すべてのUS Government Cloud顧客の場合

このトピックでは、FedRAMP High Joint Authorization Board認可のUS Government Cloud DISA Impact Level 5認可US Federal Cloudの両方に共通の情報を示します。

共同責任

政府向けのOracle Cloud Infrastructureは、エンタープライズ・クラウド・サービスを保護するための、クラス最高のセキュリティ・テクノロジおよび運用プロセスを提供します。ただし、ワークロードを安全に実行するには、セキュリティおよびコンプライアンスに対する責任を認識する必要があります。設計上、クラウド・インフラストラクチャと運用のセキュリティ(クラウド・オペレータのアクセス制御、インフラストラクチャ・セキュリティのパッチ適用など)はOracleが提供し、クラウド・リソースを安全に構成することはユーザーの責任です。クラウドのセキュリティは、ユーザーとOracleの間で共有される責任です。

Oracle Cloudでの共同責任の詳細は、次のホワイトペーパーを参照してください:

テナンシのアイデンティティ・プロバイダの設定

Government Cloudのお客様は、機関のコンプライアンス要件を満たし、共通アクセス・カード/個人識別情報検証カード(CAC/PIV)認証をサポートする独自のアイデンティティ・プロバイダを導入する必要があります。CAC/PIV認証もサポートするSAML 2.0準拠のアイデンティティ・プロバイダでOracle Cloud Infrastructureをフェデレートできます。フェデレーションの設定手順は、アイデンティティ・プロバイダによるフェデレートを参照してください。

Oracle Cloud Infrastructureのデフォルト管理者ユーザーおよびその他の非フェデレーテッド・ユーザーの削除

組織がOracleアカウントおよびアイデンティティ・ドメインにサインアップすると、Oracleによってアカウントのデフォルト管理者が設定されます。この個人は、会社の最初のIAMユーザーとなり、テナンシへの完全な管理者アクセス権を持ちます。このユーザーはフェデレーションを設定できます。

選択したアイデンティティ・プロバイダでフェデレーションを正常に設定したら、デフォルトの管理者ユーザーおよびテナンシの設定を支援するために追加した他のIAMサービス・ローカル・ユーザーを削除できます。ローカルの非フェデレーテッド・ユーザーを削除すると、選択したアイデンティティ・プロバイダのユーザーのみがOracle Cloud Infrastructureにアクセスできます。

デフォルト管理者を削除するには:

  1. アイデンティティ・プロバイダを通じてコンソールにサインインします。

    詳細情報
    1. サポートされているブラウザを開き、Government CloudコンソールURLに移動します。

    2. クラウド・テナントを入力し、「続行」をクリックします。
    3. 「シングル・サインオン」ペインで、アイデンティティ・プロバイダを選択し、「続行」をクリックします。サインインするためにアイデンティティ・プロバイダにリダイレクトされます。

    4. ユーザー名とパスワードを入力します。
  2. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。ユーザーのリストが表示されます。
  3. 「ユーザー・タイプ」フィルタで、「ローカル・ユーザー」のみを選択します。
  4. ローカル・ユーザーごとに、アクション・アイコン(3つのドット)に移動し、「削除」をクリックします。

共通アクセス・カード/個人識別情報検証カードを使用したコンソールへのサインイン

アイデンティティ・プロバイダでCAC/PIV認証を設定し、Oracle Cloud Infrastructureと正常にフェデレートすると、CAC/PIV資格証明を使用してOracle Cloud Infrastructure Consoleにサインインできるようになります。実装の詳細は、アイデンティティ・プロバイダのドキュメントを参照してください。

一般に、サインイン・ステップは次のとおりです:

  1. CAC/PIVカードをカード・リーダーに挿入します。
  2. Oracle Cloud Infrastructure Consoleのサインイン・ページに移動します。
  3. プロンプトが表示された場合は、クラウド・テナント名を入力し、「続行」をクリックします。
  4. シングル・サインオン・プロバイダを選択し、「続行」をクリックします。
  5. アイデンティティ・プロバイダのサインオン・ページで、適切なカード(たとえば、PIVカード)を選択します。
  6. 証明書ピッカーが提示された場合は、組織によって設定された適切な証明書またはその他の属性を選択します。
  7. プロンプトが表示されたら、PINを入力します。

仮想クラウド・ネットワークのIPv6サポート

IPv6アドレス指定は、すべての商用リージョンおよび政府リージョンでサポートされています。政府のお客様には、VCNのIPv6アドレス指定を有効にするオプションがあります。詳細は、IPv6アドレスを参照してください。

コンピュート・ホストのセキュア・アクセスの設定

サードパーティ・ツールを使用してCAC/PIV認証を設定して、コンピュート・ホストにセキュアに接続するためのマルチファクタ認証を有効にできます。ツールの例として、PuTTY-CAC for WindowsやOpen SC for macOSがあります。詳細は、米国政府WebサイトのPIVの使用のガイドラインを参照してください。

オペレーティング・システムのFIPSモードの有効化

Government Cloudのお客様には、使用するコンピュート・ホストのオペレーティング・システムに対してFIPSモードを有効にする責任があります。オペレーティング・システムをFederal Information Processing Standard (FIPS) Publication 140-2に準拠させるには、オペレーティング・システムのガイドラインに従います:

Oracle Linux

Oracle LinuxでのFIPSモードの有効化に記載されているガイダンスに従います。

Ubuntu

Ubuntuセキュリティ証明書に記載されているガイダンスに従います。

Windows Server 2012

Webコンソールとレポート サーバー接続のデータの暗号化に記載されているガイダンスに従います。

Windows Server 2016およびWindows Server 2019

最初に、FIPS準拠アルゴリズムを使用する方法に記載されているガイダンスに従います。

次に、Microsoftドキュメント(FIPS 140の検証)に移動し、システム・インテグレータの情報のトピックに移動します。FIPSの有効化を完了するには、「ステップ2 – FIPSローカル/グループ・セキュリティ・ポリシー・フラグの設定」の指示に従います。

CentOS

次のガイダンスは、CentOS 7.5でFIPSを有効にするためのものです。これらの手順は、VMとベア・メタル・インスタンスの両方に対して、NATIVEモードのみで有効です。これらの手順は、必要に応じてエミュレート・モードとPVモードの両方に対して変更できます。この手順は、カーネルを除く厳密なFIPS暗号モジュールを含むインスタンスを提供します。ただし、カーネル・モジュールは同じメジャー/マイナー・バージョンでもリビジョンで高速化されるため、ほとんどのFIPS準拠モデル下で準拠とみなすことができます。

この手順の完了後、システム全体のyum更新は実行しないことを強くお薦めします。システム全体の更新では、ここに含まれているFIPSモジュールが削除されます。

カーネル、FIPSモジュールおよびFIPSソフトウェアのバージョンが最小バージョンであることの確認:

  1. カーネル・パッケージの現在のバージョンが要件を満たしていることを確認します:

    1. 現在のバージョン: kernel-3.10.0-693.el7
    2. rpm -qa | grep kernel-3を実行します

  2. 次を実行し、メジャー・バージョンまたはマイナー・バージョンが要件と同じであることを確認します。

    1. 次を実行します

      yum list <package_name>
    2. メジャー/マイナー・バージョンが必要なバージョンと一致していることを確認します。

      必須のパッケージとバージョンは次のとおりです:

      • fipscheck - fipscheck-1.4.1-6.el7
      • hmaccalc - hmaccalc-0.9.13-4.el7

      • dracut-fips - dracut-fips-033-502.el7

      • dracut-fips-aesni - dracut-fips-aesni-033-502.el7

    3. インストールされていないパッケージのバージョンごとに、次を実行します

      yum install <package_name>
  3. 次のパッケージをダウンロードしてインストールします:
    1. パッケージはすでにイメージの一部としてインストールされています:
      1. preinstallというディレクトリを作成します。

      2. このディレクトリに次のパッケージをダウンロードします:

        openssl、openssl-libs – 1.0.2k-8.el7

        nss、nss-tools、nss-sysinit – 3.28.4-15.el7_4

        nss-util – 3.28.4-3.el7

        nss-softokn、nss-softokn-freebl – 3.28.3-8.el7_4

        openssh、openssh-clients、openssh-server – 7.4p1-11.el7

      3. preinstallディレクトリで、次を実行します

        yum - -nogpgcheck downgrade *.rpm
    2. イメージに追加するパッケージ:
      1. newpackagesというディレクトリを作成します。
      2. このディレクトリに次のパッケージをダウンロードします:

        libreswan – 3.20-3.el7

        libgcrypt – 1.5.3-14.el7

        gnutls – 3.3.26-9.el7

        gmp – 6.0.0-15.el7

        nettle – 2.7.1-8.el7

      3. newpackagesディレクトリで、次を実行します

         yum - -nogpgcheck localinstall *.rpm

このインストールに使用されるパッケージのURL:

Preinstall:

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-3.28.4-15.el7_4.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-util-3.28.4-3.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-tools-3.28.4-15.el7_4.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-sysinit-3.28.4-15.el7_4.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-softokn-freebl-3.28.3-8.el7_4.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nss-softokn-3.28.3-8.el7_4.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/openssl-1.0.2k-8.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/openssl-libs-1.0.2k-8.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/openssh-7.4p1-11.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/openssh-clients-7.4p1-11.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/openssh-server-7.4p1-11.el7.x86_64.rpm

Newpackages:

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/libreswan-3.20-3.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/libgcrypt-1.5.3-14.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/gnutls-3.3.26-9.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/gmp-6.0.0-15.el7.x86_64.rpm

http://linuxsoft.cern.ch/cern/centos/7/updates/x86_64/Packages/nettle-2.7.1-8.el7.x86_64.rpm

カーネルFIPSモジュールおよびinitramfs検証のインストール。

次の手順をrootとして実行します:

  1. dracutを再生成します:

    dracut -f -v
  2. fips引数をデフォルトのカーネル・ブート・コマンド行の末尾に追加します:

    1. /etc/default/grubを編集します

    2. "GRUB_CMDLINE_LINUX"で始まる行の末尾で、

      fips=1 

      をコマンドの二重引用符内に追加します。

    3. 結果を保存します。

  3. 新しいgrub.cfgを生成します:

    grub2-mkconfig -o /etc/grub2-efi.cfg

暗号化アルゴリズムを制限するようにSSHを構成します。

  1. rootへのSudoを実行します。

  2. /etc/ssh/sshd_configを編集します。

  3. ファイルの一番下に次の行を追加します:

    Protocol 2
    Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
    Macs hmac-sha1
    
  4. インスタンスを再起動します。
  5. インスタンスが再起動された後、カーネルでFIPSモードが有効になっていることを確認します:
    1. rootへのSudoを実行します。

    2. 次のコマンドを実行します。

      cat /proc/sys/crypto/fips-enabled

      結果は'1'になります。

個々の機関のガイダンスによる要求に応じてCentOS7/RHEL 7.xシステムをさらに保護するには、OpenSCAPガイドに含まれているチェックリストに従います。このガイドは、https://static.open-scap.org/ssg-guides/ssg-centos7-guide-index.htmlにあります

複数プロファイルでのコンプライアンスを評価するためのSTIGは、https://iase.disa.mil/stigs/os/unix-linux/Pages/index.aspxにあります。CentOS 7.5リリースにはRed Hat Linux 7.x STIGを使用します。

Government Cloudに必要なサイト間VPNパラメータ

Site - to - Site VPNGovernment Cloudとともに使用する場合は、次のFIPS準拠のIPSecパラメータを使用してIPSec接続を構成する必要があります。

一部のパラメータでは、複数の値がサポートされており、推奨値が太字のテキストで強調表示されています。

IKEv1またはIKEv2では次のパラメータがサポートされています。特定のCPEについてドキュメントをチェックし、IKEv1またはIKEv2に対してCPEがどのパラメータをサポートしているかを確認してください。

フェーズ1 (ISAKMP)

パラメータ オプション
ISAKMPプロトコル

バージョン1

交換タイプ

メイン・モード

認証方式

事前共有キー *

暗号化アルゴリズム

AES-256-cbc (推奨)

AES-192-cbc

AES-128-cbc

認証アルゴリズム

SHA-2 384 (推奨)

SHA-2 256

SHA -1 (SHAまたはSHA1-96とも呼ばれる)

Diffie-Hellmanグループ

グループ14 (MODP 2048)

グループ19 (ECP 256)

グループ20 (ECP 384) (推奨)

IKEセッション・キー存続期間

28800秒(8時間)

*事前共有キーでは、数字、文字およびスペースのみ使用できます。

フェーズ2 (IPSec)

パラメータ オプション
IPSecプロトコル

ESP、トンネル・モード

暗号化アルゴリズム

AES-256-gcm (推奨)

AES-192-gcm

AES-128-gcm

AES-256-cbc

AES-192-cbc

AES-128-cbc

認証アルゴリズム

GCM (Galois/Counter Mode)を使用する場合、GCM暗号化に認証が含まれているため、認証アルゴリズムは必要ありません。

GCMを使用していない場合は、HMAC-SHA-256-128を使用します。

IPSecセッション・キー存続期間

3600秒(1時間)

Perfect Forward Secrecy (PFS)

有効、グループ14

OracleのBGP ASN

この項は、FastConnectまたはSite - to - Site VPNのエッジ・デバイスを構成するネットワーク・エンジニアを対象としています。

OracleのGovernment Cloud用のBGP ASNは、認可レベルによって異なります:

  • US Government Cloud: 6142
  • US Federal Cloud (Impact Level 5認可): 20054

FIPS互換Terraformプロバイダ

US Government CloudリージョンでTerraformを使用するには、FIPS互換性の有効化でインストールおよび構成情報を参照してください。

Container Engine for Kubernetes

Container Engine for Kubernetesによってインストールされるコンポーネントは、FIPsに準拠しています。US Government CloudリージョンでContainer Engine for Kubernetesを使用する場合は、基礎となるホストがFIPsに準拠していることも確認する必要があります。

APIゲートウェイのTLS証明書

US Government CloudリージョンでAPIゲートウェイを使用する場合は、次のことを行う必要があります。

  • 承認された認証局からカスタムTLS証明書を取得します。
  • APIゲートウェイのカスタム・ドメイン名とそのパブリックIPアドレスの間のマッピングを、承認済のDNSプロバイダとともに記録します。

インストールおよび構成の詳細は、カスタム・ドメインおよびTLS証明書の設定を参照してください。

Government Cloudテナンシのサービス制限の引上げのリクエスト

サービス制限の引上げをリクエストする必要がある場合は、次の手順を使用してMy Oracle Supportでサービス・リクエストを作成します。

重要

サービス・リクエストの作成

Oracle Government Cloudのサービス・リクエストを作成するには:

  1. My Oracle Supportに移動してログインします。

    Oracle Cloud Supportにサインインしていない場合は、ページの上部にある「Cloud Supportに切替え」をクリックします。

  2. ページ上部の「サービス・リクエスト」をクリックします。
  3. 「技術的SRの作成」をクリックします。
  4. 表示されたメニューから次を選択します:
    • サービス・タイプ: リストからOracle Cloud Infrastructureを選択します。
    • サービス名: 組織に適したオプションを選択します。
    • 問題タイプ: 「アカウント・プロビジョニング、請求および終了」を選択し、サブメニューから「制限の引上げ」を選択します。
  5. 連絡先情報を入力します。
  6. 「説明」を入力し、問題に固有の必須フィールドを入力します。フィールドを適用しない場合は、「n/a」と入力できます。

サービス・リクエストの任意の一般フィールドに関するヘルプや、サービス・リクエストの管理に関する情報は、「Oracle Cloud Support」ページの上部にある「ヘルプ」をクリックしてください。

Oracle Cloud Infrastructure IDの検索

指定するよう求められることのある識別子を検索する場合、次のヒントを参考にしてください:

テナンシOCID (Oracle Cloud識別子)の検索

テナンシOCIDは、Oracle Cloud Infrastructure Console「テナンシ詳細」ページで確認できます:

  1. 「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、テナンシ: <your_tenancy_name>をクリックします。

  2. テナンシOCIDが「テナンシ情報」の下に表示されます。「コピー」をクリックすると、クリップボードにコピーできます。

    テナンシOCIDの場所を示している「テナンシ詳細」ページ

コンパートメントのOCIDの検索

コンパートメントのOCID (Oracle Cloud Identifier)を検索するには:

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「コンパートメント」をクリックします。

    テナンシのコンパートメントのリストが表示されます。

    OCIDの短縮バージョンが各コンパートメントの横に表示されます。

    コンパートメントのOCIDが表示されるコンソール・ページ

  2. 「コピー」をクリックすると、OCIDをクリップボードにコピーできます。次に、それをサービス・リクエスト・フォーム・フィールドに貼り付けることができます。
リソースのOCIDの検索

リソースのOCID (Oracle Cloud Identifier)は、リスト・ビューと詳細ページの両方で、コンソールにリソースを表示すると表示されます。

例: コンピュート・インスタンスのOCIDを取得するには:

  1. コンソールを開きます。
  2. ページの左側にあるリストから、インスタンスが属するコンパートメントを選択します。

    リソースを表示するには、コンパートメントの適切な権限が必要です。

  3. ナビゲーション・メニューを開き、「コンピュート」をクリックします。「コンピュート」で、「インスタンス」をクリックします。選択したコンパートメントのインスタンスのリストが表示されます。
  4. OCIDの短縮バージョンがインスタンス詳細ページに表示されます。

  5. 「コピー」をクリックすると、OCIDをクリップボードにコピーできます。次に、それをサービス・リクエスト・フォーム・フィールドに貼り付けることができます。
カスタマ・サービスID (CSI)の検索

カスタマ・サポートID (CSI)番号は、Oracle Cloud Servicesの購入後に生成されます。この番号は、契約書やテナンシ詳細ページなどの様々な場所にあります。My Oracle Support (MOS)にサポート・リクエストを登録して記録するには、CSI番号が必要です。

ノート

OCI Government CloudリージョンではCSI番号を使用できません。

CSI番号を検索するには:

  1. 「プロファイル」メニュー(ユーザー・メニュー・アイコン)を開き、テナンシ: <your_tenancy_name>をクリックします。

  2. CSI番号が「テナンシ情報」の下に表示されます。

    CSI番号が表示される「テナンシ詳細」ページ

My Oracle Supportの最初の使用

My Oracle Supportでサービス・リクエストを作成するには、Oracle Single Sign On (SSO)アカウントが必要であり、カスタマ・サポートID (CSI)をMy Oracle Supportに登録する必要があります。

ヒント

この手順を開始する前に、CSIを手元に用意しておきます(Government Cloudテナンシのサービス制限の引上げのリクエストを参照)。
SSOアカウントをリクエストしてMy Oracle Supportに登録するには
  1. https://support.oracle.comに移動します。
  2. 新規ユーザーはこちらで登録してくださいをクリックして、Oracle Single Sign On (SSO)アカウントを作成します。

  3. 「電子メール・アドレス」フィールドに会社の電子メール・アドレスを入力し、フォームの残りの部分を完成して「アカウントの作成」をクリックします。確認用の電子メールが生成されます。

  4. 電子メール・アドレスを確認するよう求めるオラクル社からの電子メールの電子メール・アカウントをチェックします。

  5. 電子メールを開き、「電子メール・アドレスを確認」をクリックします。
  6. 設定した資格証明でサインインします。
  7. サインイン時に、「承認者へのノート」および「サポートID」(CSI)を入力するよう求められます。
  8. 「アクセスのリクエスト」をクリックします。

  9. カスタマ・サポートIDを所有する組織の名前の最初の5文字(ウェルカム・レターおよび「マイ・サービス」に表示)を入力して、「検証」をクリックします。表にサポートIDが表示されます。
  10. 「次」をクリックします。
  11. 連絡先情報を入力して「次」をクリックします。
  12. 条件に同意して「次」をクリックします。

カスタマ・ユーザー管理者(CUA)またはOracleサポート(このサポートIDをリクエストしている最初のユーザーである場合)から承認を受けるまで、リクエストのステータスは保留中となります。

以前に登録したが、Oracle Cloud InfrastructureのCSIを追加する必要がある場合
  1. https://support.oracle.comに移動してログインします。
  2. 「マイ・アカウント」ページに移動します: ページのユーザー名に移動し、メニューを開いて「マイ・アカウント」をクリックします。
  3. 「サポートID」リージョンに、ユーザー名が現在関連付けられているアカウントが表示されます。
  4. 「アクセスのリクエスト」をクリックします。
  5. 「承認者へのノート」を入力し、次に「サポートID」(CSI)を入力します。
  6. 「アクセスのリクエスト」をクリックします。
  7. カスタマ・サポートIDを所有する組織の名前の最初の5文字(ウェルカム・レターおよび「マイ・サービス」に表示)を入力して、「検証」をクリックします。表にサポートIDが表示されます。
  8. 「検証」をクリックします。
  9. エントリが検証されます。ダイアログを閉じます。

カスタマ・ユーザー管理者(CUA)から承認を受けるまで、リクエストのステータスは保留中となります。

My Oracle Supportのサインインおよび使用の詳細は、『My Oracle Supportヘルプ』「登録、サインインおよびアクセシビリティ・オプション」を参照してください。