1 Oracle Exadataのセキュリティの概要
Oracle Exadataは、Oracle Exadata Storage Serverと統合されたOracle Databaseの最適化されたデータベース・パフォーマンスを組み合せる、エンジニアド・システムです。
これらのコア・コンポーネントは、低レイテンシおよび高スループットのネットワーク接続を可能にする冗長RDMAネットワーク・ファブリックを介して接続されます。次の3つのネットワークがあります。
- プライベート・ネットワーク - 1つ以上の物理ラックのデータベース・サーバーとストレージ・サーバーの間の通信にRDMAネットワーク・ファブリックを使用します。
- クライアント・ネットワーク - クライアント・アプリケーションからOracle Exadataで実行されているサービスへの通信に使用されます。
- 管理ネットワーク - データベース・サーバー、ストレージ・サーバー、PDU、スイッチなど、Oracle Exadataのコンポーネントのハードウェアを管理するために使用されます。
このフレームワーク内には、すべてのソフトウェアとハードウェアで従う必要がある基本的なセキュリティの原則があります。原則は次のとおりです。
- 認証: 認証は、通常、ユーザー名とパスワード、共有キーなどの機密情報を使用して行われるユーザーの識別方法です。すべてのコンポーネントは、認証を使用してユーザーの本人確認を行います。デフォルトでは、ローカル・ユーザー名とパスワードが認証に使用されます。共有キー・ベースの認証も可能です。
- 認可: 認可によって、管理者は、ユーザーが実行または使用できるタスクや権限を制御できます。従業員は、提供されたタスクおよび権限にのみアクセスできます。Oracle Exadataのシステム管理者は、権限を使用してリソースを構成し、コマンド、ディスク・スペース、デバイスおよびアプリケーションに対するユーザー・アクセスを制御できます。
- アカウンティングおよび監査: アカウンティングおよび監査では、システムにおけるユーザーのアクティビティのレコードを管理します。管理者は、Oracle Exadataのソフトウェアおよびハードウェア機能を使用して、ログイン操作を監視したりハードウェア・インベントリを管理できます。
- ユーザーのログオンはシステム・ログで監視されます。システム管理者およびサービス・アカウントは、問題やデータ損失の原因となった可能性がある、誤って使用されたコマンドにアクセスできます。アクセスおよびコマンドは、システム・ログを介して注意深く監視する必要があります。
- ハードウェア資産はシリアル番号で追跡されます。Oracleの部品番号は、すべてのカード、モジュールおよびマザーボードに電子的に記録されており、インベントリの管理に使用できます。
基本的なセキュリティの原則に加えて、Oracle Exadataは、生存性、徹底した防御、最小限の権限付与およびアカウンタビリティに対応しています。Oracle Exadataには、緊急性の高いセキュリティ要件および問題への対処に役立つ、適切に統合された一連のセキュリティ機能が備えられています。
- 管理ネットワークは境界レベルのセキュリティで保護し、信頼できる管理者のみがこのネットワークにアクセスできるようにすることが必要です
- データ・ネットワークでは、複数のテナントまたはセキュアな情報がこのネットワーク上で送信されるときに、暗号化を使用してデータ・フローを保護する必要があります
- クライアント・ネットワークにはデータベースのフロントエンドとして最も強力なセキュリティ要件が求められ、このネットワーク接続へのアクセスを制限することで、外部脅威を軽減できます。
- 重要なワークロードの生存性
Oracle Exadata Database Machineを使用して、内部ユーザーまたは外部パーティによる、偶発的なまたは悪意のあるアクションによって発生する損害を防止したり最小化することができます。 - 操作環境を保護するための徹底した防御
Oracle Exadata Database Machineでは、組織がワークロードおよびデータのセキュアな操作環境を作成できるように、複数の、独立した、相互に補強するセキュリティ制御が採用されています。 - サービスおよびユーザーに対する最小限の権限付与
Oracle Exadata Database Machineは、最小限の権限のみを付与するという原則を促進します。 - イベントおよびアクションのアカウンタビリティ
インシデントが発生した場合、システムはインシデントを検出およびレポートできる必要があります。 - Oracle Exadata Storage Serverのオペレーティング・システムのセキュリティの理解
1.1 重要なワークロードの生存性
Oracle Exadata Database Machineを使用して、内部ユーザーまたは外部パーティによる、偶発的なまたは悪意のあるアクションによって発生する損害を防止したり最小化することができます。
Oracle Maximum Availabilityアーキテクチャのベスト・プラクティスの一環として、生存性が次のことによって向上します。
-
使用されるコンポーネントが、適切に連動してセキュアなデプロイメント・アーキテクチャをサポートするように、設計、エンジニアリングおよびテストされるようにします。Oracle Exadata Database Machineは、セキュアな分離、アクセス制御、暗号化サービス、監視と監査、サービス品質およびセキュアな管理をサポートします。
-
構成製品のデフォルトの攻撃面を縮小し、マシンの全体的な公開の最小化に役立てます。組織は、組織のポリシーとニーズに基づいてOracle Exadata Database Machineのセキュリティ設定をカスタマイズできます。
-
オープンな検査されたプロトコルによって補完され、強力な認証、アクセス制御、機密保護、整合性および可用性という従来のセキュリティ目標をサポートできるAPIを使用し、操作と管理のインタフェースを含めてマシンを保護します。
-
ソフトウェアおよびハードウェアに、障害が発生した場合にもサービスを利用可能に保つ機能が含まれていることを確認します。これらの機能は、攻撃者がシステムの1つ以上の個々のコンポーネントを動作不能にすることを試みた場合に役立ちます。
親トピック: Oracle Exadataのセキュリティの概要
1.2 操作環境を保護するための徹底した防御
Oracle Exadata Database Machineでは、組織がワークロードおよびデータのセキュアな操作環境を作成できるように、複数の、独立した、相互に補強するセキュリティ制御が採用されています。
Oracle Exadata Database Machineは、徹底した防御の原則を次のようにサポートします。
-
移動中、使用中および保存済の情報を保護するために、保護の強力な補完を提供します。セキュリティ制御は、サーバー、ストレージ、ネットワーク、データベースおよびアプリケーションの各レイヤーで使用できます。各レイヤー固有のセキュリティ制御を他のレイヤーのセキュリティ制御と統合して、強力な階層化されたセキュリティ・アーキテクチャを作成できます。
-
適切に定義されたオープン・スタンダード、プロトコルおよびインタフェースの使用をサポートします。Oracle Exadata Database Machineは、組織の既存のセキュリティ・ポリシー、アーキテクチャ、業務および標準に統合できます。アプリケーションおよびデバイスは単独で存在しないため、統合は非常に重要です。ITアーキテクチャのセキュリティは、最も脆弱なコンポーネントと同等の強度になります。
-
Oracle Exadata System Softwareのそれぞれの新しいリリースがリリースされる前に、優先度の高いセキュリティ・アイテムをすべて実装するために、業界最先端のセキュリティ・アナライザを使用して、複数のセキュリティ・スキャンを実行します。
親トピック: Oracle Exadataのセキュリティの概要
1.3 サービスおよびユーザーに対する最小限の権限付与
Oracle Exadata Database Machineは、最小限の権限のみを付与するという原則を促進します。
アプリケーション、サービスおよびユーザーがタスクを実行するために必要な機能にアクセスできるようにすることは、最小限の権限のみを付与するという原則の単なる1つの側面です。不要な機能、サービスおよびインタフェースへのアクセスを制限することが、同様に重要です。Oracle Exadata Database Machineは、最小限の権限のみを付与するという原則を次のように促進します。
-
個々のサーバー、ストレージ、オペレーティング・システム、データベースおよび他のコンポーネントへのアクセスが、各ユーザーおよび管理者のロールに基づいて認められることを確認します。ロールベースの多元的なアクセス制御モデルを粒度の細かい権限とともに使用することによって、必要なものにのみアクセスできるように制限できます。
-
情報、基礎となるリソース、ネットワーク通信へのアプリケーションのアクセス、およびローカルまたはリモート・サービス・アクセスが、必要に応じて制限されるように、アプリケーションを抑制します。
偶然によるか悪意のある攻撃によるかに関係なく、アプリケーションは誤動作することがあり、最小限の権限付与を強制しない場合、それらのアプリケーションによって、意図された使用方法を超える損害が発生する可能性があります。
親トピック: Oracle Exadataのセキュリティの概要
1.4 イベントおよびアクションのアカウンタビリティ
インシデントが発生した場合、システムはインシデントを検出およびレポートできる必要があります。
同様に、イベントを防止できない場合は、適切に対応できるように、そのイベントの発生を発見できるようにする必要があります。Oracle Exadata Database Machineは、アカウンタビリティの原則を次のようにサポートします。
-
Oracle Exadata Database Machineで使用される各コンポーネントで、ログインおよびログアウト・イベント、管理アクションおよび各コンポーネントに固有の他のイベントの記録を含め、アクティビティの監査および監視がサポートされるようにします。
-
Oracle Databaseの機能を活用してファイングレイン監査構成をサポートします。これにより、組織はその基準と目標に応じて監査構成を調整できます。管理者は、不要な監査イベントの量を最小化しながら、重要な情報が確実に取得されるようにできます。
親トピック: Oracle Exadataのセキュリティの概要
1.5 Oracle Exadata Storage Serverのオペレーティング・システムのセキュリティの理解
Oracle Exadata Storage Server上のオペレーティング・システムのセキュリティは次のとおりです。
-
セキュリティ・ポリシーの強制
-
セルへのネットワーク・アクセス・パスの保護
-
オペレーティング・システム・レベルのアクティビティの監視
Oracle Exadata System Softwareには、オペレーティング・システムやOracle Exadata Storage Serverへのネットワーク・アクセスを安全にするための機能が含まれています。
親トピック: Oracle Exadataのセキュリティの概要