると、変更は保持されません。

Oracle Exadata System Softwareリリース19.1.0およびOracle Linux 7以降、Exadata Database Machineに固有の監査ルールは/etc/audit/rules.d/01-exadata_audit.rulesファイルに格納されます。

auditdサービスが起動すると、augenrulesユーティリティが実行されます。このユーティリティは、監査ルール・ディレクトリ/etc/audit/rules.dにあるすべてのコンポーネント監査ルール・ファイルをマージし、マージされた結果を/etc/audit/audit.rulesファイルに配置します。コンポーネント監査ルール・ファイルは、augenrulesによって処理されるには、.rulesで終わる必要があります。/etc/audit/rules.dディレクトリ内の他のすべてのファイルは無視されます。ファイルは、自然ソート順に基づいて連結され、空の行およびコメント(#)行は削除されます。Exadata Database Machineに固有の監査ルールは、/etc/audit/rules.dディレクトリ(/etc/audit/rules.d/20-customer_audit.rulesなど)内の個別の監査ルール・ファイルに配置する必要があります。

以前のリリースのOracle Exadata System Softwareと同様に、監査ルールは不変です。監査ルールに対する変更を有効にするには、再起動が必要です。

親トピック: Oracle Exadata Database Machineの監視および監査

2.8 品質サービスの管理

アプリケーションに対する攻撃には、境界違反やアクセス制御ポリシーの破壊以外にも様々な方法があります。

Exadata Database Machineには、リソースを枯渇させる攻撃、DoS攻撃、およびサービスとデータの可用性に影響する可能性がある偶発的または故意の障害の検出と防止に役立つ、数多くの機能が備えられています。

Oracle Exadata System Softwareには、データベース間のI/Oリソースおよびデータベース内のI/Oリソースを管理するI/Oリソース管理(IORM)が含まれます。IORMにより、異なるパフォーマンス要件を持つ様々なデータベースで共通のOracle Exadata Storage Serverプールを共有できます。同じデータベース内の複数のワークロードに独自のリソース・ポリシーを定義できます。この柔軟なアーキテクチャによって、組織では統合アーキテクチャでの操作時に重要なワークロードおよびデータベースでI/Oリソースを共有できます。

Oracle Databaseには、複数のデータベースが同じオペレーティング・システムで稼働できるようにするツールが含まれています。Oracle Database Resource Managerおよびインスタンス・ケージングでは、粒度の細かい方法を使用してCPUリソースへのアクセスを動的に制御する機能をサポートしています。Oracle Database Resource Managerは、並列度の程度、アクティブなセッションの数および他の共有リソースを制御して、共有データベース・アーキテクチャで必要なリソースを1つのデータベースが独占することを防止できます。

Oracle Database Quality of Service Management (Oracle Database QoS Management)は、システム全体のワークロード・リクエストを監視する自動化されたポリシーベースのソリューションです。Oracle Database QoS Managementは正確なランタイム・パフォーマンスとリソース・メトリックを相互に関連付け、データを分析してボトルネックを特定し、動的な負荷状態でパフォーマンス目標を維持する推奨リソース調整を作成します。

親トピック: Oracle Exadata Database Machineのセキュリティ機能

2.9 セキュアな管理のためのOracle ILOMの使用

個々のアプリケーションとサービスを適切に保護するには、セキュリティ制御および機能を組み合せる必要があります。

デプロイされたサービスおよびシステムのセキュリティを維持するための包括的な管理機能を持つことも、同様に重要となります。Oracle Exadata Database MachineではILOMのセキュリティ管理機能が使用されます。

ILOMは、多数のOracle Exadata Database Machineコンポーネントに組み込まれたサービス・プロセッサです。次のようなバンド外管理アクティビティを実行するために使用されます。

  • データベースおよびストレージ・サーバーのセキュアな停電管理を実行するためのセキュアなアクセスの提供。アクセスには、SSLによって保護されたWebベースのアクセス、セキュア・シェル(SSH)を使用したコマンドライン・アクセス、TLSおよびSNMPv3を使用したプロトコル・アクセスが含まれます。

