ベース・データベース・サービスのセキュリティ・ガイド

セキュリティ概要

このトピックでは、ベース・データベース・サービスのセキュリティの概要について説明します。 Oracleはほとんどのコンポーネントのセキュリティを管理し、ユーザーは一部のコンポーネントのセキュリティを担当します。

クラウド・サービス・コンポーネントは、ユーザー・アクセス可能なサービスおよびOracle管理インフラストラクチャに分類されます。ユーザー・アクセス可能なサービスは、ベース・データベース・サービスのサブスクリプションの一部としてユーザーがアクセスできるコンポーネントを指します。これらは、一般的にDBシステムおよびデータベースと呼ばれる仮想マシンおよびデータベース・サービスです。 Oracle管理インフラストラクチャとは、ユーザーがアクセス可能なサービスをサポートするためにOracleが所有および運用するハードウェアを指します。 AMDまたはIntel-basedデータベース・コンピューティング・シェイプで構成されます。

Oracleは、セキュリティとOracle管理のインフラストラクチャ・コンポーネントへのアクセスを管理します。ユーザーは、DBシステムおよびデータベース・サービスへのアクセス、DBシステムへのネットワーク・アクセス、DBシステムにアクセスするための認証、およびDBシステムで実行されているデータベースにアクセスするための認証を含む、ユーザー・アクセス可能なサービスに対するセキュリティおよびアクセスを管理します。 Oracleスタッフには、ユーザーがアクセス可能なサービスにアクセスする権限がありません。

ユーザーは、標準のOracle Database接続メソッド(ポート1521のOracle Netなど)を使用して、ユーザー機器からレイヤー2 (タグ付きVLAN)接続を介してDBシステムで実行されているOracle Databasesにアクセスします。ユーザーは、標準のOracle Linuxメソッドを使用して、ポート22のトークン・ベースのSSHなど、Oracle Databasesを実行しているDBシステムに接続できます。

Base Database Serviceでは、複数の独立した相互に依存するセキュリティ制御を採用しており、組織がワークロードとデータに対して安全なオペレーティング環境を構築するのに役立ちます。基本データベース・サービスには、次のセキュリティ制御があります:

操作環境を保護するための徹底した防御
サービスおよびユーザーに対する最小限の権限付与
イベントおよびアクションの監査および説明責任
クラウド操作の自動化

操作環境を保護するための徹底した防御

Base Database Serviceには、サービス全体で機密性、整合性および説明責任を維持するための複数のコントロールが用意されています。 Base Database Serviceは、次のように多層防御の原則を促進します:

DBシステムの仮想マシンは、Oracle Linux 7に基づいて強化されたオペレーティング・システム・イメージから構築されます。インストール・イメージが必要なソフトウェア・パッケージのみに制限し、不要なサービスを無効にして、システム全体にセキュアな構成パラメータを実装することで、コア・オペレーティング環境を保護します。
成熟したOracle Linuxプラットフォームのすべての強みを継承するだけでなく、追加のセキュアなデフォルト構成の選択肢がサービス・インスタンスで実装されます。たとえば、すべてのデータベース表領域には、透過的データ暗号化(TDE)、初期データベース・ユーザーおよびスーパーユーザーに対する強力なパスワード強制、拡張監査およびイベント・ルールが必要です。
Base Databaseサービスも完全なデプロイメントおよびサービスを構成し、PCI、HIPPA、ISO27001などの業界標準の外部監査の対象となります。これらの外部監査要件により、ウイルス対策スキャン、システムへの予期しない変更の自動アラート、フリート内のすべてのOracle管理インフラストラクチャ・システムの脆弱性スキャンなど、付加価値サービス機能が追加されます。

サービスおよびユーザーに対する最小限の権限付与

Oracleセキュア・コーディング標準には、最小権限のパラダイムが必要です。アプリケーション、サービスおよびユーザーがタスクを実行するために必要な機能にアクセスできるようにすることは、最小権限の原則の1つの側面にすぎません。不要な機能、サービスおよびインタフェースへのアクセスを制限することが、同様に重要です。基本データベース・サービスは、最小権限の原則を次のように促進します:

