4 Oracle Database Applianceをセキュアに保つ方法

この章で説明されているポリシーおよび手順に従って、Oracle Database Applianceをセキュアに保ってください。

トピック:

• ハードウェアの保護
  ここで説明されているセキュリティ・ポリシーを実装して、ハードウェアへのアクセスを制限することをお薦めします。
• ソフトウェアの保護
  アプライアンス・ソフトウェアのセキュリティ機能やポリシーを確認、実装します。
• Oracle Database Applianceのサードパーティ証明書の構成
  ブラウザ・ユーザー・インタフェースとDCSコントローラによって、安全な通信のためにSSLベースのHTTPSプロトコルが使用されます。この追加されたセキュリティの影響と、SSL証明書を構成するオプションについて理解します。
• セキュアな環境の維持
  セキュリティ・ポリシーおよびその方法を実装したら、次の内容を確認し、セキュアな環境を維持する方法を理解してください。

ハードウェアの保護

ここで説明されているセキュリティ・ポリシーを実装して、ハードウェアへのアクセスを制限することをお薦めします。

Oracle Database Applianceのインストール後は、ハードウェアを保護します。

ハードウェアの保護方法と手順

• Oracle Database Applianceと関連する設備は、ロックがかけられアクセスが制限された部屋に設置します。

• ホットプラガブルまたはホットスワップ可能なデバイスは、容易に取り外せる設計になっているため、アクセスを制限します。

• SSHリスニング・ポートは管理ネットワークおよびプライベート・ネットワークに限定します。

• SSHの許可された認証メカニズムに限定します。デフォルトでは、本質的にセキュリティ保護されていないSSH認証メカニズムを無効にします。

• FRUなど、コンピュータ・ハードウェアのすべての重要アイテムにマークを付けます。

• Oracle Database Applianceのコンポーネントのシリアル番号を記録し、記録を安全な場所に保管します。Oracle Database Applianceのすべてのコンポーネントにシリアル番号があります。

ソフトウェアの保護

アプライアンス・ソフトウェアのセキュリティ機能やポリシーを確認、実装します。

Oracle Database Applianceオペレーティング・システムおよびサーバー・セキュリティ・ポリシー

• サイトにシステムを設置したら、すべてのデフォルト・パスワードを変更します。

  Oracle Database Applianceは、初期インストールとデプロイメントに、広く知られているデフォルトのパスワードを使用します。デフォルトのパスワードを有効のままにしておくと、装置への不正なアクセスにつながる可能性があります。ネットワーク・スイッチなどのデバイスは、複数のユーザー・アカウントを持ちます。ラック内のコンポーネントの、すべてのアカウント・パスワードを変更してください。

• 個々のユーザーに対してOracle Integrated Lights Out Manager (ILOM)のユーザー・アカウントを作成し使用します。

  ILOMのユーザー・アカウントを使用することで、監査証跡に明確な識別情報を残し、管理者がチームまたは会社を離れているときの保守を減少できます。

• USBポート、ネットワーク・ポートおよびシステム・コンソールへの物理アクセスを制限します。

  サーバーおよびネットワーク・スイッチにはポートとコンソール接続があり、これによってシステムに直接アクセスできます。

• ネットワークを介したシステム再起動の機能を制限します。

• 『Oracle Databaseセキュリティ・ガイド』に説明されている利用可能なデータベース・セキュリティ機能を有効にします。

Oracle Databaseセキュリティ機能

Oracle Database Applianceは、レガシー・プラットフォームにインストールされたOracle Databaseで利用できる、すべてのセキュリティ機能を活用できます。Oracle Databaseのセキュリティ製品および機能には、次のものがあります。

• Oracle Advanced Security

• データ・マスキング

• Oracle Database Firewall

• Oracle Database Vault

• Oracle Label Security

• Oracle Secure Backup

• Oracle Total Recall

• Oracle Audit Vault。Oracle Audit Vaultは、Oracle Database Applianceで直接実行するように構成されていない場合があります。かわりに、別のサーバーで実行されるOracle Audit Vaultのインスタンスを使用するようにOracle Database Applianceを構成できます。

