顧客は、VMへのネットワーク・アクセス(顧客VMに実装されているレイヤー2 VLANおよびファイアウォール経由)、VMにアクセスするための認証、VMで実行されているデータベースにアクセスするための認証など、顧客サービスへのアクセスを制御およびモニターします。Oracleは、Oracle管理インフラストラクチャ・コンポーネントへのアクセスを制御およびモニターします。Oracleスタッフは、顧客のVMやデータベースなどの顧客サービスへのアクセスを許可されていません。

顧客は、ポート1521のOracle Netなど、標準のOracle Databaseの接続方法を使用して、顧客機器から顧客VMで実行されているデータベースへのレイヤー2 (タグVLAN)接続を介して、Exadata Cloud@Customerで実行されているOracle Databaseにアクセスします。顧客は、ポート22のトークン・ベースSSHなど、標準のOracle Linuxの方法を使用して、Oracle Databaseが実行されているVMにアクセスします。

• 多層防御

  Exadata Cloud@Customerには、サービス全体の機密性、整合性およびアカウンタビリティを確保するための多くのコントロールがあります。

  まず、Exadata Cloud@Customerは、Exadata Database Machineによって提供される堅牢なオペレーティング・システム・イメージから構築されています。詳細は、Oracle Exadata Database Machineセキュリティの概要を参照してください。これにより、インストール・イメージが必要なソフトウェア・パッケージのみに制限され、不要なサービスが無効になり、システム全体にセキュアな構成パラメータが実装されて、コア・オペレーティング環境が保護されます。

  Exadata Cloud@Customerは顧客のためにシステムをプロビジョニングするため、Exadata Database Machineの成熟したプラットフォームの堅牢さをすべて継承することに加え、追加のセキュアなデフォルト構成が選択されてサービス・インスタンスに実装されます。たとえば、すべてのデータベース表領域には、透過的データ暗号化(TDE)、初期データベース・ユーザーとスーパーユーザー用の厳格なパスワード強制、および拡張監査とイベント・ルールが必要です。

  Exadata Cloud@Customerは、完全なデプロイメントとサービスも構成するため、PCI、HIPPA、ISO27001などの業界標準の外部監査の対象となります。これらの外部監査要件により、ウィルス対策スキャン、システムの予期しない変更に対する自動アラート、フリート内のすべてのOracle管理インフラストラクチャ・システムに対する日次脆弱性スキャンなど、付加価値サービス機能が追加されます。

• 最小権限

  プロセスが必要な権限にのみアクセスできるようにするために、Oracle Secure Coding Standardsでは最小権限のパラダイムが要求されます。

  各プロセスおよびデーモンは、より高いレベルの権限の必要性を証明できる場合を除き、通常の権限のないユーザーとして実行される必要があります。これにより、予期しない問題や、権限のないユーザー領域に対する脆弱性が抑制され、システム全体が危険にさらされることがなくなります。

  この原則は、メンテナンスまたはトラブルシューティングのために、個々の名前付きアカウントを使用してOracle Exadata Cloud@CustomerインフラストラクチャにアクセスするOracle運用チーム・メンバーにも適用されます。必要な場合にのみ、より高いレベルの権限への監査アクセスを使用して問題を解決します。ほとんどの問題は自動化によって解決されるため、自動化で問題を解決できない場合を除き、人間のオペレータにシステムへのアクセスを許可しないことで最小権限を採用しています。

• 監査とアカウンタビリティ

  必要に応じてシステムへのアクセスが許可されますが、すべてのアクセスおよびアクションは、アカウンタビリティのために記録およびトラッキングされます。

  これにより、Oracleと顧客の両方が、システムで何が行われたか、およびいつ行われたかを把握できます。これらの事実は、外部監査のレポート作成ニーズに準拠していることを保証するだけでなく、なんらかの変更をアプリケーションで認識された動作の変更と照合する際にも役立ちます。

  すべてのアクションを取得できるように、すべてのインフラストラクチャ・コンポーネントで監査機能が提供されています。顧客は、データベースおよびゲストVM構成の監査を構成し、それらを他のエンタープライズ監査システムと統合することもできます。

