1. Oracle Exadataセキュリティ・ガイド
  2. Oracle Exadata Database Machineのセキュリティ機能
  3. セキュアな環境に関する考慮事項
  4. アイデンティティおよびアクセス管理に関する考慮事項

2.10.1 アイデンティティおよびアクセス管理に関する考慮事項

Oracle Exadata Database Machineコンポーネントおよびデプロイされたサービスを組織の既存のアイデンティティおよびアクセス管理アーキテクチャに統合する際は、統合されたアプローチを使用する必要があります。

Oracle Databaseでは、既存のアイデンティティおよびアクセス管理デプロイメントとの統合を可能にする、数多くのオープン・プロトコルおよび標準プロトコルをサポートしています。アプリケーションの可用性を確保するために、統合されたアイデンティティおよびアクセス管理システムを使用できる必要があり、使用できない場合、Oracle Exadata Database Machineの可用性が損なわれる可能性があります。

Oracle Exadata Database Machineが到着する前に、次のセキュリティ上の考慮事項について検討してください。これらの考慮事項は、Oracle Exadata Database Machineに関するOracleベスト・プラクティスに基づいています。

  • rootgridoracleなどの共通のオペレーティング・システム・アカウントに直接ログインする機能は、無効にする必要があります。各管理者に対して個別のユーザー・アカウントを作成する必要があります。個別のアカウントでログインした後、管理者は必要に応じてsudoを使用して特権コマンドを実行できます。

  • Oracle Exadata Database Machine内の可視性を高めるための、ホストベースの侵入検知および侵入防止システムの使用。Oracle Databaseのファイングレイン監査機能を使用することによって、ホストベースのシステムが不適切なアクションおよび未認可のアクティビティを検出できる可能性が高まります。

  • 相関、分析およびレポートの向上に向けてセキュリティ関連情報を集約するための一元化された監査およびログ・リポジトリの使用。Oracle Exadata Storage Serverは、CELL属性syslogConfによってこれをサポートします。データベース・サーバーは、通常のシステム構成方法を使用して一元化されたロギングをサポートします。

  • 透過的データ暗号化(TDE)Oracle Recovery Manager (RMAN)暗号化など、バックアップのための暗号化機能の使用。

データおよびシステムのセキュリティは、ユーザー・アクセスとパスワードのセキュリティによって低下します。ユーザー・セキュリティを最大化するために、次のガイドラインをお薦めします。

  • Oracle Grid InfrastructureOracle Databaseソフトウェアのインストールに個別のソフトウェア所有者アカウントを作成します。これらのアカウントは、Oracle Exadata Database Machineのデプロイ時に使用する必要があります。DB-scoped securityを実装するには、Oracle Grid InfrastructureOracle Databaseソフトウェアのインストール用に個別のソフトウェア所有者が必要です。

  • 最小要件を超える複雑さのパスワードを強制するユーザー・パスワード・ポリシーを実装します。
  • パスワード・エージングとアカウントのロックを実装します。Oracle Exadata System Softwareリリース19.1.0以降では、DBSERVERおよびCELL属性を使用して、次のアカウント・セキュリティ機能を構成できます。
    • ユーザーのパスワードは、指定した日数後に期限切れになります。ユーザー・パスワードのデフォルトの有効期限は0です。0の場合、パスワードは期限切れになりません。

    • パスワードが期限切れになる前の指定した日数の間、ユーザーがログインするときに警告メッセージが表示されます。ユーザー・アカウントのパスワード期限切れ警告時間は、デフォルトで7日間です。

    • パスワードの有効期限が切れてから、指定した日数の間、ユーザーがログインするとパスワードの変更を求められます。サーバーのremotePwdChangeAllowed属性で、パスワードの変更にサービス・リクエストが不要と指定している場合、ユーザーはすぐにパスワードを変更できます。そうでない場合、パスワードを変更するにはユーザーがサーバー管理者に連絡する必要があります。

    • パスワードの有効期限が切れると、ユーザー・アカウントは指定された日数の間ロックされます。ユーザー・アカウントのロック時間は、デフォルトで7日間です。アカウントがロックされた後でアカウントのロックを解除するには、サーバー管理者への連絡が必要になります。

親トピック: セキュアな環境に関する考慮事項