お客様は、Oracleの権限ユーザーおよびマルチファクタ・アクセス制御、データ分類、透過的データ暗号化、監査、監視およびデータ・マスキングを使用して、既存のアプリケーションの変更が不要な、信頼できるデータ・セキュリティ・ソリューションをデプロイできます。

Oracle Database Applianceでは、TDEキーがOracle Database ApplianceまたはOracle Key Vaultに格納されたTDE対応データベースの作成がサポートされています。詳細は、使用しているハードウェア・モデルのOracle Database Applianceデプロイメントおよびユーザーズ・ガイドの「Oracle Database Applianceの透過的データベース暗号化(TDE)について」を参照してください。

Oracle Database Applianceのサードパーティ証明書の構成

ブラウザ・ユーザー・インタフェースおよびDCSコントローラは、安全な通信のためにSSLベースのHTTPSプロトコルを使用します。この追加されたセキュリティの影響と、SSL証明書を構成するオプションについて理解します。

ブラウザ・ユーザー・インタフェースは、管理者がアプライアンスとの対話型操作を実行するときには、証明書と暗号化を使用することで追加のセキュリティ層を提供します。証明書および暗号化を使用すると、次のことが保証されます:

• データは意図した受信者に送信され、悪意のあるサードパーティに送信されることはありません。
• サーバーとブラウザの間でデータを交換するときに、データ傍受やデータ編集が発生しなくなります。

ブラウザ・ユーザー・インタフェースへの接続にHTTPSを使用すると、DCS Controllerはアプライアンスのアイデンティティを確認するための証明書をブラウザに提示します。Webブラウザは証明書が信頼できる認証局(CA)からのものではないと判断した場合に、信頼できないソースがブラウザに到着したとみなして、セキュリティ警告メッセージを生成します。セキュリティ警告のダイアログ・ボックスが表示されます。これは、ブラウザ・ユーザー・インタフェースのセキュリティがHTTPSおよびSSLを通じて有効化されていても、認証局からの一致する信頼できる証明書を使用してWeb層を適切に保護していないことが原因です。この警告を回避するために、認証局から信頼できる証明書を購入できます。

証明書を構成するには、独自のキーとJavaキーストアを作成し、認証局(CA)によって署名されていることを確認してから、使用するためにインポートします。

ノート:

Oracle Database Appliance高可用性ハードウェア・モデルの場合は、この構成ステップを両方のノードで実行します。

• キーおよびJavaキーストアの作成と信頼できる証明書のインポート
  キーストアと署名リクエストを作成するには、キーと証明書の管理ユーティリティkeytoolを使用します。
• カスタム・キーストアを使用するDCSサーバーの構成
  キーストアをJavaキーストアにパッケージ化または変換したら、キーストアを使用するようにDCSサーバーを構成します。
• カスタム証明書を使用するためのDCSエージェントの構成
  証明書をキーストアにインポートしたら、同じ証明書を使用するようにDCSエージェントを構成します。

キーおよびJavaキーストアの作成と信頼できる証明書のインポート

キーストアと署名リクエストを作成するには、キーと証明書の管理ユーティリティkeytoolを使用します。

1. キーストアを作成します:

   keytool -genkeypair -alias your.domain.com -storetype jks -keystore 
   your.domain.com.jks -validity 366 -keyalg RSA -keysize 4096

2. 識別データの入力を求めるプロンプトが表示されます。

   1. What is your first and last name? your.domain.com
   2. What is the name of your organizational unit? yourunit
   3. What is the name of your organization? yourorg
   4. What is the name of your City or Locality? yourcity
   5. What is the name of your State or Province? yourstate
   6. What is the two-letter country code for this unit? US