各プロセスおよびデーモンは、より高いレベルの特権の要件を証明できる場合を除き、通常の特権のないユーザーとして実行する必要があります。これにより、予期しない問題や、権限のないユーザー領域に対する脆弱性が含まれ、システム全体が危険にさらされることがなくなります。
この原則は、メンテナンスまたはトラブルシューティングのために、個々の名前付きアカウントを使用してインフラストラクチャにアクセスするOracle操作チーム・メンバーにも適用されます。必要な場合にのみ、より高いレベルの権限への監査アクセスを使用して問題を解決または解決します。ほとんどの問題は自動化によって解決されるため、自動化で問題を解決できない場合を除き、人間のオペレータにシステムへのアクセスを許可しないことで最小の権限を採用しています。

イベントおよびアクションの監査および説明責任

システムは、インシデントの発生を認識して通知できる必要があります。同様に、インシデントを元に戻すことができない場合、組織は適切なアクションを実行するためにその発生を識別できる必要があります。 Base Database Serviceでは、次の方法で監査とアカウンタビリティが推奨されます:

監査と説明責任により、Oracleとユーザーの両方が、システムで実行されたアクティビティとその時間を認識できます。これらの詳細により、外部監査のレポート要件への準拠が保証されるだけでなく、予期しない動作の原因となったアクティビティの識別にも役立ちます。
すべてのアクションが確実に取得されるように、すべてのインフラストラクチャ・コンポーネントに対して監査機能が提供されます。ユーザーは、データベースおよびユーザー・ドメイン(domU)構成の監査を構成し、他のエンタープライズ監査システムとの統合を選択することもできます。
OracleはユーザーdomUにアクセスしません。

クラウド操作の自動化

システムのプロビジョニング、パッチ適用、メンテナンス、トラブルシューティングおよび構成に必要な手動操作を排除することで、エラーの可能性が低くなり、安全な構成が確保されます。

Base Database Serviceは、すべてのプロビジョニング、構成および他のほとんどの操作タスクを自動化して、セキュアになるように設計されています。自動化することで、構成の欠落を回避し、システムへの必要なすべてのパスが正しく構成されていることを確認できます。

セキュリティ機能

このトピックでは、ベース・データベース・サービスで使用可能なセキュリティ機能について説明します。

基本データベース・サービスには、次のセキュリティ機能があります:

ハードニングされたOSイメージ
攻撃対象領域の最小化
追加のセキュリティ機能使用可能
セキュアなアクセス方法
監査およびロギング

ハードニングされたOSイメージ

最小限のパッケージ・インストール: 効率的なシステムを実行するために必要なパッケージのみがインストールされます。インストールするパッケージのセットを小さくすると、オペレーティング・システムの攻撃対象領域が減少し、システムの安全性が向上します。
セキュアな構成: 多くのデフォルト以外の構成パラメータは、システムおよびそのコンテンツのセキュリティ状態を強化するためにインストール時に設定されます。たとえば、SSHは特定のネットワーク・インタフェースでのみリスニングするように構成され、sendmailはローカル・ホスト接続のみを受け入れるように構成され、他の多くの同様の制限がインストール時に実装されます。
必要なサービスのみを実行: システムにインストールされているが、通常の操作には必要ないサービスは、デフォルトで無効になっています。たとえば、NFSはアプリケーションの様々な目的のためにユーザーによって頻繁に構成されるサービスですが、通常のデータベース操作には必要ないため、デフォルトでは無効です。ユーザーは、要件に従ってオプションでサービスを構成できます。