• クラウド操作の自動化

  システムのプロビジョニング、パッチ適用、メンテナンス、トラブルシューティングおよび構成に必要な手動操作をなくすことで、エラーの機会が減少し、セキュアな構成が保証されます。

  このサービスはセキュアになるように設計されており、すべてのプロビジョニング、構成および他のほとんどの操作タスクを自動化することで、構成の欠落を回避し、システムへの必要なすべてのパスを厳重に閉鎖できます。

• 堅牢なオペレーティング・システム・イメージ
  • 最小限のパッケージ・インストール:

    効率的なシステムを実行するために必要なパッケージのみがインストールされます。インストールするパッケージ・セットを小さくすると、オペレーティング・システムの攻撃対象領域が減少し、システムの安全性が向上します。

  • セキュアな構成:

    システムおよびそのコンテンツのセキュリティ状態を強化するために、多くのデフォルト以外の構成パラメータがインストール時に設定されます。たとえば、SSHは特定のネットワーク・インタフェースでのみリスニングするように構成され、sendmailはlocalhost接続のみを受け入れるように構成されるなど、他にも同じような多くの制限がインストール時に実装されます。

  • 必要なサービスのみを実行:

    システムにインストールされているが、通常の操作に必要のないサービスは、デフォルトで無効になっています。たとえば、NFSはアプリケーションの様々な目的のために顧客が頻繁に構成するサービスですが、通常のデータベース操作には必要ないため、デフォルトでは無効になっています。顧客は、要件ごとにオプションでサービスを構成できます。

• 攻撃対象領域の最小化

  堅牢なイメージの一部として、サービスを無効にすることで攻撃対象領域が減少します。

• 追加のセキュリティ機能の有効化(grubパスワード、セキュア・ブート)
  • Exadata Cloud@Customerは、Exadataイメージ機能を利用して、ベース・イメージに統合された機能(grubパスワードやセキュア・ブートなど)を他の多くの機能に加えて使用します。
  • カスタマイズを通じて、顧客は、この章の後半で説明する追加の構成により、セキュリティ状態をさらに強化することができます。
• セキュアなアクセス方法
  • 強力な暗号を使用したSSHを介したデータベース・サーバーへのアクセス。弱い暗号はデフォルトで無効になっています。
  • 暗号化されたOracle Net接続を介したデータベースへのアクセス。デフォルトでは、サービスは暗号化されたチャネルを通じて利用可能で、デフォルトで構成済のOracle Netクライアントは暗号化されたセッションを使用します。
  • Exadata MS Webインタフェース(https)を介した診断へのアクセス。
• 監査とロギング

  デフォルトでは、監査が管理操作に対して有効になっており、それらの監査レコードは、必要に応じて自動レビューおよびアラートを行うためにOCI内部システムに通知されます。

• デプロイメント時の考慮事項
  • ウォレット・ファイルのダウンロードの内容と機密性: デプロイメントを可能にするために顧客が取得するウォレット・ファイルのダウンロードには機密情報が含まれており、内容が保護されるように適切に処理する必要があります。ウォレット・ファイルのダウンロードの内容は、デプロイメントの完了後は必要ないため、情報漏洩が発生しないように破棄する必要があります。
  • コントロール・プレーン・サーバー(CPS):
    • CPSのデプロイメント要件には、CPSがOracleに接続してリモート管理、モニタリングおよびメンテナンスを可能にするためのアウトバウンドHTTPSアクセスの許可が含まれます。詳細は、デプロイメント・ガイドを参照してください。
    • 顧客の責任には、データ・センター内のExadata Cloud@Customer機器への物理セキュリティの提供が含まれます。Exadata Cloud@Customerは多くのソフトウェア・セキュリティ機能を採用していますが、サーバーの内容の安全性を確保するために、顧客の物理セキュリティによって物理サーバーの侵害に対処する必要があります。

Oracle Exadata Cloud@Customerのコンポーネントは通常、複数のユーザー・アカウントで管理されます。すべてのExadata Cloud@Customerマシンで、Oracleは、SSHベースのログインのみを使用および推奨しています。Oracleユーザーまたはプロセスは、パスワード・ベースの認証システムを使用しません。