3. 証明書署名リクエスト(CSR)を作成します。

   keytool -certreq -alias your.domain.com -file your.domain.com.csr
   -keystore your.domain.com.jks -ext san=dns:your.domain.com

4. 認証局(CA)署名証明書をリクエストします。
   1. 前述のステップ1を実行したディレクトリ内で、ファイルyour.domain.com.csrを見つけます。
   2. 認証局(CA)にファイルを送信します。
      詳細は、CAによって異なります。通常は、Webサイトからリクエストを送信します。その後、CAから連絡があり、本人確認が行われます。CAは署名付き返信ファイルを様々な形式で送信でき、CAはそれらの形式に様々な名前を使用します。CAの返信はPEM、PKCS#7またはP7B形式である必要があります。
   3. CAの返信には待機期間があることがあります。
5. CAの返信をインポートします。CAの返信では、1つのPKCSファイル、1つのP7Bファイルまたは複数のPEMファイルが提供されます。
   1. 前述のステップ1でキーストアを作成したディレクトリに、CAのファイルをコピーします。
   2. keytoolを使用して、キーストア証明書とCAの返信ファイルをインポートします。
      1. P7Bファイルをインポートするには、次のコマンドを実行します。

         keytool -importcert -alias your.domain.com -file CAreply.p7b -keystore your.domain.name.jks -trustcacerts

      2. 業界標準の形式であるPKCS12 (P7B)に移行します:

         keytool -importkeystore -srckeystore your.domain.name.jks -destkeystore your.domain.name.jks -deststoretype pkcs12

      3. JKSファイルに格納されているPKCS12 (P7B)署名証明書ファイルをdcs-ca-certs ファイルにインポートするには、次のコマンドを実行します:

         keytool -importkeystore -srckeystore your.domain.name.jks -destkeystore /opt/oracle/dcs/conf/dcs-ca-certs -deststoretype pkcs12

      4. PKCSファイルをインポートするには、次のコマンドを実行します。

         keytool -importcert -trustcacerts -alias your.domain.com -file 
         CAreply.pkcs -keystore /opt/oracle/dcs/conf/dcs-ca-certs

         CAreply.pkcsはCAが提供したPKCSファイルの名前です。your.domain.comはサーバーの完全なドメイン名です。

         CAがPEMファイルを送信した場合は、ファイルが1つのこともありますが、ほとんどの場合はファイルが2つか3つあります。次に示す順序のコマンドで、ファイルをキーストアにインポートします(その前に目的の値に置換しておきます)。

         keytool -importcert -alias root -file root.cert.pem -keystore /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts
         keytool -importcert -alias intermediate -file intermediate.cert.pem /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts
         keytool -importcert -alias intermediat2 -file intermediat2.cert.pem /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts
         keytool -importcert -alias your.domain.com -file server.cert.pem /opt/oracle/dcs/conf/dcs-ca-certs -trustcacerts

         root.cert.pemは、ルート証明書ファイルの名前です。intermediate.cert.pemは、中間証明書ファイルの名前です。ルート・ファイルと中間ファイルにより、Webブラウザに認識される広範囲に信頼できるルート証明書にCAの署名をリンクします。すべてではありませんが、ほとんどのCAの応答にはルートと中間が含まれています。server.cert.pemはサーバー証明書ファイルの名前です。このファイルによって、目的のドメイン名と公開キーおよびCAの署名をリンクします。

カスタム・キーストアを使用するDCSサーバーの構成

キーストアをJavaキーストアにパッケージ化または変換したら、キーストアを使用するようにDCSサーバーを構成します。

1. アプライアンスにログインします。

   ssh -l root oda-host-name

2. 難読化されたキーストアのパスワードを生成します。

   /opt/oracle/dcs/java/java_version/bin/java -cp /opt/oracle/dcs/bin/dcs-controller-n.n.n.n.n.jar com.oracle.oda.dcs.password.utils.OBFCredentials keystore-password

