3 Oracle Private Cloud Applianceのセキュリティ機能
この項では、Oracle Private Cloud Applianceによって提供される特定のセキュリティ・メカニズムの概要を示します。 Oracle Private Cloud Applianceは、認証、アクセス制御およびセキュリティ監査機能のフル・スイートを提供します。 このセクションでは、これらの機能を有効にして使用する方法に関するガイダンスを提供します。
可能かつ実用的な場合は常に、セキュアなデフォルト設定を選択して構成します。 Oracle Private Cloud Applianceでは、次のデフォルト設定を使用します:
-
攻撃面を縮小するために、最小限のソフトウェアがインストールされます。
-
Oracleのベスト・プラクティスを使用して開発および実装されたOracleセキュア設定。
-
パスワードの書式化に標準的な複雑さを適用するパスワード・ポリシー。
-
ログイン試行に失敗すると、一定回数失敗するとロックアウトされます。
-
すべてのデフォルトのオペレーティング・システム・アカウントがロックされ、ログインがブロックされます。
-
suコマンドを使用する機能が制限されています。
-
ブート・ローダーのインストールがパスワードで保護されています。
-
インターネット・サービス・デーモン(inetd/xinetd)を含め、すべての不要なシステム・サービスが無効になります。
-
実用的な場所で構成されたソフトウェア・ファイアウォール。
-
主要なセキュリティ関連構成ファイルおよび実行可能ファイルに対するファイル権限が制限されています。
-
SSHリスニング・ポートが管理ネットワークおよびプライベート・ネットワークに制限されています。
-
SSHがv2プロトコルに制限されています。
-
セキュアでないSSH認証メカニズムが無効化されています。
-
構成済み固有の暗号化暗号。
-
不要なプロトコルおよびモジュールがオペレーティング・システム・カーネルから無効化されています。
リモート・ネットワーク・アクセスは常にセキュリティ上の問題です。 管理ネットワークのスイッチの構成ファイルをオフラインで管理し、構成ファイルへのアクセスを認可された管理者に制限します。 各設定の構成ファイルに説明コメントを配置します。 構成ファイルの静的コピーをソース・コード制御システムに保持することを検討してください。 セキュアなホストやその他の設定がそのまま有効であることを確認するために、クライアント・アクセス・ネットワークを定期的に確認する必要があります。 さらに、設定の定期的なレビューによって、それらが変更されておらず、有効であることが確認されます。
次のネットワーク・セキュリティ・ガイドラインは、Oracle Private Cloud Applianceシステムへのローカルおよびリモート・アクセスのセキュリティを確保するのに役立ちます:
-
未認可アクセスを禁止することを明記したログイン・バナーを作成します。
-
必要に応じて、アクセス制御リストを使用して制限を適用します。
-
拡張セッションのタイムアウトを設定し、特権レベルを設定します。
-
スイッチへのローカル・アクセスとリモート・アクセスには、認証、認可、アカウンティング(AAA)機能を使用します。
-
侵入検知システム(IDS)のアクセスには、スイッチのポートのミラー化機能を使用します。
-
MACアドレスに基づいてアクセスを制限するには、ポート・セキュリティを実装します。 Oracle Private Cloud Applianceに接続されているスイッチのすべてのポートで自動ランキングを無効にします。
-
リモート構成を特定のIPアドレスに制限するときは、SSHを使用します。
-
パスワードの書式化およびパスワード有効期限ポリシーの設定に標準の複雑度を設定して、ユーザーに強いパスワードの使用を要求します。
-
ロギングを有効にし、専用のセキュアなログ・ホストにログを送信します。
-
NTPおよびタイムスタンプを使用して正確な時間情報を含めるようにロギングを構成します。
-
可能性があるインシデントをログで確認し、組織のセキュリティ・ポリシーに従ってそれらをアーカイブします。