攻撃対象領域の最小化

ハードニングされたイメージの一部として、サービスの提供に必要なソフトウェアのみをインストールして実行することで、攻撃対象領域が削減されます。

追加のセキュリティ機能使用可能

Base Database Serviceは、デフォルトでセキュアに設計されており、ネットワーク・ファイアウォール制御からアクセス制御ポリシーまで、完全なセキュリティ・スタックを提供します。
FIPS、SE Linux、およびSTIGをさらに有効にして、dbcli secure-dbsystem CLIを使用してシステムのセキュリティを向上させることができます。
STIGツールは、プロビジョニングされたシステムの各システム・ノードでDISA Oracle Linux 7 STIGへのコンプライアンスを強化するために提供されています。

セキュアなアクセス方法

強力な暗号を使用して、SSHを介してデータベース・サーバーにアクセスします。弱い暗号はデフォルトで無効になっています。
暗号化されたOracle Net接続を介してデータベースにアクセスします。デフォルトでは、サービスは暗号化されたチャネルを使用して使用でき、デフォルトで構成されたOracle Netクライアントは暗号化されたセッションを使用します。

監査およびロギング

デフォルトでは、監査およびロギングによって、オペレーティング・システムの提供内容から商用デプロイメントの追加構成は追加されませんが、STIGを有効にしてセキュリティ設定を追加することで、それを改善できます。

詳細は、次を参照してください。

ユーザー・セキュリティ

このトピックでは、ベース・データベース・サービスで使用可能なユーザー・セキュリティについて説明します。 Base Database Serviceコンポーネントは、複数のユーザー・アカウントによって定期的に管理されます。 Oracleでは、トークン・ベースのSSHログインのみを使用および推奨します。 Oracleユーザーまたはプロセスは、パスワード・ベースの認証を使用しません。

デフォルトでは、次の種類のユーザーが作成されます:

デフォルト・ユーザー: ログオン権限なし
デフォルト・ユーザー: ログイン権限あり

デフォルト・ユーザー: ログオン権限なし

このユーザー・リストは、デフォルトのオペレーティング・システム・ユーザーで構成されます。これらのユーザーは変更しないでください。これらのユーザーはシステムにログインできません。

bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
polkitd:x:999:996:User for polkitd:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the 
tcsd daemon:/dev/null:/sbin/nologin
sssd:x:998:994:User for sssd:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
dhcpd:x:177:177:DHCP server:/:/sbin/nologin
saslauth:x:997:76:Saslauthd user:/run/saslauthd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin

デフォルト・ユーザー: ログイン権限あり

これらの特権ユーザーは、システム内のほとんどのタスクの実行を担当します。これらのユーザーは、実行中のシステムに重大な影響を及ぼすため、変更または削除しないでください。ログインにはSSHキーが使用されます。

ログイン権限を持つデフォルトのユーザーのリストを次に示します。

rootはLinuxの要件です。ローカル特権コマンドの実行には慎重に使用されます。ルートは、TFAエージェントなどの一部のプロセスにも使用されます。 RDBMSソフトウェアのライフサイクル操作(パッチ適用、データベースの作成など)を実行するローカル・エージェント(DCSエージェント)を実行
oracleは、Oracle Databaseソフトウェアのインストールを所有し、RDBMSプロセスを実行します。
gridは、Oracle Grid Infrastructureソフトウェアのインストールを所有し、GIプロセスを実行します。
opcは、自動化タスクのOracle Cloud自動化で使用されます。ユーザーは、(自動化機能をサポートするために)追加の認証なしで特定の特権コマンドを実行できます。
mysqlは重要なユーザーであり、DCSエージェントのメタストアを所有するため、DCSエージェントを正常に操作するには起動して実行している必要があります。

root:x:0:0:root:/root:/bin/bash
opc:x:54322:54323::/home/opc:/bin/bash
mysql:x:54323:54331::/home/mysql:/bin/bash
grid:x:102:1001::/home/grid:/bin/bash
oracle:x:101:1001::/home/oracle:/bin/bash

セキュリティ設定

このトピックでは、ベース・データベース・サービスで使用可能なセキュリティ設定について説明します。システムで提供されるデフォルトのセキュリティ設定を次に示します。

表 - セキュリティ設定とデフォルト値

セキュリティ設定	デフォルト値
パスワードの複雑性	パスワードの最小長: 15 同じ文字クラスから連続して繰り返される最大文字数までのパスワード: 4 パスワード連続繰返し文字の最大数: 3 パスワード強度最小桁数: 1 パスワードの強度の最小カテゴリ: 4 パスワード強度の最小文字数: 8 パスワード強度の最小特殊文字数: 1 パスワードの強度の最小小文字数: 1 パスワード強度の最小大文字数: 1
ユーザー・アカウント構成	パスワードを使用できる最大日数: 60 パスワード変更間で許可される最小日数: 1 暗号化ハッシュ・アルゴリズム: SHA512 ログオン失敗遅延: 4秒
無効なオプション	無効になっているCtrl-Alt-Delリブート DCCPサポートが無効 USBストレージ・デバイスが無効 X Windowsパッケージ・グループが削除されました
SSH構成	SSHプロトコル2のみが許可されます権限分離の使用の有効化 SSHアイドル・タイムアウト間隔: 600秒 GSSAPI認証が無効圧縮を遅延に設定システムへのSSHログオンが許可されている証明書が信頼されていません SSHデーモンは既知のホスト認証を使用した認証を許可しません
パッケージ	更新されたバージョンのインストール後にすべてのソフトウェア・コンポーネントを削除システムは、未検証のソフトウェア、パッチ、サービス・パック、デバイス・ドライバ、またはオペレーティング・システム・コンポーネントのローカル・パッケージのインストールを防止
ロギング	システムおよびカーネル・メッセージはリモート・ホスト(rsyslog)に送信されます rsyslogに記録するように構成されたCron 定期的な実行のためのAIDEの構成
その他	シングル・ユーザーおよびメンテナンス・モードへのブート時に必要な認証対話型セッション・タイムアウト: 600秒 SSSDデバイスで構成されたPAM パスワードの暗号化された表現のみを格納するように構成されたPAMシステム・サービス構成されたSSSD LDAPバックエンド・クライアントのCA証明書のロケーションすべてのトランザクションでTLSを使用する構成済SSSD LDAPバックエンドパスワードの期限切れ後にアカウントを無効にしますグループ・アカウント管理ユーティリティは、パスワードの暗号化された表示のみを格納するように構成されます

また、デフォルトでONSRリージョンでは、FIPS、SE LinuxおよびSTIGが要件標準に準拠できます。追加の構成を有効にすることで、システム・セキュリティを向上させることができます。構成標準(STIG)は、もっとも制限された標準に従い、DISA Oracle Linux 7 STIGによるセキュリティ・コンプライアンスを向上するように設定できます。 FIPS、SE LinuxおよびSTIGを有効にするツールは、イメージの一部として提供されます。

詳細は、次を参照してください。

セキュリティ処理

このトピックでは、ベース・データベース・サービスで使用可能なデフォルトのセキュリティ・プロセスについて説明します。次に、domUとも呼ばれるユーザー仮想マシン(DBシステム)でデフォルトで実行されるプロセスのリストを示します。

表 - セキュリティ・プロセス

プロセス説明

プロセス	説明
domUエージェント	データベース・ライフサイクル操作を処理するためのクラウド・エージェントです。 `root`ユーザーとして実行しますプロセス表では、次のjar名を使用してjavaプロセスとして実行されていることを示しています: `dcs-agent-VersionNumber-SNAPSHOT.jar` `dcs-admin-VersionNumber-SNAPSHOT.jar`
TFAエージェント	Oracle Trace File Analyzer (TFA)では、1つのバンドルに複数の診断ツールが提供されるため、Oracle DatabaseおよびClusterwareに関する診断情報を収集しやすくなり、Oracle Supportの処理時に問題の解決に役立ちます。 `root`ユーザーとして実行します `initd`デーモンとして実行(`/etc/init.d/init.tfa`) プロセス表はjavaアプリケーションを示しています(`oracle.rat.tfa.TFAMain`)
データベースおよびGI (クラスタウェア)	`oracle`および`grid`ユーザーとして実行されます一部のCRS/クラスタウェア・デーモン・プロセスは、`root`ユーザーとして実行されますプロセス表には、次のアプリケーションが示されます: `ora_`, `apx_`, `ams_`、および`oracle+ASM` `mysqld`と`zookeeper` `/u01/<version>/grid/*`からのその他のプロセス

domUエージェント

データベース・ライフサイクル操作を処理するためのクラウド・エージェントです。

rootユーザーとして実行します
プロセス表では、次のjar名を使用してjavaプロセスとして実行されていることを示しています:
- dcs-agent-VersionNumber-SNAPSHOT.jar
- dcs-admin-VersionNumber-SNAPSHOT.jar

TFAエージェント

Oracle Trace File Analyzer (TFA)では、1つのバンドルに複数の診断ツールが提供されるため、Oracle DatabaseおよびClusterwareに関する診断情報を収集しやすくなり、Oracle Supportの処理時に問題の解決に役立ちます。

rootユーザーとして実行します
initdデーモンとして実行(/etc/init.d/init.tfa)
プロセス表はjavaアプリケーションを示しています(oracle.rat.tfa.TFAMain)

データベースおよびGI (クラスタウェア)

oracleおよびgridユーザーとして実行されます
一部のCRS/クラスタウェア・デーモン・プロセスは、rootユーザーとして実行されます
プロセス表には、次のアプリケーションが示されます:
- ora_*, apx_*, ams_*、およびoracle+ASM*
- mysqldとzookeeper
- /u01/<version>/grid/*からのその他のプロセス

ネットワーク・セキュリティ

このトピックでは、ベース・データベース・サービスのネットワーク・セキュリティについて説明します。ユーザー仮想マシン(DBシステム)でデフォルトで実行されるデフォルトのポート、プロセスおよびiptablesルール(domUとも呼ばれる)のリストを次に示します。

domUサービスのポート

次の表に、domUサービスのデフォルト・ポートのリストを示します。

表 - domUサービスのデフォルトのポート・マトリックス

インタフェースのタイプ	インタフェースの名前	ポート	実行プロセス
すべてのインタフェースでリスニング	0.0.0.0	22	SSH
		1522	RDBMS: TNSリスナー
		7060	DCS管理
		7070	DCSエージェント
		2181	Zookeeper
		8888, 8895	RAC: Quality of Management Service (QOMS)サーバー
		9000	RAC: Oracle Clusterware
		68	DHCP
		123	NTP
		5353	マルチキャストDNS
カスタム・インタフェース	ens3	1521	RDBMS: TNSリスナー
	ens3	5000	RDBMS: Autonomous Health Framework(AHF)(TFAを含む)
	ens3:1	1521	RDBMS: TNSリスナー
	ens3:2	1521	RDBMS: TNSリスナー
	ens3:3	1521	RDBMS: TNSリスナー
クラスタ相互接続	ens4	1525	RDBMS: TNSリスナー
		2888	Zookeeper
		3888	Zookeeper
		6000	RAC: グリッド・プロセス間通信
		7000	RAC: 高可用性サービス

domUのiptablesルール

デフォルトのiptablesは、入力、転送および出力チェーンでACCEPT接続に設定されます。

domUサービスのデフォルトのiptablesルールを次に示します:

CHAIN INPUT
CHAIN FORWARD
CHAIN OUTPUT

例 - iptablesルール

次の例では、domUサービスのデフォルトのiptablesルールを示します。

iptables -L -n -v

出力:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  43M  110G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 2664  224K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
40793 2441K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  ens4   *       0.0.0.0/0            0.0.0.0/0
    3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
   40  2400 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:1521 /* Required for access to Database Listener, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:5000 /* Required for TFA traffic.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:6200 /* This rule is recommended and enables the Oracle Notification Services (ONS) to communicate about Fast Application Notification (FAN) events.  */
  343 20580 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7070 /* Required for instance management by the Database Service, Do not remove or modify.  */
  132  7920 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7060 /* Required for instance management by the Database Service, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:22 /* Required for instance management by the Database Service, Do not remove or modify.  */
    3   424 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain OUTPUT (policy ACCEPT 51078 packets, 3218K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      ens4    0.0.0.0/0            0.0.0.0/0
  52M  170G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 8003  548K InstanceServices  all  --  *      *       0.0.0.0/0            169.254.0.0/16
  
Chain InstanceServices (1 references)
 pkts bytes target     prot opt in     out     source               destination
   11   660 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.2.0/24       owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
  678 63323 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.3          owner UID match 0 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.4          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
 2569  195K ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:123 /* Allow access to OCI local NTP service */
 4727  284K ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
   15  4920 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:67 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:69 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            169.254.0.0/16       tcp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with tcp-reset
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            169.254.0.0/16       udp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with icmp-port-unreachable

セキュリティ設定のユーザー職責

このトピックでは、ベース・データベース・サービスのセキュリティ設定に対するOracle Cloud操作職責およびユーザー職責について説明します。次の表に、Oracle Cloud操作およびユーザーが実行する必要があるセキュリティ設定のリストを示します。

表 - Oracle Cloud様々な操作の操作およびユーザー職責

操作	Oracle Cloud Platform		ユーザー / テナント・インスタンス
操作	Oracle Cloud職責	ユーザー職責	Oracle Cloud職責	ユーザー職責
DATABASE DEPLOYMENT	Base Database Serviceデプロイメントのソフトウェア・インフラストラクチャおよびガイダンス	ネットワーク管理者: クラウド・ネットワーク・インフラストラクチャ(VCNとサブネット、ゲートウェイなど)を構成します。データベース管理: データベース要件(メモリー、ストレージ、計算、データベース・バージョン、データベース・タイプなど)を設定します。	オペレーティング・システム、データベースおよびGrid Infrastructureシステムのインストール(選択されている場合)	データベース管理: 必要に応じて、ワークロード(アップグレード/ダウングレード・リソース)に基づいて、Oracle Databaseソフトウェア・バージョン、仮想マシン要件のシェイプ(CPU/メモリー)、データ・ストレージおよびリカバリ・ストレージ構成のサイズ・リソースを更新します。
MONITORING	物理的なセキュリティ、インフラストラクチャ、コントロール・プレーン、ハードウェア障害、可用性、容量	必要なものはありません	ユーザー・サービスのユーザー・モニタリングをサポートするインフラストラクチャの可用性。	データベース管理: ユーザー・オペレーティング・システム、データベース、アプリケーションおよびGrid Infrastructureのモニタリング
インシデント管理と解決	インシデント管理と修正による部品と現場への派遣	必要なものはありません	基礎となるプラットフォームに関連するインシデントのサポート	データベース管理: ユーザー・アプリのインシデント管理と解決
PATCH MANAGEMENT	ハードウェアのプロアクティブなパッチ適用、IaaS/PaaS制御スタック	必要なものはありません	使用可能なパッチ(Oracle Databaseパッチ・セットなど)のステージング	データベース管理: テナント・インスタンスのパッチ適用、テスト OS管理: OSへのパッチ適用
バックアップとリストア	インフラストラクチャおよびコントロール・プレーンのバックアップおよびリカバリ、ユーザー仮想マシンの再作成	必要なものはありません	実行中のユーザーがアクセス可能な仮想マシンを提供	データベース管理: Oracleネイティブまたはサードパーティ機能を使用したユーザーIaaSおよびPaaSデータのスナップショット / バックアップおよびリカバリ

追加のセキュリティ機能の有効化

Base Databaseサービスには、次の追加のセキュリティ機能があります:

dbcli NetSecurity
OCI Vault統合
FIPSを有効にするCLI

dbcli NetSecurity

dbcli NetSecurityでは、ネットワークを通過するデータの暗号化が処理されます。データがOracle Databaseからサード・パーティまたはサーバーからクライアントに移動する場合は、送信者側で暗号化し、レシーバ側で復号化する必要があります。 NetSecurityでは、プロビジョニングおよびデータベース・ホームの作成操作中に、ルールがクライアントとサーバーの両方のデフォルト値を使用して構成されます。 dcs-agent CLIインタフェースには、これらのNetSecurityルールを更新し、暗号化アルゴリズム、整合性アルゴリズムおよび接続タイプのセキュリティを強化するコマンドが用意されています。

デフォルトでは、dcs-agentはデータベース・ホームに対して次のデフォルト・ルールを構成します:

SQLNET.ENCRYPTION_SERVER=REQUIRED
SQLNET.CRYPTO_CHECKSUM_SERVER=REQUIRED
SQLNET.ENCRYPTION_TYPES_SERVER=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER=(SHA1)
SQLNET.ENCRYPTION_CLIENT=REQUIRED
SQLNET.CRYPTO_CHECKSUM_CLIENT=REQUIRED
SQLNET.ENCRYPTION_TYPES_CLIENT=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT=(SHA1)

設定の更新の詳細は、「Oracle Database CLIリファレンス」を参照してください。

OCI Vault統合

Base Database Serviceは、すべてのOCI商用リージョンのOCI Vaultサービスと統合されました。データベースを保護するOCI Vault内でTDEマスター・キーを作成および管理できるようになりました。この機能を使用すると、OCI Vaultサービスの使用を開始して、マスター暗号化キーを格納および管理できます。データベースの保護に使用されるOCI Vaultキーは、高可用性、耐久性およびマネージド・サービスに格納されます。

ノート:

OCI Vault統合は、Oracle Databaseバージョン19.13以降でのみ使用できます。

OCI VaultとBase Database Serviceの統合により、次のことが可能になります:

Base Database ServiceでOracle Databasesをプロビジョニング中にOCI Vaultベースのキー暗号化を有効にすることで、TDEマスター・キーを一元的に制御および管理します。
キーが連邦情報処理標準(FIPS) 140-2セキュリティ・レベル3のセキュリティ認証を満たすハードウェア・セキュリティ・モジュール(HSM)によって保護される、可用性と耐久性が高く、管理されたサービスにTDEマスター・キーを格納します。
セキュリティ・コンプライアンスを維持し、人員が変更された場合にはデータベースへのアクセスを無効にするために、暗号化キーを定期的にローテーションします。
Oracle管理キーから既存のデータベースのユーザー管理キーに移行します。
独自のキー(BYOK (Bring Your Own Key)を取得し、ユーザー管理の暗号化でデータベースを作成する際に使用します。

ノート:

BYOKは、コンテナ・データベース(CDB)にのみ適用できます。プラガブル・データベース(PDB)には、自動的に生成された新しいキー・バージョンが割り当てられます。
ユーザー管理の暗号化を使用するOracle Databasesは、DBシステムのクローニング、インプレース・リストア、アウト・オブ・プレース・リストア、リージョン内Data Guard構成およびPDBの作成やローカル・クローニングなどのPDB固有の操作をサポートします。

FIPSを有効にするCLI

Oracleは、商用ユーザーがデフォルトでセキュリティを向上するためのツールを提供しています。このツールは、FIPS、SE Linux、およびSTIGが最も厳格な標準に従うようにするために使用されます。

詳細は、「DB SystemコンポーネントでのFIPS、SE LinuxおよびSTIGの有効化」を参照してください。