インストール後構成のセキュリティ・チェックリスト

システム・ハードウェアへのアクセスを制限するために、Oracleでは次の演習をお薦めします:

Oracle Private Cloud Applianceおよび関連する機器をロックされたアクセス制限のある部屋に取り付けます。
ラック内のコンポーネントでサービスが必要でない場合は、ラックのドアに鍵を掛けます。
コンポーネントは簡単に取り外せるように設計されているため、ホット・プラグ可能またはホット・スワップ可能なデバイスへのアクセスを制限します。
予備の現場交換可能ユニット(FRU)または顧客交換可能ユニット(CRU)は鍵の掛かったキャビネットに保管します。鍵の掛かったキャビネットへは、認可された人のみがアクセスできるように制限します。
SSHリスナー・ポートを管理ネットワークおよびプライベート・ネットワークに制限します。 SSHプロトコル2 (SSH-2)およびFIPS 140-2承認暗号を使用します。
SSHが許可される認証メカニズムを制限します。本質的にセキュアでない方法は無効化されます。
すべての主要なコンピュータ・ハードウェア・アイテム(FRUなど)にラベルを付けます。
ハードウェアのアクティベーション・キーとライセンスは、システム緊急時にシステム・マネージャが簡単に取り出せる安全な場所に保管します。

すべてのシリアル番号を記録し、安全なロケーションに保管してください。アプライアンス全体のシリアル番号を取得するには、いくつかの方法があります:

ラック・コンポーネントのシリアル番号の取得方法の詳細は、「ラック内のハードウェア・コンポーネントのシリアル番号の取得」を参照してください

ソフトウェアを保護するために、Oracle Private Cloud Applianceの初期インストール後、Oracleでは、システム・アクセスを制限するために次の演習をお薦めします:

rootスーパーユーザー・アカウントの使用を制限します。個々のユーザー・アカウントを作成して使用すると、監査証跡での肯定的な識別が保証され、管理者がチームまたは会社を離れた場合のメンテナンスが減ります。
管理ノードで新規ユーザーを作成しないでください。
顧客が管理する層の不要なプロトコルとモジュールを無効にします。
物理セーバーとネットワーク・スイッチにはシステムへの直接アクセスを提供するポートとコンソール接続があるため、USBポート、ネットワーク・ポート、およびシステム・コンソールへの物理アクセスを制限してください。
ネットワークを介してシステムを再起動する機能を制限します。
その他のセキュリティ機能を有効にする方法の詳細は、このガイドの「Oracle Private Cloud Applianceのセキュリティ機能」を参照してください。

クラウド・ネットワーク・セキュリティおよびコンピュート・インスタンスへのアクセスを制御するために実行できる他のステップがあります:

インスタンスにパブリックIPアドレスが必要ない場合は、プライベート・サブネットを使用します。
インスタンス上のファイアウォール・ルールを構成して、パケット・レベルでインスタンス間のトラフィックを制御します。ただし、Oracle-Oracle Linuxを実行するイメージには、SSHトラフィックのTCPポート22でのイングレスを許可するデフォルト・ルールが自動的に含まれます。また、Microsoft Windowsイメージには、リモート・デスクトップ・アクセス用にTCP port 3389でイングレスを許可するデフォルト・ルールが含まれています。
必要な接続のみを許可するようにゲートウェイおよびルート表を構成します。これにより、オンプレミス・ネットワークや別のVCNなどの外部の宛先へのトラフィック・フローを制御できます。
IAMポリシーを使用して、Oracle Private Cloud Applianceインタフェースへのアクセスを制御します。アクセスできるクラウド・リソースと、許可されるアクセスのタイプを制御できます。たとえば、ネットワークとサブネットを設定できるユーザーや、ルート表、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを更新できるユーザーを制御できます。

Oracle Private Cloud Applianceネットワーク・セキュリティの詳細は、「Oracle Private Cloud Applianceユーザーズ・ガイド」および「Oracle Private Cloud Appliance管理者ガイド」を参照してください。