インフラストラクチャのセキュリティ機能
Oracle Cloud Infrastructureに同等のものがないインフラストラクチャ管理サービスは、アプライアンスの内部または管理者に制限されます。 これらのサービスは、クラウド・サービスを有効にし、「サービス・エンクレーブ」管理操作(システム初期化、コンピュート・ノード・プロビジョニング、容量拡張、テナンシ管理、アップグレードなど)をサポート
この項では、インフラストラクチャ・サービス・レイヤーのセキュリティ機能について説明します。
インフラストラクチャ・ネットワーク・セキュリティ
ネットワークにOracle Private Cloud Applianceを接続する前に、ネットワーク・セキュリティの考慮事項について検討するようにしてください。
-
Oracle Private Cloud Applianceとの間のトラフィックをモニタリングするための侵入防止システムを検討します。
-
Oracle Private Cloud Applianceとの間で情報を保護するためのネットワーク層ファイアウォールの検討。
-
不要なデバイスをOracle Private Cloud Applianceに接続しないでください。
-
Oracle Private Cloud Appliance以外のサポートされている使用には、Oracle Private Cloud Applianceインフラストラクチャを使用しないでください。
管理スイッチのアウトバウンド接続
次のことを確認してください:
-
未使用のポートは無効のままにします。
-
デバイスをポート1 (またはポート2)に接続して、日付0の構成のみを実行します。
-
0日の構成後に、ポート1 (またはポート2)からデバイスを切断します。
-
管理スイッチをデータセンター・ネットワークから分離しておきます。 外部デバイスを管理スイッチに接続しないでください。
-
ポート1およびポート2でDHCPスヌーピング信頼を有効にします。
-
管理スイッチの構成を変更しないでください。
-
スイッチのパスワードをデフォルトから強力なパスワードに変更します。
-
Grafanaダッシュボードを使用して、スイッチ・トラフィックを監視します。
データ・スイッチのアウトバウンド接続
次のことを確認してください:
-
未使用のポートは無効のままにします。
-
スパイン・スイッチの構成は変更しないでください。 スパイン・スイッチは、Oracle Private Cloud Applianceスイッチ・マネージャ・サービスによって制御されます。
-
アップリンク・ポートの使用状況を理解します。 ポート7、8、9および10は、Oracle Exadata接続専用です。
-
スイッチのパスワードをデフォルトから強力なパスワードに変更します。
-
Grafanaダッシュボードを使用して、スイッチ・トラフィックを監視します。
データ・セキュリティ
Oracle Private Cloud Applianceの外部に格納されているデータを、バックアップまたは削除されたハード・ドライブで保護することが重要です。
Oracle Private Cloud Applianceの外部にあるデータは、重要なデータをバックアップすることで保護できます。 その後、データをオフサイトの安全な場所に保管する必要があります。 組織のポリシーおよび要件に従ってバックアップを保持します。
古いハード・ドライブを廃棄するときは、ドライブを物理的に破壊するか、ドライブ上のすべてのデータを完全に消去してください。 ファイルを削除したり、ドライブを再フォーマットしても、ドライブ上のアドレス・テーブルのみが削除されます。 ファイルが削除されたり、ドライブが再フォーマットされた後でも、情報はドライブから回復できます。 Oracle Private Cloud Applianceディスク保存サポート・オプションを使用すると、置換されたすべてのハード・ドライブおよびフラッシュ・ドライブをOracleに戻すかわりに保存できます。
セキュリティ・パッチとファームウェアのアップグレード
効果的でプロアクティブなソフトウェア管理はシステム・セキュリティの重要な部分です。
新しいリリースとソフトウェア・アップデートを介して、セキュリティの強化が導入されます。 Oracleでは、最新リリースのソフトウェアと、機器に必要なすべてのセキュリティ更新をインストールすることをお薦めします。 Oracle-推奨セキュリティ更新の適用は、ベースライン・セキュリティの確立のベスト・プラクティスです。
Oracle Private Cloud Applianceデータベース・サーバーおよびストレージ・サーバーのオペレーティング・システムおよびカーネル更新は、Oracle Private Cloud Applianceソフトウェア更新とともに提供されます。 配電ユニット(PDU)ファームウェアの更新は、ソフトウェアおよび他のファームウェアの更新とは別に処理されます。 PDUがOracle Private Cloud Applianceの最新の承認済ファームウェアを実行していることを確認します。 PDUファームウェアの更新は頻繁に発行されないため、通常、Oracle Private Cloud Applianceソフトウェアのアップグレード時にPDUファームウェアのリリースを確認するのに十分です。