2 Oracle Database Applianceのセキュリティ機能
Oracle Database Applianceは、ハードウェアおよびソフトウェア強化プロセスを使用してシステムを保護し、レイヤー化されたセキュリティ戦略のデプロイを支援します。
内容は次のとおりです。
- Oracle Database Applianceセキュリティ機能について
Oracle Database Applianceのコア・コンポーネントには、強化構成とセキュリティ機能があります。 - Oracle Database Applianceおよび共通脆弱性(CVE)
Oracle Database Applianceソフトウェアの各リリースには、必要なOracle Linux RPMのみ、つまり、潜在的な脆弱性を最小限に抑えるために、使用可能なOracle Linux RPM全体の約20%が含まれています。 - Oracle Database Applianceセキュリティのマルチユーザー・アクセスについて
マルチユーザー・アクセスは、Oracle Database Applianceシステムのセキュリティを強化し、ロールを分離するための効率的なメカニズムを提供します。 - システムの起動におけるバイナリの制限
Oracle Database Appliance X10では、セキュア・ブートがデフォルトで有効になっています。 - 分離ポリシーの使用
分離ポリシーは、よりセキュアなマルチテナント・サービスを提供します。 - データへのアクセスの制御
データ、ワークロード、インフラストラクチャへのアクセスを制御することで、セキュリティを高めます。 - 暗号化サービスの使用
暗号化サービスは、保存済、送信中および使用中の情報を保護するのに役立ちます。 - Oracle Database Applianceでのデータベースの監視および監査
Oracle Database Applianceには、Oracle Database Fine Grained Auditing (FGA)、Oracle Audit VaultおよびOracle Database Firewall Remote Monitorがあり、これらにより包括的な監視および監査機能が提供されます。 - Oracle Database ApplianceでのFIPS 140-2コンプライアンスについて
Oracle Database ApplianceでのFIPS 140-2の実装方法を理解します。 - Oracle Database ApplianceでのSTIGの有効化について
Oracle Database Applianceのセキュリティ技術導入ガイドライン(STIG)について理解します。 - Oracle Database ApplianceでのCISベンチマークの有効化について
Oracle Database Applianceに対するCenter for Internet Security (CIS)ベンチマークについて理解します。 - セキュアな管理のためのOracle ILOMの使用
Oracle Integrated Lights-Out Management (Oracle ILOM )では、帯域外の全域管理が可能となり、Oracle Database Applianceのリモート管理機能が提供されています。
Oracle Database Applianceセキュリティ機能について
Oracle Database Applianceのコア・コンポーネントには、強化構成とセキュリティ機能があります。
組織は、レイヤー化されたセキュリティ戦略の一環として、Oracle Database Applianceのセキュリティ機能を使用できます。
強化構成
Oracle Database Applianceは、次のような強化手順をお薦めします。
-
インストールするパッケージを最小限に整理して、不要なパッケージをサーバーにインストールしないでください。
-
Oracle Database Applianceノードでは、必要なサービスのみを有効にします。
-
オペレーティング・システムのユーザーを監査します。
-
chrony、SSHおよび他のサービス用に構成を保護します。
セキュリティ機能
Oracle Database Applianceアーキテクチャは、コア・コンポーネントのためのセキュリティ機能を提供します。この機能は、次のカテゴリにグループ化されます。
-
分離ポリシー
-
データへのアクセスの制御
-
暗号化サービス
-
監視および監査
-
Oracle Integrated Lights Out Manager (ILOM)
Oracle Database Applianceおよび共通脆弱性(CVE)
Oracle Database Applianceソフトウェアの各リリースには、必要なOracle Linux RPMのみ、つまり、潜在的な脆弱性を最小限に抑えるために、使用可能なOracle Linux RPM全体の約20%が含まれています。
これらのRPMが誤って上書きされないように、Oracle Database Applianceでは、バージョン・ロックによってもRPMが保護されています。特定のCVEがOracle Database Applianceに影響するかどうか、またはCVEが修正される可能性がある時期については、Oracle Supportに連絡してください。
Oracle Database Applianceセキュリティのマルチユーザー・アクセスについて
マルチユーザー・アクセスは、Oracle Database Applianceシステムのセキュリティを強化し、ロールを分離するための効率的なメカニズムを提供します。
マルチユーザー・アクセスが有効でない場合は、単一のOracle Database Applianceアカウント(ユーザー名とパスワード)を使用して、Applianceへの接続、ODACLIコマンドの実行またはブラウザ・ユーザー・インタフェース(BUI)へのログインを行います。root
ユーザーはOracle Database Applianceですべての管理を実行します。マルチユーザー・アクセスが有効である場合は、データベース管理者がデータベースを管理するための個別のアクセスを提供するオプションがあります。また、ブラウザ・ユーザー・インタフェース内のリソースの表示が、ユーザー・ロールごとにフィルタされます。rootアクセスはOracle Database Applianceのシステム管理者に制限されています。システム管理者はrootアクセスが必要になるシステム・ログにアクセスしたり、問題をデバッグできます。
マルチユーザー・アクセスを有効にする場合は、異なるロールを持つ複数のユーザーを作成して、他のユーザーが作成したリソースへのアクセスを制限したり、ODACLIコマンドまたはBUIを使用して実行できる操作のセットを制限できます。設定したユーザー資格情報と同じものを使用して、BUIにログインしたり、ODACLIコマンドを実行できます。また、BUIはリソースのセットへのアクセスに基づいて、リソースと情報を表示します。個別の「Multi-User Access Management」タブは、システム内のユーザーとリソースを管理するodaadmin
ユーザーのみが使用できます。
関連項目:
ハードウェア・モデルについては、Oracle Database Applianceデプロイメントおよびユーザーズ・ガイドを参照してください。システムの起動におけるバイナリの制限
Oracle Database Appliance X10では、セキュア・ブートがデフォルトで有効になっています。
- セキュア・ブートの理解
セキュア・ブートは、システムをブートできるバイナリを制限するために使用する方法です。 - セキュア・ブートの有効化および無効化
ブート・プロセス中に「Setup」を開始することで、セキュア・ブート設定を変更できます。
セキュア・ブートの理解
セキュア・ブートは、システムをブートできるバイナリを制限するために使用する方法です。
セキュア・ブートを使用すると、システムUEFIファームウェアでは、信頼できるエンティティの暗号化署名を使用するブート・ローダーを使用できます。UEFIファームウェアで実行されるプロセスはすべて、システムが信頼できると認識するキーで署名されている必要があります。サーバーを再起動するたびに、ブート・シーケンス内のすべてのコンポーネントが検証されます。これにより、マルウェアがブート・シーケンスに埋込みコードを隠すことを防止できます。
UEFI NVRAM
変数に格納されます。
- UEFI Secure Boot Database Key (DB): 既知のキーを含む署名データベースです。DBに対して確認できるバイナリのみが、BIOSによって実行されます。
- Forbidden Signature Database Key (DBX): ブロックされているキーです。DBX内のエントリと一致するキーを持つオブジェクトをロードしようとすると、拒否されます。これは、正しくないキーを示すリストです。
- Machine Owner Key (MOK): インストールするカーネル・モジュールのためにユーザーが追加したキーです。
- Platform Key (PK): ハードウェア・ベンダーによってインストールされたキーです。このキーは、ベンダーによってインストールされ、Oracle ILOMファームウェア内にあります。このキーには、ホストからはアクセスできません。
