1. Oracle Exadataセキュリティ・ガイド
  2. Oracle Exadataセキュリティの概要

1 Oracle Exadataのセキュリティの概要

Oracle Exadataは、Oracle Exadata Storage Serverと統合されたOracle Databaseの最適化されたデータベース・パフォーマンスを組み合せる、エンジニアド・システムです。

これらのコア・コンポーネントは、低レイテンシおよび高スループットのネットワーク接続を可能にする冗長RDMAネットワーク・ファブリックを介して接続されます。次の3つのネットワークがあります:

  • プライベート・ネットワーク - 1つ以上の物理ラックのデータベース・サーバーとストレージ・サーバーの間の通信にRDMAネットワーク・ファブリックを使用します。
  • クライアント・ネットワーク - クライアント・アプリケーションからOracle Exadataで実行されているサービスへの通信に使用されます。
  • 管理ネットワーク - データベース・サーバー、ストレージ・サーバー、PDU、スイッチなど、Oracle Exadataのコンポーネントのハードウェアを管理するために使用されます。

このフレームワーク内には、すべてのソフトウェアとハードウェアで従う必要がある基本的なセキュリティの原則があります。原則は次のとおりです。

  • 認証: 認証は、通常、ユーザー名とパスワード、共有キーなどの機密情報を使用して行われるユーザーの識別方法です。すべてのコンポーネントは、認証を使用してユーザーの本人確認を行います。デフォルトでは、ローカル・ユーザー名とパスワードが認証に使用されます。共有キー・ベースの認証も可能です。
  • 認可: 認可によって、管理者は、ユーザーが実行または使用できるタスクや権限を制御できます。従業員は、提供されたタスクおよび権限にのみアクセスできます。Oracle Exadataのシステム管理者は、権限を使用してリソースを構成し、コマンド、ディスク・スペース、デバイスおよびアプリケーションに対するユーザー・アクセスを制御できます。
  • アカウンティングおよび監査: アカウンティングおよび監査では、システムにおけるユーザーのアクティビティのレコードを管理します。管理者は、Oracle Exadataのソフトウェアおよびハードウェア機能を使用して、ログイン操作を監視したりハードウェア・インベントリを管理できます。
    • ユーザーのログオンはシステム・ログで監視されます。システム管理者およびサービス・アカウントは、問題やデータ損失の原因となった可能性がある、誤って使用されたコマンドにアクセスできます。アクセスおよびコマンドは、システム・ログを介して注意深く監視する必要があります。
    • ハードウェア資産はシリアル番号で追跡されます。Oracleの部品番号は、すべてのカード、モジュールおよびマザーボードに電子的に記録されており、インベントリの管理に使用できます。

基本的なセキュリティの原則に加えて、Oracle Exadataは、生存性、徹底した防御、最小限の権限付与およびアカウンタビリティに対応しています。Oracle Exadataには、緊急性の高いセキュリティ要件および問題への対処に役立つ、適切に統合された一連のセキュリティ機能が備えられています。

別々のネットワークに、これらのセキュリティの原則と次のセキュリティの原則を適用する方法の例を次に示します。
  • 管理ネットワークは境界レベルのセキュリティで保護し、信頼できる管理者のみがこのネットワークにアクセスできるようにすることが必要です
  • データ・ネットワークでは、複数のテナントまたはセキュアな情報がこのネットワーク上で送信されるときに、暗号化を使用してデータ・フローを保護する必要があります
  • クライアント・ネットワークにはデータベースのフロントエンドとして最も強力なセキュリティ要件が求められ、このネットワーク接続へのアクセスを制限することで、外部脅威を軽減できます。