  • ロールベースのアクセス制御モデルを使用した職務要件の分離。各ユーザーは、実行できる機能が制限された特定のロールに割り当てられます。

  • すべてのログインおよび構成変更の監査レコードの提供。各監査ログ・エントリには、アクションを実行しているユーザーおよびタイムスタンプが表示されます。これにより、組織は未認可のアクティビティや変更を検出し、それらのアクションを特定のユーザーと関連付けることができます。

関連項目

親トピック: Oracle Exadata Database Machineのセキュリティ機能

2.10 セキュアな環境に関する考慮事項

Oracle Exadata Database Machineには、組織の特定のポリシーと要件を満たすように調整できる、数多くの階層化されたセキュリティ制御が含まれています。

組織はこれらの機能を最大限に活用する方法を評価し、これらの機能を既存のITセキュリティ・アーキテクチャに統合する必要があります。IT管理の効果を高めるには、リスク管理および管理上の措置を確実に施行するための人材、プロセスおよび技術を検討する必要があります。措置およびポリシーは、Oracle Exadata Database Machineの計画、インストールおよびデプロイメントの各段階で設計し、レビューする必要があります。

Oracle Exadata Database Machineに統合されている機能の多くはデフォルトでセキュアなデプロイメントを実現するために構成されていますが、組織には独自のセキュリティ構成標準があります。Oracle Exadata Database Machineコンポーネントに対するセキュリティ設定変更をテストする前に、Oracleセキュリティ情報を再確認することが重要です。特に、既存の標準を改善できる場所、およびサポート問題によって特定のコンポーネントに加えることができる変更が制限される可能性がある場所を特定することが重要です。

ノート:

攻撃面を最小化するために、Oracle Exadata Storage Serverでは、その管理インタフェース以外でのカスタマイズをサポートしていません。ストレージ・サーバーではカスタム・ユーザーは許可されません。サーバーは特定の目的で最適化および強化されています。

親トピック: Oracle Exadata Database Machineのセキュリティ機能

2.10.1 アイデンティティおよびアクセス管理に関する考慮事項

Oracle Exadata Database Machineコンポーネントおよびデプロイされたサービスを組織の既存のアイデンティティおよびアクセス管理アーキテクチャに統合する際は、統合されたアプローチを使用する必要があります。

Oracle Databaseでは、既存のアイデンティティおよびアクセス管理デプロイメントとの統合を可能にする、数多くのオープン・プロトコルおよび標準プロトコルをサポートしています。アプリケーションの可用性を確保するために、統合されたアイデンティティおよびアクセス管理システムを使用できる必要があり、使用できない場合、Oracle Exadata Database Machineの可用性が損なわれる可能性があります。

Oracle Exadata Database Machineが到着する前に、次のセキュリティ上の考慮事項について検討してください。これらの考慮事項は、Oracle Exadata Database Machineに関するOracleベスト・プラクティスに基づいています。

  • rootgridoracleなどの共通のオペレーティング・システム・アカウントに直接ログインする機能は、無効にする必要があります。各管理者に対して個別のユーザー・アカウントを作成する必要があります。個別のアカウントでログインした後、管理者は必要に応じてsudoを使用して特権コマンドを実行できます。

  • Oracle Exadata Database Machine内の可視性を高めるための、ホストベースの侵入検知および侵入防止システムの使用。Oracle Databaseのファイングレイン監査機能を使用することによって、ホストベースのシステムが不適切なアクションおよび未認可のアクティビティを検出できる可能性が高まります。

  • 相関、分析およびレポートの向上に向けてセキュリティ関連情報を集約するための一元化された監査およびログ・リポジトリの使用。Oracle Exadata Storage Serverは、CELL属性syslogConfによってこれをサポートします。データベース・サーバーは、通常のシステム構成方法を使用して一元化されたロギングをサポートします。

