このリリースでのOracle Database SQL Firewallガイドの変更内容

内容は次のとおりです:

Oracle Database SQL Firewall 23aiでの変更点

Oracle Database 23aiのOracle Database SQL Firewallガイドには、新しいセキュリティ機能が記載されています。

Oracle SQL FirewallがOracle Databaseに組み込まれました

Oracle Database 23ai以降、Oracle SQL Firewallは、すべての着信SQL文を検査し、明示的に認可されたSQLのみが実行されるようにします。

SQLファイアウォールを使用して、データベースで処理できるSQL文を制御できます。データベース接続およびSQL文に関連付けられた接続パスを制限できます。認可されていないSQLをログに記録してブロックできます。

SQLファイアウォールはOracleデータベースに組み込まれているため、バイパスできません。ローカルかネットワークか、暗号化テキストかクリアテキストかに関係なく、すべてのSQL文が検査されます。トップレベルのSQL、ストアド・プロシージャおよび関連するデータベース・オブジェクトが調査されます。

SQLファイアウォールは、認可されたSQL文または接続にのみデータベース・アクセスを制限することで、一般的なデータベース攻撃からリアルタイムに保護します。SQLインジェクション攻撃、異常なアクセスおよび資格証明の盗用や不正使用によるリスクを軽減します。

SQLファイアウォールでは、IPアドレス、オペレーティング・システム・ユーザー名、オペレーティング・システム・プログラム名などのセッション・コンテキスト・データを使用して、データベース・アカウントがデータベースに接続する方法を制限します。これにより、アプリケーション・サービス・アカウント資格証明の窃取または悪用のリスクを軽減できます。SQLファイアウォールの一般的なユースケースは、アプリケーション・ワークロードに関するものです。

SQLファイアウォールは、ルートとプラガブル・データベース(PDB)の両方で使用できます。

Oracle Database SQL Firewall 23aiの更新

Oracle Database 23aiのOracle Database SQL Firewallガイドには、次の更新内容が記載されています。

Oracle SQL FirewallのDBMS_SQL_FIREWALL PL/SQLパッケージの新しいプロシージャ

Oracle SQL FirewallのパッケージDBMS_SQL_FIREWALLに、プロシージャDBMS_SQL_FIREWALL.APPEND_ALLOW_LIST_SINGLE_SQLが追加されました。

このプロシージャを使用すると、キャプチャ・ログまたは違反ログから既存の許可リストに特定のSQLレコードを個別に追加できます。DBMS_SQL_FIREWALL.APPEND_ALLOW_LISTは、違反ログまたはキャプチャ・ログ全体を許可リストに追加できる柔軟性を備えていますが、ほとんどの一般的なシナリオでは、リスト全体ではなく、そのうちの1つのみを追加できる柔軟性も必要になる場合があります。以前のリリースでは、許可リストに特定のSQLコマンドを追加する場合、DBMS_SQL_FIREWALL.APPEND_ALLOW_LISTを使用して違反ログまたはキャプチャ・ログ全体を許可リストに追加し、DBMS_SQL_FIREWALL.DELETE_ALLOWED_LISTを使用して不要なエントリを手動で削除する必要がありました。この機能強化により、追加する特定のレコードを使用して許可リストをより柔軟に調整できるようになります。