1. Microservices Architectureドキュメント
  2. 保護
  3. Oracle GoldenGateセキュリティ機能: 実装

Oracle GoldenGateセキュリティ機能: 実装

この項は、セキュリティ構成に従事するDBAおよび開発者に関連しています。ここでは、Oracle GoldenGate Microservices Architectureデプロイメントおよびサービス・マネージャのセキュリティ機能の実装ステップについて説明します。

次の各ステップで、セキュアなOracle GoldenGate環境を構築する際に実装できるOracle GoldenGateのセキュリティ機能について説明します。

  1. 最新のソフトウェア・バージョンを使用します。

    最新のOracle GoldenGateソフトウェアをダウンロードします。最新のリリース更新(RU)を使用していることを確認します。最新のソフトウェアをインストールすると、多くの場合、新しいバージョンには、以前のバージョンで検出された脆弱性に対処する修正や更新が含まれているため、セキュリティが向上します。

  2. OGGCAを使用してOracle GoldenGateをデプロイする場合は、セキュリティが有効になっていることを確認します。セキュアなデプロイメントは、サーバー証明書、その秘密キーおよびCA署名(ルート)証明書で構成されます。これにより、REST-API用のTLSを使用したセキュアな通信が可能になります。

    サーバー証明書でOracle GoldenGateを実装できない場合は、セキュアなネットワーク通信にリバース・プロキシの使用を検討できます。このシナリオでは、サーバーがロックダウンされていることを確認してください。

  3. 強力なパスワード・ポリシーに準拠するパスワードを使用します。サービス・マネージャにはローカルのOracle GoldenGate管理ユーザーを使用でき、OAuth2/OIDCを使用した外部認証には外部アイデンティティ・プロバイダ(IDP)を使用できます。Oracle CloudベースのOCI-IAM、IDCSまたはオンプレミスOAMをIDPプロバイダとして使用できます。IDPでは、SSO、MFAまたはトークンベース認証を利用できます。

  4. Oracle GoldenGateでは、ユーザー認可のためのロールベースの認証制御(RBAC)がサポートされています。Oracle GoldenGateユーザーの最小権限のベスト・プラクティスを使用します。

  5. 証跡ファイルに暗号化が適用されていることを確認します。証跡ファイル暗号化マスター・キーはローカルで管理されます。外部であるOCI-KMSやOKVなどのキー管理システムは、さらに高度な保護を提供します。

  6. Oracle GoldenGateでは、PKCS#12ウォレットを使用してOracle GoldenGateおよびデータベース資格証明を保持します。USERIDALIASのみを使用してデータベース接続を確立できます。Oracle GoldenGate管理者ユーザーの資格証明は更新できます。

  7. データベースへのセキュアなネットワーク通信には、提供されているデータベース保護されたネットワーク・クライアントを使用します。Oracle Database Serverは、TCPSおよびネイティブ・ネットワーク暗号化(NNE)を提供します。

  8. 分散パス・プロトコルの場合は、セキュアなWebSocketプロトコル(WSS)を使用します。Oracle GoldenGateのDistPathを保護するには、資格証明、クライアント証明書(相互TLS)またはOAuth/OIDCを使用できます。

  9. ファイアウォールで保護されたDMZ環境では、ターゲット開始DistPathを使用します。これにより、ターゲット・レシーバ・サービスがDistPathを開始できるようになります。

  10. 連邦情報処理標準(FIPS)の準拠は、Oracle GoldenGateのもう1つの機能です。デプロイメント中に、追加のセキュリティ標準(FIPS)を有効にできます。

Oracle GoldenGateは、特に断りのないかぎりすべてのプラットフォームの仮想化ソフトウェアで作成された仮想マシン環境を完全サポートします。仮想マシン環境にOracle GoldenGateをインストールする場合、ホスト・システムではなく仮想マシンのデータベースおよびオペレーティング・システムに適合するビルドを選択します。

ノート:

有効なサポート契約を締結し、サポートされているバージョンのOracle製品(Oracle GoldenGateを含む)を実行しているOracleのお客様は、これらの製品をVMware仮想化環境で実行する際に、Oracleのサポートを受けることができます。根本的な問題がOracle製品に起因するものではないと判断した場合や、Oracleのサポート対象ではないコンピューティング環境で実行されていると判断した場合、Oracleではお客様にVMwareのサポートを紹介し、問題の解決に必要なサポートを提供します。

このサポート・ポリシーは、OracleまたはVMwareのライセンス・ポリシーには影響しません。