   たとえば:

   # /opt/oracle/dcs/java/java_version/bin/java -cp /opt/oracle/dcs/bin/dcs-controller-19.26.0.0.0.jar com.oracle.oda.dcs.password.utils.OBFCredentials test OBF:"1z0f1vu91vv11z0f"

   OBF:で始まる不明瞭化されたパスワードをコピーします。

3. /opt/oracle/dcs/conf/dcs-controller.ymlを次のように更新します。

   ssl:
         key-store:
           path: file:/opt/oracle/dcs/conf/custom_dcsKey.jks
           type: "JKS"
           password: "obfuscated keystorepassword"
         trust-store:
           path: file:/opt/oracle/dcs/conf/dcs-ca-certs
         key:
           alias: "your.domain.com"

4. DCSコントローラを再起動します。

   systemctl stop initdcscontroller
   systemctl start initdcscontroller

   DCSコントローラのログ・ファイル/opt/oracle/dcs/log/dcs-controller.logには、次の行が表示されます。

   2022-05-13 04:23:37,266 INFO [main] [] c.o.o.c.DCSControllerSSLConfig: Custom keystore password is set
   2022-05-13 04:23:37,266 INFO [main] [] c.o.o.c.DCSControllerSSLConfig: Custom truststore password is set

5. ブラウザ・ユーザー・インタフェースにアクセスします(https://oda-host-name:7093/mgmt/index.html)。

カスタム証明書を使用するためのDCSエージェントの構成

証明書をキーストアにインポートしたら、同じ証明書を使用するようにDCSエージェントを構成します。

1. DCSエージェントの構成ファイルを更新します。

   cd /opt/oracle/dcs/conf

   dcs-agent.ymlファイルの次のパラメータを更新します。

   dcs:
     config:
       secondary-server:
         ssl:
           key-store: file:/opt/oracle/dcs/conf/custom_dcsKey.jks
           type: "JKS"
           trust-store: file:/opt/oracle/dcs/conf/dcs-ca-cacerts
           alias: "your.domain.com"
           password: "obfuscated keystorepassword"

2. DCSエージェントを再起動します。

   systemctl stop initdcsagent
   systemctl start initdcsagent

3. エージェントにアクセスします(https://oda-host-name:7070)。
4. CLI証明書を更新します。

   cp -f /opt/oracle/dcs/conf/dcs-ca-certs /opt/oracle/dcs/dcscli/dcs-ca-certs

5. DCSコマンドラインの構成ファイルを更新します。

   [root@]# cd /opt/oracle/dcs/dcscli

   dcscli-adm.confとdcscli.conf内の次のパラメータを更新します。

   TrustStorePath=/opt/oracle/dcs/dcscli/dcs-ca-certs
   TrustStorePassword=keystore_password

セキュアな環境の維持

セキュリティ・ポリシーおよびその方法を実装したら、次の内容を確認し、セキュアな環境を維持する方法を理解してください。

トピック:

• セキュアな環境について
  業務および管理のアクセス・ポリシーを定期的に見直し、更新してセキュアな環境を維持します。
• ネットワークのセキュリティの維持
  セキュリティのガイドラインに基づいてネットワークを構成した後は、ホストとILOMのセキュリティが完全に保護されて有効な状態が保たれるよう、定期的に確認と保守を実施します。
• ソフトウェアおよびファームウェアの更新
  セキュリティ拡張は、新しいリリースおよびパッチ・セットによって導入されます。
• Oracle Database Appliance外部のデータ・セキュリティの保証
  データを外部記憶装置にバックアップする際は、セキュリティ・プラクティスに従ってください。

セキュアな環境について

業務および管理のアクセス・ポリシーを定期的に見直し、更新してセキュアな環境を維持します。

セキュリティ・ポリシーとその機能を実装したら、組織内でセキュリティ・レビュー・ポリシーを設定することをお薦めします。セキュリティ・ポリシーの一環として、ソフトウェア、ハードウェア、ユーザー・アクセスを定期的に更新し確認してください。

たとえば、Oracle Database Applianceやデプロイされた関連サービスへのアクセスを許可されたユーザーおよび管理者をすべてチェックします。各ユーザーおよび管理者に許可したアクセスと権限のレベルが適切であることを確認します。

定期的にセキュリティ・レビューを行わないと、ロールの変更またはデフォルト設定の変更によって、個々に付与したアクセスのレベルが意図しないうちに高くなる可能性があります。業務および管理のタスクへのアクセス権を定期的に確認することをお薦めします。定期的に確認することで、ユーザー・レベルで許可されたアクセスが各ユーザーのロールと責務に合っているか確認できます。

ネットワークのセキュリティの維持

セキュリティのガイドラインに基づいてネットワークを構成した後は、ホストとILOMのセキュリティが完全に保護されて有効な状態が保たれるよう、定期的に確認と保守をします。

ローカルおよびリモートでのシステム・アクセスのセキュリティを確認するには、次のガイドラインに従います。

• 管理ネットワークのスイッチを構成するファイルの管理はオフラインで行い、ファイルへのアクセスは権限の付与された管理者のみに制限します。

• 構成ファイルには、各設定について説明するコメントを加えます。構成ファイルの静的コピーを、ソース・コードの管理システムに保持することを検討してください。

• アクセス制御リストを使用して、適切に制限を適用します。

• 長時間セッションのタイムアウトを設定し、権限レベルを設定します。

• ローカルおよびリモートでのスイッチへのアクセスに、認証、認可、アカウント(AAA)機能を使用します。

• 侵入検出システム(IDS)アクセスに、スイッチのポート・ミラー化機能を使用します。

• ポート・セキュリティを実装してMACアドレスに基づいてアクセスを限定します。Oracle Database Applianceに接続するすべてのスイッチについて、すべてのポートの自動トランキングを無効にします。

• リモート構成を、SSHを使用する特定のIPアドレスに限定します。

• 最低限のパスワードの複雑さのルールとパスワード有効期限ポリシーを設定して、ユーザーに強いパスワードの使用を義務付けます。

• ログ記録を有効にし、ログを専用のセキュアなログホストに送信します。

• NTPとタイムスタンプを使用して、ログ記録に正確な時刻情報を含めるように構成します。

• ログでインシデント発生の可能性を確認し、組織のセキュリティ・ポリシーに従ってログをアーカイブします。

ソフトウェアおよびファームウェアの更新

セキュリティ拡張は、新しいリリースおよびパッチ・セットによって定期的に導入されます。

有効でプロアクティブなパッチ管理は、システム・セキュリティの重要な部分です。ソフトウェアの最新リリースと、すべての必要なセキュリティ・パッチを、設備にインストールすることをお薦めします。

ベースライン・セキュリティを確立するには、Oracleが推奨するソフトウェアやセキュリティ・パッチのみを適用することをお薦めします。

Oracle Database Appliance外部のデータ・セキュリティの保証

データを外部記憶装置にバックアップする際は、セキュリティ・プラクティスに従ってください。

データを必ず外部記憶装置にバックアップします。バックアップをオフサイトのセキュアな場所に保管することをお薦めします。バックアップは、組織のポリシーおよび要件に沿って保持します。

古いディスク・ドライブを廃棄するときは、ドライブを物理的に破壊するか、ドライブ上のすべてのデータを完全に消去します。ファイルの削除またはディスク・ドライブの再フォーマットでは、ドライブ上のアドレス・テーブルが削除されるだけです。ファイルの削除またはディスク・ドライブの再フォーマット後も、ドライブから情報を復元できます。交換したディスク・ドライブやフラッシュ・ドライブをオラクル社へ返却せずに手元に残しておきたい場合は、Oracle Database Applianceディスク保管サポート・オプションをご利用ください。