  • 透過的データ暗号化(TDE)Oracle Recovery Manager (RMAN)暗号化など、バックアップのための暗号化機能の使用。

データおよびシステムのセキュリティは、ユーザー・アクセスとパスワードのセキュリティによって低下します。ユーザー・セキュリティを最大化するために、次のガイドラインをお薦めします。

  • Oracle Grid InfrastructureOracle Databaseソフトウェアのインストールに個別のソフトウェア所有者アカウントを作成します。これらのアカウントは、Oracle Exadata Database Machineのデプロイ時に使用する必要があります。DBを有効範囲にしたセキュリティを実装するには、Oracle Grid InfrastructureOracle Databaseソフトウェアのインストール用に個別のソフトウェア所有者が必要です。

  • 最小要件を超える複雑さのパスワードを強制するユーザー・パスワード・ポリシーを実装します。
  • パスワード・エージングとアカウントのロックを実装します。Oracle Exadata System Softwareリリース19.1.0以降では、DBSERVERおよびCELL属性を使用して、次のアカウント・セキュリティ機能を構成できます。
    • ユーザーのパスワードは、指定した日数後に期限切れになります。ユーザー・パスワードのデフォルトの有効期限は0です。0の場合、パスワードは期限切れになりません。

    • パスワードが期限切れになる前の指定した日数の間、ユーザーがログインするときに警告メッセージが表示されます。ユーザー・アカウントのパスワード期限切れ警告時間は、デフォルトで7日間です。

    • パスワードの有効期限が切れてから、指定した日数の間、ユーザーがログインするとパスワードの変更を求められます。サーバーのremotePwdChangeAllowed属性で、パスワードの変更にサービス・リクエストが不要と指定している場合、ユーザーはすぐにパスワードを変更できます。そうでない場合、パスワードを変更するにはユーザーがサーバー管理者に連絡する必要があります。

    • パスワードの有効期限が切れると、ユーザー・アカウントは指定された日数の間ロックされます。ユーザー・アカウントのロック時間は、デフォルトで7日間です。アカウントがロックされた後でアカウントのロックを解除するには、サーバー管理者への連絡が必要になります。

親トピック: セキュアな環境に関する考慮事項

2.10.2 ネットワーク・セキュリティに関する考慮事項

Exadata Database Machineが到着する前に、次のネットワーク・セキュリティ上の考慮事項について検討してください。

次の考慮事項は、Exadata Database Machineに関するOracleベスト・プラクティスに基づいています。

  • Exadata Database Machineとの間のネットワーク・トラフィックのフローを監視するための、データベース・サーバー上での侵入防止システムの使用。このようなシステムを使用すると、疑わしい通信、潜在的な攻撃パターンおよび未認可アクセスの試みを特定できます。

  • Exadata Database Machineとの間での情報のフローを保護するための、アプリケーション・レイヤー・ファイアウォールおよびネットワーク・レイヤー・ファイアウォールの使用。ネットワーク・ポートのフィルタリングにより、システムおよびサービスへの未認可アクセスを防止する第1の防御が提供されます。

    Ethernet仮想ローカル・エリア・ネットワーク(VLAN)を使用したネットワークレベルのセグメンテーションと、インバウンドおよびアウトバウンドのネットワーク・ポリシーをホスト・レベルで強制するホストベースのファイアウォール。セグメンテーションを使用すると、Exadata Database Machineのコンポーネント間通信のファイングレイン制御が可能になります。Oracle Exadata Storage Serverには構成済のソフトウェア・ファイアウォールがデフォルトで含まれます。ソフトウェア・ファイアウォールを使用してデータベース・サーバーを構成できます。

  • Oracle Data Guardスタンバイ・データベースへのトラフィックを暗号化するためのOracle Advanced Securityなどの暗号化機能の使用。

データおよびシステムのセキュリティは、脆弱なネットワーク・セキュリティによって低下します。Ethernetネットワーク・セキュリティを最大化するために、次のガイドラインをお薦めします。

  • 管理サービスと運用サービスを現在のポリシーと一致する暗号化プロトコルおよびキー長を使用するように構成します。Exadata Database Machineによって提供される暗号化サービスは、ハードウェア・アクセラレーションを利用して、パフォーマンスに影響を与えずにセキュリティを向上させることができます。

  • Exadata Database Machineのスイッチを管理し、ネットワーク上のデータ・トラフィックから分離します。この分離は、バンド外とも呼ばれます。

  • 仮想ローカルエリアネットワーク(VLAN)を使用することによって、機密性のあるクラスタをネットワークのその他の部分から切り離します。これにより、それらのクライアントやサーバーに格納された情報にアクセスされる可能性が少なくなります。

  • 静的VLAN構成を使用します。

  • スイッチの未使用のポートは無効にし、未使用のVLAN番号を割り当てます。

  • トランクポートには、一意のネイティブVLAN番号を割り当てます。

  • VLANでのトランク経由のトランスポートは、どうしても必要な場合のみにします。

  • VLAN Trunking Protocol (VTP)は、可能な場合は無効化します。無効化できない場合は、VTPに対して管理ドメイン、パスワードおよびプルーニングを設定します。さらに、VTPを透過モードに設定します。

  • TCPスモール・サーバーやHTTPなど、不要なネットワーク・サービスは無効にします。必要なネットワーク・サービスのみを有効にして、セキュアに構成します。

  • 提供されるポート・セキュリティ機能のレベルはネットワーク・スイッチによって異なります。これらのポート・セキュリティ機能がある場合は、使用してください。

  • 接続された1つ以上のデバイスのメディア・アクセス制御(MAC)アドレスをスイッチの物理ポートに固定します。スイッチのポートを特定のMACアドレスに固定すると、スーパーユーザーは不正アクセス・ポイントを利用するネットワークへのバックドアを作成できません。

  • 指定したMACアドレスからのスイッチへの接続を無効にします。

  • スイッチのポートごとに現在の接続に基づいてセキュリティを設定できるように、各ポートの直接接続を使用します。

関連項目

親トピック: セキュアな環境に関する考慮事項

2.11 デフォルトのセキュリティ設定の理解

Oracle Exadata System Softwareは、多数のデフォルトのセキュリティ設定を使用してインストールされます。

可能かつ現実的な場合は、常に、セキュアなデフォルト設定を選択して構成します。Oracle Exadata Database Machineでは、次のデフォルト設定が使用されます。

  • 攻撃面を縮小するために、最小限のソフトウェアがインストールされます。

  • Oracle Databaseのセキュアな設定が、Oracleベスト・プラクティスを使用して開発および実装されています。

  • パスワード・ポリシーによって、最小限のパスワードの複雑度が強制されます。

  • ログイン試行が失敗すると、設定された回数試行が失敗した後、ロックアウトが発生します。

  • オペレーティング・システムのすべてのデフォルトのシステム・アカウントはロックされ、ログインが禁止されます。

  • suコマンドの使用が制限されています。

  • ブート・ローダーのインストールがパスワードで保護されています。

  • インターネット・サービス・デーモン(inetd/xinetd)を含むすべての不要なシステム・サービスが無効化されています。

  • ストレージ・セルにソフトウェア・ファイアウォールが構成されています。

  • 主要なセキュリティ関連構成ファイルおよび実行可能ファイルに対するファイル権限が制限されています。

  • SSHリスニング・ポートが管理ネットワークおよびプライベート・ネットワークに制限されています。

  • SSHがv2プロトコルに制限されています。

  • セキュアでないSSH認証メカニズムが無効化されています。

  • 特定の暗号化暗号が構成されています。

  • 不要なプロトコルおよびモジュールがオペレーティング・システム・カーネルから無効化されています。

親トピック: Oracle Exadata Database Machineのセキュリティ機能