次に、デフォルトで作成される様々な種類のユーザーについて説明します。

• デフォルト・ユーザー: ログオン権限なし

  このユーザー・リストは、デフォルトのオペレーティング・システム・ユーザーと、exawatchやdbmsvcなどの特殊なユーザーで構成されます。これらのユーザーは変更しないでください。これらのユーザーは、すべて/bin/falseに設定されているため、システムにログインできません。

  • exawatch:

    exawatchユーザーは、データベース・サーバーとストレージ・サーバーの両方でシステム統計を収集およびアーカイブします。

  • dbmsvc:

    ユーザーは、Oracle Exadataシステムのデータベース・ノード・サービスの管理サーバーに使用されます。

  NOLOGINユーザー

  bin:x:1:1:bin:/bin:/bin/false
  daemon:x:2:2:daemon:/sbin:/bin/false
  adm:x:3:4:adm:/dev/null:/bin/false
  mail:x:8:12:mail:/var/spool/mail:/bin/false
  nobody:x:99:99:Nobody:/:/bin/false
  systemd-network:x:192:192:systemd Network Management:/:/bin/false
  dbus:x:81:81:System message bus:/:/bin/false
  rpm:x:37:37::/var/lib/rpm:/bin/false
  sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/bin/false
  rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/bin/false
  nscd:x:28:28:NSCD Daemon:/:/bin/false
  saslauth:x:999:76:Saslauthd user:/run/saslauthd:/bin/false
  mailnull:x:47:47::/var/spool/mqueue:/bin/false
  smmsp:x:51:51::/var/spool/mqueue:/bin/false
  chrony:x:998:997::/var/lib/chrony:/bin/false
  rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/bin/false
  uucp:x:10:14:Uucp user:/var/spool/uucp:/bin/false
  nslcd:x:65:55:LDAP Client User:/:/bin/false
  tcpdump:x:72:72::/:/bin/false
  exawatch:x:1010:510::/:/bin/false
  sssd:x:997:508:User for sssd:/:/bin/false
  tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/bin/false
  dbmsvc:x:12137:11137::/home/dbmsvc:/bin/false

• シェル・アクセスが制限されたデフォルト・ユーザー

  これらのユーザーは、制限されたシェル・ログインを使用して定義済タスクを実行するために使用されます。これらのユーザーは、変更または削除すると定義済タスクが失敗するため、変更しないでください。

  dbmmonitor: dbmmonitorユーザーは、DBMCLIユーティリティに使用されます。詳細は、DBMCLIユーティリティの使用を参照してください。

  制限されたシェル・ユーザー

  dbmmonitor:x:2003:2003::/home/dbmmonitor:/bin/rbash

• ログイン権限を持つデフォルト・ユーザー

  これらの特権ユーザーは、システム内のほとんどのタスクを実行するために使用されます。これらのユーザーは、実行中のシステムに重大な影響を与える可能性があるため、絶対に変更または削除しないでください。

  SSHキーは、顧客スタッフおよびクラウド自動化によるログインに使用されます。

  顧客が追加するSSHキーは、UpdateVmClusterメソッドによって、または顧客VMに直接アクセスして顧客VM内のSSHキーを管理する顧客によって追加されます。キーの識別を可能にするコメントの追加は、顧客の責任で行います。顧客がUpdateVmClusterメソッドによってSSHキーを追加すると、キーはopcユーザーのauthorized_keysファイルにのみ追加されます。

  クラウド自動化キーは一時的なもので、特定のクラウド自動化タスク(VMクラスタ・メモリーのサイズ変更など)に固有であり、一意です。クラウド自動化アクセス・キーは、OEDA_PUB、EXACLOUD_KEY、ControlPlaneというコメントによって識別できます。クラウド自動化キーは、クラウド自動化タスクの完了後に削除されるため、root、opc、oracleおよびgridアカウントのauthorized_keysファイルには、クラウド自動化アクションの実行中はクラウド自動化キーのみが含まれる必要があります。

  特権ユーザー

  root:x:0:0:root:/root:/bin/bash
  oracle:x:1001:1001::/home/oracle:/bin/bash
  grid:x:1000:1001::/home/grid:/bin/bash
  opc:x:2000:2000::/home/opc:/bin/bash
  dbmadmin:x:2002:2002::/home/dbmadmin:/bin/bash