- Key Exchange Key (KEK): 署名データベースの更新に必要なキーです。UEFI構成メニューによるキーの追加、キーの変更またはセキュア・ブートの有効化および無効化には、ユーザーがシステム・コンソールに物理的にアクセスできる必要があります。Linuxを実行するほとんどのUEFI対応サーバーでは、デフォルトのブート・ローダーはgrub2です。セキュア・ブートが有効になっている場合は、さらにshimブート・ローダーが必要です。セキュア・ブート・モードで起動している場合は、最初にshimloaderが呼び出されます。それは、信頼できる署名がこれに含まれているためです。shimloaderは、次にgrub2をロードします。これはその後、オペレーティング・システム・カーネル(これも署名されている)をロードします。
関連項目:
『Oracle Linux UEFI Secure Bootの操作』(https://docs.oracle.com/en/operating-systems/oracle-linux/secure-boot/#Oracle-Linux)のセキュア・ブートの概要セキュア・ブートの可用性の制限
現在、セキュア・ブートは、ベア・メタル・データベース・サーバーおよびKVMホスト・システムにおけるOracle Database Appliance X10ハードウェア・モデル上のOracle Database Applianceリリース19.20.0.1で使用できます。セキュア・ブートは、DBシステムおよびKVMゲスト・マシンではサポートされていません。
親トピック: システムの起動におけるバイナリの制限
セキュア・ブートの有効化と無効化
ブート・プロセス中に「Setup」を開始することで、セキュア・ブート設定を変更できます。
関連項目:
『Oracle Linux UEFI Secure Bootの操作』(https://docs.oracle.com/en/operating-systems/oracle-linux/secure-boot/#Oracle-Linux)のセキュア・ブートの概要セキュア・ブートの無効化
- ブート中に、[F2]を押して設定を実行します。
- 「Security」を選択してから、「Secure Boot」を選択します。
- 「Attempt Secure Boot」を選択します。
- 「Disabled」を選択します。
- [F10]を押して保存し、終了します。
セキュア・ブートの有効化
- ブート中に、[F2]を押して設定を実行します。
- 「Security」を選択してから、「Secure Boot」を選択します。
- 「Attempt Secure Boot」を選択します。
- 「Enabled」を選択します。
- [F10]を押して保存し、終了します。
セキュア・ブート・オプションのステータスの確認
# mokutil --sb-state
SecureBoot enabled
セキュア・ブートで使用するキーと証明書の管理
セキュア・ブートで使用されるキーおよび証明書の管理の詳細は、『Oracle Linux UEFI Secure Bootの操作』(https://docs.oracle.com/en/operating-systems/oracle-linux/secure-boot/#Oracle-Linux)のセキュア・ブートで使用するためのカーネル・イメージおよびカーネル・モジュールの署名のトピックを参照してください。
親トピック: システムの起動におけるバイナリの制限
分離ポリシーの使用
分離ポリシーは、マルチテナント・サービスをよりセキュアにします。
組織がITインフラストラクチャの統合、共有サービス・アーキテクチャの実装およびセキュアなマルチテナント・サービスの実施を求める場合は、サービス、ユーザー、データ、通信およびストレージを分離する必要があります。Oracle Database Applianceは、ニーズに基づいて分離ポリシーと分離戦略を実装できる柔軟性を組織に提供します。
内容は次のとおりです。
- ネットワーク・トラフィックの分離
Oracle Database Applianceは、物理ネットワーク・レベルで、クライアント・アクセスをデバイス管理とデバイス間通信から分離します。 - データベースの分離
Oracle Database Applianceでは、すべてのOracle Databaseセキュリティ・オプションを利用できます。
ネットワーク・トラフィックの分離
Oracle Database Applianceは、物理ネットワーク・レベルで、クライアント・アクセスをデバイス管理とデバイス間通信から分離します。
Oracle Database Applianceは、クライアントと管理ネットワークのトラフィックを別々のネットワークに分離します。クライアントは冗長な10Gbpsイーサネット・ネットワークを介してサービスにアクセスするので、システム上で実行されるサービスへの信頼性のある高速アクセスが確保されます。クラスタ管理アクセスは、物理的に分離された1Gbpsイーサネット・ネットワークを介して提供されます。物理的に分離されたネットワークを提供することにより、業務用と管理用のネットワーク・トラフィックを確実に分離します。
組織は、仮想LAN (VLAN)を構成することで、クライアント・アクセスのイーサネット・ネットワーク上のトラフィックをさらに分離することも選択できます。VLANは、組織の要件に基づいてネットワーク・トラフィックを分離します。VLAN上では暗号化プロトコルを使用して、通信の機密性と整合性を保証することをお薦めします。
親トピック: 分離ポリシーの使用
データベースの分離
Oracle Database Applianceでは、すべてのOracle Databaseセキュリティ・オプションを利用できます。
組織がより細分化したデータベース分離を必要とする場合は、Oracle Database Vault、Oracle Virtual Private Database、Oracle Label Securityなどのソフトウェアを使用できます。物理的に分離する最良の方法の1つは、1つの環境を丸ごと単一のアプリケーションまたはデータベース専用にすることです。ただし、サーバーを1つのアプリケーションまたはデータベース専用にすると、コストがかかります。よりコスト効率の高い分離戦略では、同じオペレーティング・システム・イメージ内で複数のデータベースを使用します。ユーザー、グループおよびリソース制御の専用の資格証明など、データベースおよびオペレーティング・システム・レベルの制御を組み合せることで、複数のデータベースを分離できます。
Oracle Database Vaultには、単一データベース内で論理レルムを使用して分離させるための必須のアクセス制御モデルが含まれています。論理レルムは、アプリケーション・データへの一時的アクセスから管理アカウントをブロックすることで、既存のアプリケーション表の周囲に保護境界を形成します。Oracle Database Vaultのコマンド・ルールは、データベースおよびアプリケーション・データにだれが、いつ、どこで、どのようにアクセスするかを制限する、ポリシーベースの制御を可能にします。これによって、アプリケーション・データへの信頼できるパスが作成されます。Oracle Database Vaultは、時間、ソースIPアドレスおよびその他の条件に基づいてアクセスを制限するためにも採用できます。
Oracle Virtual Private Databaseは、データベース表およびビューへのファイングレイン・アクセスを強制するポリシーの作成を可能にします。Oracle Virtual Private Databaseでは、ポリシーはデータベース・オブジェクトに関連付けられて、データベースへのアクセス方法によらず自動的に適用されるため、セキュリティの移植性が実現されます。Oracle Virtual Private Databaseは、データベース内の細分化した分離に使用できます。
Oracle Label Securityはデータを分類し、分類に基づいてそのデータへのアクセスを仲介します。組織は、ニーズに最適な分類戦略(階層、非結合など)を定義できます。この機能によって、様々な分類レベルで保存された情報を、単一の表領域内で行レベルで分離できるようになります。
親トピック: 分離ポリシーの使用
データへのアクセスの制御
データ、ワークロード、インフラストラクチャへのアクセスを制御することで、セキュリティを高めます。
アプリケーション・データ、ワークロードおよびその実行の基礎となるインフラストラクチャを保護するため、Oracle Database Applianceは、包括的かつ柔軟性のあるアクセス制御機能を、ユーザーと管理者の両方に提供します。この制御機能には、ネットワーク・アクセスとデータベース・アクセスが含まれます。
内容は次のとおりです。
- ネットワーク・アクセスの制御
ネットワーク・アクセスを構成して、ファイングレイン制御をします。 - データベース・アクセスの制御
ロールが割り当てられたオペレーティング・システム・ユーザーおよびグループ・システム権限を使用するデータベース・アーキテクチャの各レイヤーにおいて職務を分離させ、共謀行為や不注意によるエラーのリスクを低減するのに役立ちます。 - SUDOを使用した権限とセキュリティの管理について
SUDOポリシーは、オペレーティング・システムのスーパーユーザー(root)権限にシステム監査とアクセス制御を提供するのに役立ちます。これらの例を参考に、SUDOポリシーを実装します。 - DCSスタックのSUDOセキュリティ・ポリシーの構成
DCSスタック(odacli)を使用するOracle Database ApplianceモデルにSUDOポリシーを実装するには、次の例を参考に使用してください。
ネットワーク・アクセスの制御
ネットワーク・アクセスを構成して、ファイングレイン制御をします。
ファイングレイン・アクセス制御ポリシーは、単純なネットワークレベルの分離を超えて、デバイス・レベルで導入できます。Oracle Database Applianceのすべてのコンポーネントには、ネットワーク分離などのアーキテクチャを利用した方法で、またはパケット・フィルタリングとアクセス制御リストを使用してコンポーネントおよびサービスへの入出力とそれらの間の通信を制御することで、サービスへのネットワーク・アクセスを制限する機能が組み込まれています。
親トピック: データへのアクセスの制御
データベース・アクセスの制御
ロールが割り当てられたオペレーティング・システム・ユーザーおよびグループ・システム権限を使用するデータベース・アーキテクチャの各レイヤーにおいて職務を分離させ、共謀行為や不注意によるエラーのリスクを低減するのに役立ちます。
たとえば、別々のオペレーティング・システム・ユーザー・アカウントを使用し、別々の物理グループを指名してOracle Database権限およびOracle Automatic Storage Management (Oracle ASM)システム権限を付与し、データベース管理者とストレージ管理者のロールを確実に分離します。Oracle Database内では、ユーザーに特定の権限およびロールを割り当てることで、そのユーザーがアクセスを認可されたデータ・オブジェクトのみにアクセスすることを保証できます。明示的に許可された場合を除き、データは共有できないようにします。
Oracle Databaseで利用できるパスワードベースの認証に加えて、Oracle Advanced Securityを使用すると、公開キーの資格証明、RADIUSまたはKerberosインフラストラクチャを使用して強力な認証を実装できます。Oracle Enterprise User Securityを使用すると、認証および認可のためにデータベースを既存のLDAPリポジトリに統合できます。これらの機能によって、データベースに接続するユーザーのIDをより強力に保証できます。
管理ユーザーおよび特権ユーザーのアクセスを管理し、アプリケーション・データにアクセスする方法、時間および場所を制御するために、Oracle Database Vaultを使用できます。Oracle Database Vaultは、盗難にあったログイン資格証明の不正使用、アプリケーション・バイパス、アプリケーションおよびデータの未許可の変更(アプリケーション・データのコピー作成を含む)に対する保護を提供します。Oracle Database Vaultは、ほとんどのアプリケーションと日常業務に対して透過的です。マルチファクタの認可ポリシーをサポートして、ビジネス処理を中断させることなく、ポリシーのセキュアな強制を可能にします。
Oracle Database Vaultは職務の分離を強制して、アカウント管理、セキュリティ管理、リソース管理およびその他の機能が、権限を付与されたユーザーにのみ許可されるようにします。
親トピック: データへのアクセスの制御
SUDOを使用した権限とセキュリティの管理について
SUDOポリシーは、システム監査とオペレーティング・システム上のスーパーユーザー(ルート)権限用のアクセス管理を行う上で役立ちます。これらの例を参考に、SUDOポリシーを実装します。
Oracle Appliance Managerコマンドライン・ユーティリティでは、ほとんどの管理アクションにroot
システム権限が必要です。root
としてログインしていない場合は、アプライアンスでほとんどのアクションを実行できません。たとえば、root
としてログインしていない場合は、ストレージの情報を確認できますが、ストレージを変更できません。
管理ユーザーにroot権限を付与するには、su
のかわりにSUDOを使用してください。SUDOを使用すると、システム管理者は、su
とは異なり、rootパスワードを必要とせずにrootとしてコマンドを実行する権限を特定のユーザー(またはユーザー・グループ)に付与できます。また、セキュリティおよびコンプライアンス・プロトコルの一環として、すべてのコマンドおよび引数がログに記録されます。
SUDOセキュリティ・ポリシーを構成するには、ファイル/etc/sudoers
を使用します。sudoers
ファイルの中でユーザー・グループやコマンド・セットを構成すると、SUDOコマンドを使用したサーバーの管理を簡素化して監査できます。
親トピック: データへのアクセスの制御
DCSスタックのSUDOセキュリティ・ポリシーの構成
DCSスタック(odacli)を使用するOracle Database ApplianceモデルにSUDOポリシーを実装するには、次の例を参考に使用してください。
注意:
ユーザーが任意の操作を実行できるようにSUDOを構成することは、そのユーザーにroot
権限を与えることに相当します。これがセキュリティのニーズに適しているかどうかを慎重に検討してください。
例2-1 SUDOの例1: ユーザーに対する、任意のODACLI操作の実行の許可
この例では、ユーザーが任意のODACLI操作を実行できるようにSUDOを構成する方法を示します。これを行うには、/etc/sudoers
ファイルのコマンドのセクションに数行追加します。
## The commands section may have other options added to it.
##
Cmnd_Alias ODACLI_CMDS=/opt/oracle/oak/bin/odacli *
jdoe ALL = ODACLI_CMDS
この例では、ユーザー名は jdoe
です。ファイル・パラメータ設定ALL= ODACLI_CMDS
は、コマンド別名ODACLI_CMDS
で定義されたすべてのodacli
コマンドの実行権限をユーザーjdoe
に付与します。構成後、1つのsudoers
ファイルを複数のホストにコピーできます。また、ホストごとに異なるルールを作成することもできます。
ノート:
データベース作成の前に、各サーバーのrootユーザーにSSHのユーザー等価性を設定する必要があります。ユーザーの等価性を設定せずサーバーごとにSSHを構成すると、データベースの作成中、各サーバーのrootパスワードを指定するよう求めるプロンプトが表示されます。
ユーザーのsudoer
ファイルを構成した後、ユーザーjdoeは、コマンド別名ODACLI_CMDS
で構成された一連のodacli
コマンドを実行できます。たとえば:
$ sudo odacli create database -db newdb
例2-2 SUDOの例2: ユーザーに対する、選択したODACLI操作のみの実行の許可
ユーザーが選択されたODACLI操作のみを実行できるようにSUDOを構成するには、/etc/sudoers
ファイルのコマンド・セクションに、次のように行を追加します。
## DCS commands for oracle user
Cmnd_Alias DCSCMDS = /opt/oracle/dcs/bin/odacli describe-appliance
oracle ALL= DCSCMDS
$ sudo /opt/oracle/dcs/bin/odacli describe-appliance
Appliance Information
----------------------------------------------------------------
ID: a977bb04-6cf0-4c07-8e0c-91a8c7e7ebb8
Platform:
Data Disk Count: 6
CPU Core Count: 20
Created: June 24, 2022 6:51:52 AM HDT
System Information
----------------------------------------------------------------
Name: odal001
Domain Name: example.com
Time Zone: America/Adak
DB Edition: EE
DNS Servers: 10.200.76.198 10.200.76.199 192.0.2.254
NTP Servers: 10.200.0.1 10.200.0.2
Disk Group Information
----------------------------------------------------------------
DG Name Redundancy Percentage
------------------------- ------------------------- ------------
Data Normal 90
Reco Normal 10
この例では、ユーザーjdoe2
がsudo odacli list-databases
コマンドを実行しようとしていますが、これはそのユーザーに対して構成したコマンド・セットの中にありません。SUDOにより、jdoe2
はそのコマンドを実行できません。
[jdoe2@servernode1 ~]$ sudo /opt/oracle/dcs/bin/odacli list-databases
Sorry, user jdoe2 is not allowed to execute '/opt/oracle/dcs/bin/odacli list-databases' as root on servernode1.
親トピック: データへのアクセスの制御
暗号化サービスの使用
暗号化サービスは、保存済、送信中および使用中の情報を保護するのに役立ちます。
暗号化および復号化から、デジタル・フィンガープリントおよび証明書検証まで、暗号化はIT組織で最も広く採用されているセキュリティ制御です。
Oracle Database Applianceは、可能な場合は常に、ハードウェア・プロセッサによって提供される暗号化エンジンを使用します。暗号化処理にハードウェアを使用することで、ソフトウェアで処理を実行する場合に比べてパフォーマンスが大幅に向上します。
ネットワーク暗号化サービスは、暗号によって保護されたプロトコルを使用して、通信の機密性と整合性を保護します。たとえば、セキュア・シェル(SSH)アクセスでは、システムおよびOracle Integrated Lights Out Manager (Oracle ILOM)へのセキュアな管理アクセスが提供されます。TLSは、アプリケーションと他のサービスとの間のセキュアな通信を可能にします。
Oracle Advanced Securityからデータベース暗号化サービスを使用できます。Oracle Advanced Securityは、透過的データ暗号化(TDE)機能を使用してデータベース内の情報を暗号化します。TDEはアプリケーション表領域の暗号化と、表内の個々の列の暗号化をサポートします。一時表領域に格納されたデータと、REDOログも暗号化されます。データベースがバックアップされるとき、格納先メディアでもデータは暗号化されたままです。これによって、物理的な格納場所に関係なく保存済データが保護されます。表領域レベルまたは列レベルでの、保存済データベース・コンテンツの機密性、データベース暗号化を必要とする組織は、Oracle Advanced Securityの利用を検討してください。
また、Oracle Advanced Securityは、ネイティブの暗号化またはTLSを使用してネットワーク上で送信中の情報を保護することで、Oracle Net ServicesおよびJDBCトラフィックを暗号化します。管理接続とアプリケーション接続の両方を保護して、送信中のデータを確実に保護できます。TLS実装では、X.509証明書を使用したサーバーのみの認証およびX.509を使用した相互(クライアント/サーバー)認証など、認証方法の標準セットがサポートされています。
Oracle Database Applianceでのデータベースの監視および監査
Oracle Database Applianceには、Oracle Database Fine Grained Auditing (FGA)、Oracle Audit VaultおよびOracle Database Firewall Remote Monitorがあり、これらにより包括的な監視および監査機能が提供されます。
コンプライアンス・レポートとインシデント対応のいずれについても、監視および監査は、IT環境の可視性を向上するために必要な重要な機能です。導入する監視および監査の程度は、一般的に、環境のリスクまたは重要性に基づいて決まります。Oracle Database Applianceは、サーバー、ネットワーク、データベースおよびストレージの各レイヤーで包括的な監視および監査の機能を提供し、その情報によって組織の監査およびコンプライアンスの要件をサポートできるように設計されています。
Oracle Database Fine Grained Auditing (FGA)は、監査オーバーヘッドを削減し、個別のテーブルや行のレベルで監査記録を作成するのに役立ちます。FGAによって、組織は、監査レコードが生成されるタイミングを選択的に決定するポリシーを設定できます。これは、組織が他のデータベース活動に集中し、監査アクティビティに関連するオーバーヘッドを削減するのに役立ちます。
Oracle Audit Vaultは、データベース監査設定を集中管理して、監査データのセキュアなリポジトリへの統合を自動化します。Oracle Audit Vaultには、特権ユーザーのアクティビティやデータベース構造への変更を含む、幅広いアクティビティを監視するための組込みのレポート機能があります。Oracle Audit Vaultによって生成されたレポートは、様々なアプリケーションおよび管理データベースのアクティビティへの可視性を実現し、アクションのアカウンタビリティをサポートする詳細情報を提供します。
Oracle Audit Vaultによって、不正なアクセスの試みまたはシステム権限の悪用を示している可能性のあるアクティビティのプロアクティブな検出とアラートが可能になります。アラートには、特権ユーザー・アカウントの作成、機密情報を含む表の変更など、システム定義とユーザー定義の両方のイベントおよび条件を含めることができます。
Oracle Database Firewallのリモート・モニターは、リアルタイムのデータベース・セキュリティ監視を提供できます。Oracle Database Firewallリモート・モニターはデータベース接続の問合せを実行して、アプリケーション・バイパス、認可されていないアクティビティ、SQLインジェクション、その他の脅威などの悪意のあるトラフィックを検出します。Oracle Database Firewallは、SQL構文ベースの精度の高いアプローチで、組織が不審なデータベース・アクティビティを迅速に検出できるように支援します。
Oracle Database ApplianceでのFIPS 140-2コンプライアンスについて
Oracle Database ApplianceでFIPS 140-2を実装する方法を理解します。
Oracle Database Applianceリリース19.11以降、ベア・メタルおよびKVMデータベース・システムで実行されているOracle Database Applianceで使用されるLinuxカーネルは、米国連邦情報処理規格140-2 (FIPS 140-2) レベル1に準拠しています。FIPS標準に従って、セキュア・シェル(SSH)が使用するアルゴリズムはFIPS標準で許可されているものに限定されています。FIPS 140-2は、新しくプロビジョニングされたシステムとパッチが適用されたシステムの両方でサポートされます。システムが更新されるとFIPSサポートが自動的に有効になります。ユーザーが介入する必要はありません。
Oracle Database ApplianceでのSTIGの有効化について
Oracle Database Applianceのセキュリティ技術導入ガイドライン(STIG)について理解します。
国防情報システム局(DISA)は、ソフトウェア、ハードウェアおよびシステム・コンポーネントのデプロイメントと管理にセキュリティ技術導入ガイドライン(STIG)を推奨しています。STIG標準の詳細は、https://public.cyber.mil/stigs/downloads/を参照してください。
STIGサポートは以前のOracle Database Applianceリリースでは使用可能でしたが、Oracle Database Applianceリリース19.20.0.1は現在STIGをサポートしていません。
Oracle Database ApplianceでのCISベンチマークの有効化について
Oracle Database Applianceに対するCenter for Internet Security (CIS)ベンチマークについて理解します。
CIS (Center for Internet Security)ベンチマークは、ターゲット・システムのセキュアな構成に対するベスト・プラクティスです。これらは、政府、企業、業界および学界によって開発され、受け入れられているコンセンサスベースのベスト・プラクティスのセキュリティ構成ガイドです。CISベンチマークは、https://learn.cisecurity.org/benchmarksからダウンロードできます。
Center for Internet Security (CIS)ベンチマークのサポートは、以前のOracle Database Applianceリリースで提供されていましたが、Oracle Database Applianceリリース19.20.0.1では現在、Center for Internet Security (CIS)ベンチマークをサポートしていません。
セキュアな管理のためのOracle ILOMの使用
Oracle Integrated Lights-Out Management (Oracle ILOM)では、帯域外の全域管理が可能となり、Oracle Database Applianceのリモート管理機能が提供されています。
IPMI v2.0、セキュリティ制御とセキュリティ機能のコレクションは、個々のアプリケーションおよびサービスを適切に保護するために必要です。デプロイ済のサービスおよびシステムのセキュリティを維持するために、包括的な管理機能を持つことも同様に重要です。Oracle Database Applianceは、Oracle ILOMのセキュリティ管理機能を利用します。
Oracle ILOMは、アウトオブバンド管理アクティビティを実行する多くのOracle Database Applianceコンポーネントに組み込まれているサービス・プロセッサです。Oracle ILOMには、次の機能があります。
-
データベース・サーバーおよびストレージ・サーバーのセキュアなLights-Out Managementを実行するための、セキュアなアクセス。アクセスには、Transport Layer Security (TLS)で保護されたWebベースのアクセス、セキュア・シェルを使用したコマンドライン・アクセスおよびSNMPv3プロトコルが含まれます。
-
ロール・ベースのアクセス制御モデルを使用した職務の分離の要件。個々のユーザーには、実行できる機能を制限するために特定のロールが割り当てられます。
-
すべてのログインおよび構成変更の監査レコード。各監査ログ・エントリは、アクションを実行したユーザーとタイムスタンプをリストします。これによって、組織は、認可されていないアクティビティまたは変更を検出し、それらのアクションを起こしたユーザーを特定できます。