  • root: Linuxの要件で、ローカル特権コマンドを実行するために慎重に使用されます。rootは、Oracle Trace File AnalyzerエージェントやExaWatcherなどの一部のプロセスにも使用されます。
  • grid: Oracle Grid Infrastructureソフトウェア・インストールを所有し、Grid Infrastructureプロセスを実行します。
  • oracle: Oracle Databaseソフトウェア・インストールを所有し、Oracle Databaseプロセスを実行します。
  • opc:
    • Oracle Cloud Automationで自動化タスクに使用されます。
    • (自動化機能をサポートするために)追加認証なしで特定の特権コマンドを実行できます。
    • Oracle DatabaseおよびOracle Grid Infastructureソフトウェアのライフサイクル操作(パッチ適用やデータベース作成など)を実行するローカル・エージェント(DCSエージェントとも呼ばれる)を実行します。
  • dbmadmin:
    • dbmadminユーザーは、Oracle Exadata Database Machineコマンドライン・インタフェース(DBMCLI)ユーティリティに使用されます。
    • データベース・サーバーですべてのサービスを実行するには、dbmadminユーザーを使用する必要があります。詳細は、DBMCLIユーティリティの使用を参照してください。

ゲスト仮想マシンでは、デフォルトで次のグループが作成されます。

root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:
cdrom:x:11:
mail:x:12:
man:x:15:
dialout:x:18:
tape:x:33:
video:x:39:
lock:x:54:
audio:x:63:
nobody:x:99:
users:x:100:
utmp:x:22:
utempter:x:35:
input:x:999:
systemd-journal:x:190:
systemd-network:x:192:
dbus:x:81:
ssh_keys:x:998:
sshd:x:74:
rpm:x:37:
rpc:x:32:
unbound:x:997:
nscd:x:28:
tss:x:59:
saslauth:x:76:
mailnull:x:47:
smmsp:x:51:
chrony:x:996:
rpcuser:x:29:
ldap:x:55:
slocate:x:21:
uucp:x:14:
tcpdump:x:72:
exawatch:x:510:
cgred:x:509:
fuse:x:508:
screen:x:84:
sssd:x:507:
printadmin:x:506:
docker:x:505:
dbmsvc:x:2001:
dbmadmin:x:2002:
dbmmonitor:x:2003:
dbmusers:x:2004:
floppy:x:19:
oinstall:x:1001:
asmdba:x:1004:
asmoper:x:1005:
asmadmin:x:1006:
dba:x:1002:
racoper:x:1003:
opc:x:2000:

root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:
cdrom:x:11:
mail:x:12:
man:x:15:
dialout:x:18:
tape:x:33:
video:x:39:
lock:x:54:
audio:x:63:
users:x:100:
nobody:x:2001:
utmp:x:22:
utempter:x:35:
dbus:x:81:
input:x:999:
kvm:x:36:
render:x:998:
systemd-journal:x:190:
systemd-coredump:x:997:
systemd-resolve:x:193:
tss:x:59:
ssh_keys:x:996:
sshd:x:74:
unbound:x:995:
nscd:x:28:
rpc:x:32:
saslauth:x:76:
mailnull:x:47:
smmsp:x:51:
rpcuser:x:29:
ldap:x:55:
slocate:x:21:
chrony:x:994:
tcpdump:x:72:
cgred:x:993:
fapolicyd:x:992:
printadmin:x:991:
polkitd:x:990:
sssd:x:989:
rpm:x:37:
screen:x:84:
dnsmasq:x:988:
exawatch:x:510:
dbmsvc:x:2002:
dbmadmin:x:2003:
dbmmonitor:x:2004:
dbmusers:x:2005:
uucp:x:14:
floppy:x:19:
mausers:x:2006:
secscan:x:1009:
oinstall:x:1001:
asmdba:x:1004:
asmoper:x:1005:
asmadmin:x:1006:
dba:x:1002:
racoper:x:1003:
opc:x:2000:

Oracle Exadata Database Machineのセキュリティ機能で説明されているすべてのExadata機能に加えて、次のセキュリティ設定も適用されます。

• デフォルト以外のパラメータを使用したカスタム・データベース・デプロイメント。
  コマンドhost_access_controlでは、Exadataセキュリティ設定を構成します:

  • パスワードのエージングおよび複雑性ポリシーを実装します。
  • アカウントのロックアウトおよびセッション・タイムアウト・ポリシーを定義します。
  • リモートのrootアクセスを制限します。
  • 特定のアカウントへのネットワーク・アクセスを制限します。
  • ログイン警告バナーを実装します。
• account-disable: 特定の構成済条件が満たされた場合にユーザー・アカウントを無効にします。
• pam-auth: パスワード変更およびパスワード認証のための様々なPAM設定。
• rootssh: /etc/ssh/sshd_configのPermitRootLogin値を調整して、rootユーザーがSSHを介してログインすることを許可または拒否します。
  • デフォルトでは、PermitRootLoginはwithout-passwordに設定されます。
  • この設定のままにして、このアクセス・パスを使用するクラウド自動化のサブセット(顧客VM OSパッチ適用など)を機能させることをお薦めします。PermitRootLoginをnoに設定すると、クラウド自動化機能のサブセットが無効になります。
• session-limit: /etc/security/limits.confの* hard maxloginsパラメータ(すべてのユーザーの最大ログイン数)を設定します。この制限は、uid=0のユーザーには適用されません。

  デフォルトは* hard maxlogins 10で、これは推奨されるセキュアな値です。

• ssh-macs: 使用可能なメッセージ認証コード(MAC)アルゴリズムを指定します。
  • MACアルゴリズムは、プロトコル・バージョン2でデータ整合性保護のために使用されます。
  • サーバーとクライアントの両方で、デフォルトはhmac-sha1、hmac-sha2-256、hmac-sha2-512です。
  • 推奨されるセキュアな値: サーバーとクライアントの両方でhmac-sha2-256、hmac-sha2-512です。
• password-aging: 対話型ユーザー・アカウントの現在のパスワード・エージングを設定または表示します。
  • -M: パスワードを使用できる最大日数。
  • -m: パスワード変更の間隔として許容される最小日数。
  • -W: パスワードの期限が切れる前に警告が表示される日数。
  • デフォルトは-M 99999、-m 0、-W 7です
  • --strict_compliance_only -M 60、-m 1、-W 7
  • 推奨されるセキュアな値: -M 60、-m 1、-W 7

• Exadata Cloud@CustomerゲストVMエージェント: データベース・ライフサイクル操作を処理するためのクラウド・エージェント
  • opcユーザーとして実行します。
  • プロセス表には、jar名を持つJavaプロセスとして実行されていることが示されます(dbcs-agent-VersionNumber-SNAPSHOT.jarおよびdbcs-admin-VersionNumver-SNAPSHOT.jar)。
• Oracle Trace File Analyzerエージェント: Oracle Trace File Analyzer (TFA)では、複数の診断ツールが単一のバンドルで提供されるため、Oracle DatabaseおよびOracle Clusterwareに関する診断情報を簡単に収集でき、Oracleサポートに連絡して問題を解決する際に役立ちます。
  • rootユーザーとして実行します。
  • initdデーモン(/etc/init.d/init.tfa)として実行します。
  • プロセス表には、Javaアプリケーション(oracle.rat.tfa.TFAMain)が示されます。

• ExaWatcher:

  • rootおよびexawatchユーザーとして実行します。
  • バックグラウンド・スクリプトExaWatcher.shとして実行します。そのすべての子プロセスはPerlプロセスとして実行されます。
  • プロセス表には、複数のPerlアプリケーションとして示されます。
• Oracle DatabaseおよびOracle Grid Infrastructure (Oracle Clusterware):
  • dbmsvcおよびgridユーザーとして実行します。
  • プロセス表には、次のアプリケーションが示されます:
    • oraagent.bin、apx_*およびams_* (gridユーザーとして)。
    • dbrsMainと、Javaアプリケーションderbyclient.jarおよびweblogic.Server (oracleユーザーとして)。
• 管理サーバー(MS): イメージ機能を管理およびモニターするためのExadataイメージ・ソフトウェアの一部。
  • dbmadminユーザーとして実行します。
  • プロセス表には、Javaプロセスとして実行されていることが示されます。

ゲストVMのデフォルトのiptablesルール:

#iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination