ベース・データベース・サービスのセキュリティ・ガイド

セキュリティの概要

このトピックでは、ベース・データベース・サービスのセキュリティの概要について説明します。ほとんどのコンポーネントのセキュリティはOracleが管理しますが、一部のコンポーネントのセキュリティはユーザーが責任を負います。

クラウド・サービス・コンポーネントは、ユーザー・アクセス可能なサービスおよびOracle管理インフラストラクチャに分類されます。ユーザー・アクセス可能なサービスとは、ベース・データベース・サービスのサブスクリプションの一部としてユーザーがアクセスできるコンポーネントのことです。これらは、一般的にDBシステムおよびデータベースと呼ばれる仮想マシンおよびデータベース・サービスです。Oracle管理インフラストラクチャとは、ユーザー・アクセス可能なサービスをサポートするためにOracleが所有および運用するハードウェアのことです。AMDまたはIntelベースのデータベース・コンピューティング・シェイプで構成されます。

Oracleは、Oracle管理インフラストラクチャ・コンポーネントに対するセキュリティおよびアクセスを管理します。ユーザーは、DBシステムとデータベース・サービスへのアクセス、DBシステムへのネットワーク・アクセス、DBシステムにアクセスするための認証、DBシステムで実行されているデータベースにアクセスするための認証を含む、ユーザー・アクセス可能なサービスに対するセキュリティおよびアクセスを管理します。Oracleスタッフには、ユーザー・アクセス可能なサービスにアクセスする権限はありません。

ユーザーは、標準のOracle Database接続方法(ポート1521上のOracle Netなど)を使用して、ユーザー機器からレイヤー2(タグVLAN)接続を介してDBシステムで実行されているOracle Databaseにアクセスします。ユーザーは、ポート22のトークンベースのSSHなど標準のOracle Linuxの方法を使用して、Oracle Databaseを実行しているDBシステムに接続できます。

ベース・データベース・サービスでは、組織がワークロードおよびデータのセキュアなオペレーティング環境を構築できるように、複数の独立した、相互に強化し合うセキュリティ制御が採用されています。ベース・データベース・サービスには、次のセキュリティ制御が用意されています:

オペレーティング環境を保護するための多層防御
サービスおよびユーザーの最小権限
イベントおよびアクションの監査および説明責任
クラウド操作の自動化

オペレーティング環境を保護するための多層防御

ベース・データベース・サービスには、サービス全体で機密性、整合性および説明責任を維持するための複数の制御が用意されています。ベース・データベース・サービスは、多層防御の原則を次のように推進します:

DBシステムの仮想マシンは、Oracle Linux 7に基づいて強化されたオペレーティング・システム・イメージから構築されます。インストール・イメージを必要なソフトウェア・パッケージのみに制限し、不要なサービスを無効にして、システム全体にセキュアな構成パラメータを実装することで、コア・オペレーティング環境を保護します。
成熟したOracle Linuxプラットフォームのすべての強みを継承するだけでなく、追加のセキュアなデフォルト構成の選択肢がサービス・インスタンスに実装されています。たとえば、すべてのデータベース表領域には、透過的データ暗号化(TDE)、初期データベース・ユーザーとスーパーユーザー用の厳格なパスワード強制、および拡張監査とイベント・ルールが必要です。
また、ベース・データベース・サービスは完全なデプロイメントおよびサービスを構成し、PCI、HIPPA、ISO27001などの業界標準の外部監査の対象となります。これらの外部監査要件により、ウィルス対策スキャン、システムの予期しない変更に対する自動アラート、フリート内のすべてのOracle管理インフラストラクチャ・システムの脆弱性スキャンなど、付加価値サービス機能が追加されます。

サービスおよびユーザーの最小権限

Oracleセキュア・コーディング標準では、最小権限のパラダイムを必要とします。アプリケーション、サービスおよびユーザーが各自のタスクを実行するために必要な機能にアクセスできるようにすることは、最小限の権限の原則の一面にすぎません。不要な機能、サービスおよびインタフェースへのアクセスを制限することが、同様に重要です。ベース・データベース・サービスは、最小権限の原則を次のように推進します:

各プロセスおよびデーモンは、より高いレベルの権限の必要性を証明できる場合を除き、通常の権限のないユーザーとして実行される必要があります。これにより、予期しない問題や、権限のないユーザー領域に対する脆弱性が抑制され、システム全体が危険にさらされることがなくなります。
この原則は、メンテナンスまたはトラブルシューティングのために個別の指定アカウントを使用してインフラストラクチャにアクセスにするOracle Operationsチーム・メンバーにも適用されます。必要な場合にのみ、より高いレベルの権限への監査アクセスを使用して問題を解決します。ほとんどの問題は自動化によって解決されるため、自動化で問題を解決できない場合を除き、人間のオペレータにシステムへのアクセスを許可しないことで最小権限を採用しています。

イベントおよびアクションの監査および説明責任

システムは、インシデントが発生したときに認識して通知できる必要があります。同様に、インシデントを回避できない場合は、適切なアクションを実行するために、組織がその発生を識別できる必要があります。ベース・データベース・サービスでは、次の方法で監査と説明責任を促進します:

監査と説明責任により、Oracleとユーザーの両方が、システムで実行されたアクティビティとその時間を認識できます。これらの詳細により、外部監査の報告要件への準拠が保証されるだけでなく、予期しない動作の原因となったアクティビティの識別にも役立ちます。
すべてのアクションを取得できるように、すべてのインフラストラクチャ・コンポーネントに対して監査機能が提供されています。ユーザーは、データベースおよびユーザー・ドメイン(domU)構成の監査を構成し、それらを他のエンタープライズ監査システムと統合することもできます。
OracleはユーザーdomUにアクセスしません。

クラウド操作の自動化

システムのプロビジョニング、パッチ適用、メンテナンス、トラブルシューティングおよび構成に必要な手動操作をなくすことで、エラーの可能性が減少し、セキュアな構成が保証されます。

ベース・データベース・サービスは、すべてのプロビジョニング、構成および他のほとんどの操作タスクを自動化して、セキュアになるように設計されています。自動化することで、構成の欠落を回避し、システムへの必要なすべてのパスを適切に構成できます。

セキュリティ機能

このトピックでは、ベース・データベース・サービスで使用可能なセキュリティ機能について説明します。

ベース・データベース・サービスには、次のセキュリティ機能があります:

強化されたOSイメージ
攻撃対象領域の最小化
有効な追加のセキュリティ機能
セキュアなアクセス方法
監査とロギング

強化されたOSイメージ

最小パッケージ・インストール: 効率的なシステムを実行するために必要なパッケージのみがインストールされます。インストールするパッケージ・セットを小さくすると、オペレーティング・システムの攻撃対象領域が減少し、システムの安全性が向上します。
セキュアな構成: システムおよびそのコンテンツのセキュリティ状態を強化するために、インストール時に多くのデフォルト以外の構成パラメータが設定されます。たとえば、SSHは特定のネットワーク・インタフェースでのみリスニングするように構成され、sendmailはローカル・ホスト接続のみを受け入れるように構成され、他の多くの同様の制限がインストール時に実装されます。
必要なサービスのみ実行: システムにインストールされているが、通常の操作に不要なサービスは、デフォルトで無効化されます。たとえば、NFSは様々なアプリケーション向けにユーザーによって構成されることが多いサービスですが、通常のデータベース操作には必要ないため、デフォルトでは無効です。ユーザーは、必要に応じてオプションでサービスを構成できます。

攻撃対象領域の最小化

強化されたイメージの一部として、サービスの提供に必要なソフトウェアのみをインストールして実行することで攻撃対象領域が削減されます。

有効な追加のセキュリティ機能

ベース・データベース・サービスは、デフォルトでセキュアになるよう設計されており、ネットワーク・ファイアウォール制御からアクセス制御ポリシーまで、完全なセキュリティ・スタックを提供します。
FIPS、SE Linux、およびSTIGを追加で有効にして、dbcli secure-dbsystem CLIを使用してシステムのセキュリティを向上させることができます。
プロビジョニングされたシステムの各システム・ノードでDISAのOracle Linux 7 STIGへのコンプライアンスを強化するためにSTIGツールが提供されています。

セキュアなアクセス方法

強力な暗号を使用したSSHを介してデータベース・サーバーにアクセスします。弱い暗号はデフォルトで無効になっています。
暗号化されたOracle Net接続を介してデータベースにアクセスします。デフォルトでは、サービスは暗号化されたチャネルを通じて利用可能で、デフォルトの構成済Oracle Netクライアントは暗号化されたセッションを使用します。

監査とロギング

デフォルトでは、監査とロギングで、オペレーティング・システムの提供内容から商用デプロイメント用に追加構成が加えられることはありませんが、STIGを有効にしてセキュリティ設定を追加することで監査とロギングを改善できます。

詳細は、次の各トピックを参照してください:

ユーザーのセキュリティ

このトピックでは、ベース・データベース・サービスで使用可能なユーザー・セキュリティについて説明します。ベース・データベース・サービス・コンポーネントは、複数のユーザー・アカウントによって定期的に管理されます。Oracleでは、トークンベースのSSHログインのみを使用および推奨します。Oracleユーザーまたはプロセスは、パスワードベースの認証を使用しません。

デフォルトでは、次の種類のユーザーが作成されます:

デフォルト・ユーザー: ログオン権限なし
デフォルト・ユーザー: ログイン権限あり

デフォルト・ユーザー: ログオン権限なし

このユーザー・リストは、デフォルトのオペレーティング・システム・ユーザーで構成されます。これらのユーザーは変更しないでください。これらのユーザーはシステムにログインできません。

bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
polkitd:x:999:996:User for polkitd:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the 
tcsd daemon:/dev/null:/sbin/nologin
sssd:x:998:994:User for sssd:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
dhcpd:x:177:177:DHCP server:/:/sbin/nologin
saslauth:x:997:76:Saslauthd user:/run/saslauthd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin

デフォルト・ユーザー: ログイン権限あり

これらの特権ユーザーは、システム内のほとんどのタスクの実行を担います。実行中のシステムに重大な影響を与える可能性があるため、これらのユーザーは絶対に変更または削除しないでください。ログインにはSSHキーが使用されます。

ログイン権限を持つデフォルト・ユーザーのリストを次に示します。

rootはLinuxの要件です。頻度は多くありませんが、ローカル特権コマンドを実行するために使用されます。rootは、TFAエージェントなどの一部のプロセスにも使用されます。RDBMSソフトウェアのライフサイクル操作(パッチ適用、データベースの作成など)を実行するローカル・エージェント(DCSエージェント)を実行します
oracleは、Oracle Databaseソフトウェアのインストールを所有し、RDBMSプロセスを実行します。
gridは、Oracle Grid Infrastructureソフトウェアのインストールを所有し、GIプロセスを実行します。
opcは、Oracle Cloud Automationで自動化タスクに使用されます。ユーザーは、(自動化機能をサポートするために)追加認証なしで特定の特権コマンドを実行できます。
mysqlはクリティカル・ユーザーであり、DCSエージェントのメタストアを所有するため、DCSエージェントを正常に操作するには起動して実行している必要があります。

root:x:0:0:root:/root:/bin/bash
opc:x:54322:54323::/home/opc:/bin/bash
mysql:x:54323:54331::/home/mysql:/bin/bash
grid:x:102:1001::/home/grid:/bin/bash
oracle:x:101:1001::/home/oracle:/bin/bash

セキュリティ設定

このトピックでは、ベース・データベース・サービスで使用可能なセキュリティ設定について説明します。システムで提供されるデフォルトのセキュリティ設定を次に示します。

表- セキュリティ設定とデフォルト値

セキュリティ設定	デフォルト値
パスワードの複雑性	パスワードの最小長: 15 パスワードの同じ文字クラスからの最大連続繰返し文字数: 4 パスワードの最大連続繰返し文字数: 3 パスワード強度最小数字数: 1 パスワード強度異なる最小カテゴリ数: 4 パスワード強度異なる最小文字数: 8 パスワード強度最小特殊文字数: 1 パスワード強度最小小文字数: 1 パスワード強度最小大文字数: 1
ユーザー・アカウント構成	パスワードを使用できる最大日数: 60 パスワード変更の間隔として許容される最小日数: 1 暗号化ハッシュ・アルゴリズム: SHA512 ログオン失敗の遅延: 4秒
無効になっているオプション	[Ctrl]-[Alt]-[Del]による再起動は無効です DCCPサポートは無効です USBストレージ・デバイスは無効です X Windowsパッケージ・グループは削除されています
SSH構成	SSHプロトコル2のみが許可されます権限分離の使用は有効です SSHアイドル・タイムアウト間隔: 600秒 GSSAPI認証は無効です圧縮は遅延に設定されます信頼できる証明書なしでのシステムへのSSHログオンが許可されます SSHデーモンでは、既知のホスト認証を使用する認証は許可されません
パッケージ	更新されたバージョンのインストール後にすべてのソフトウェア・コンポーネントを削除しますシステムは、未検証のソフトウェア、パッチ、サービス・パック、デバイス・ドライバ、またはオペレーティング・システム・コンポーネント用のローカル・パッケージのインストールを防ぎます
ロギング	システムおよびカーネル・メッセージはリモート・ホスト(rsyslog)に送信されます Cronは、rsyslogに記録するように構成されます定期的に実行するようAIDEを構成します
他のユーザー	シングルユーザー・モードおよびメンテナンス・モードへの起動時に認証が必要です対話型セッション・タイムアウト: 600秒 SSSDデバイスにPAMが構成されます PAMシステム・サービスは、パスワードを暗号化したもののみを格納するように構成されます SSSDのLDAPバックエンド・クライアントのCA証明書の場所が設定されますすべてのトランザクションでTLSを使用するようSSSD LDAPバックエンドが構成されますパスワードの期限切れ後にアカウントを無効にしますグループ・アカウント管理ユーティリティは、パスワードの暗号化されたもののみを格納するように構成されます

さらに、ONSRリージョンでは、デフォルトでFIPS、SE LinuxおよびSTIGを有効にし、要件標準に準拠しています。追加の構成を有効にすることで、システム・セキュリティを向上させることができます。構成標準(STIG)は、最も制限の厳しい標準に従い、DISAの Oracle Linux 7 STIGへのセキュリティ・コンプライアンスを強化するように設定できます。FIPS、SE LinuxおよびSTIGを有効にするツールが、イメージの一部として提供されます。

詳細は、次の各トピックを参照してください:

セキュリティ・プロセス

このトピックでは、ベース・データベース・サービスで使用可能なデフォルトのセキュリティ・プロセスについて説明します。次に、domUとも呼ばれるユーザー仮想マシン(DBシステム)でデフォルトで実行されるプロセスのリストを示します。

表- セキュリティ・プロセス

プロセス数説明

domUエージェント

プロセス数	説明
domUエージェント	データベース・ライフサイクル操作を処理するためのクラウド・エージェントです。 `root`ユーザーとして実行しますプロセス表には、次のjar名でjavaプロセスとして実行されていることが示されます: `dcs-agent-VersionNumber-SNAPSHOT.jar` `dcs-admin-VersionNumber-SNAPSHOT.jar`
TFAエージェント	Oracle Trace File Analyzer (TFA)では、複数の診断ツールが単一のバンドルで提供されるため、Oracle DatabaseおよびClusterwareに関する診断情報を簡単に収集でき、Oracleサポートとのやり取りで問題解決に役立ちます。 `root`ユーザーとして実行します `initd`デーモン(`/etc/init.d/init.tfa`)として実行しますプロセス表にはjavaアプリケーション(`oracle.rat.tfa.TFAMain`)が示されます
データベースおよびGI(クラスタウェア)	`oracle`および`grid`ユーザーとして実行します一部のCRS/クラスタウェア・デーモン・プロセスは、`root`ユーザーとして実行されますプロセス表には、次のアプリケーションが示されます: `ora_`、`apx_`、`ams_`および`oracle+ASM` `mysqld`および`zookeeper` `/u01/<version>/grid/*`からのその他のプロセス

データベース・ライフサイクル操作を処理するためのクラウド・エージェントです。

rootユーザーとして実行します
プロセス表には、次のjar名でjavaプロセスとして実行されていることが示されます:
- dcs-agent-VersionNumber-SNAPSHOT.jar
- dcs-admin-VersionNumber-SNAPSHOT.jar

TFAエージェント

Oracle Trace File Analyzer (TFA)では、複数の診断ツールが単一のバンドルで提供されるため、Oracle DatabaseおよびClusterwareに関する診断情報を簡単に収集でき、Oracleサポートとのやり取りで問題解決に役立ちます。

rootユーザーとして実行します
initdデーモン(/etc/init.d/init.tfa)として実行します
プロセス表にはjavaアプリケーション(oracle.rat.tfa.TFAMain)が示されます

データベースおよびGI(クラスタウェア)

oracleおよびgridユーザーとして実行します
一部のCRS/クラスタウェア・デーモン・プロセスは、rootユーザーとして実行されます
プロセス表には、次のアプリケーションが示されます:
- ora_*、apx_*、ams_*およびoracle+ASM*
- mysqldおよびzookeeper
- /u01/<version>/grid/*からのその他のプロセス

ネットワーク・セキュリティ

このトピックでは、ベース・データベース・サービスのネットワーク・セキュリティについて説明します。次に、domUとも呼ばれるユーザー仮想マシン(DBシステム)でデフォルトで実行されるデフォルトのポート、プロセスおよびiptablesルールのリストを示します。

domUサービスのポート

次の表に、domUサービスのデフォルト・ポートのリストを示します。

表- domUサービスのデフォルト・ポートのマトリックス

インタフェースのタイプ	インタフェースの名前	ポート	実行プロセス
すべてのインタフェースでリスニング	0.0.0.0	22	SSH
		1522	RDBMS: TNSリスナー
		7060	DCS管理
		7070	DCSエージェント
		2181	Zookeeper
		8888, 8895	RAC: 管理サービス品質(QOMS)サーバー
		9000	RAC: Oracle Clusterware
		68	DHCP
		123	NTP
		5353	マルチキャストDNS
クライアント・インタフェース	ens3	1521	RDBMS: TNSリスナー
	ens3	5000	RDBMS: Autonomous Health Framework (AHF) (TFAを含む)
	ens3:1	1521	RDBMS: TNSリスナー
	ens3:2	1521	RDBMS: TNSリスナー
	ens3:3	1521	RDBMS: TNSリスナー
クラスタ・インターコネクト	ens4	1525	RDBMS: TNSリスナー
		2888	Zookeeper
		3888	Zookeeper
		6000	RAC: グリッド・プロセス間通信
		7000	RAC: 高可用性サービス

domUのiptablesルール

デフォルトのiptablesは、入力、転送および出力チェーンで接続をACCEPTするように設定されます。

domUサービスのデフォルトのiptablesルールを次に示します:

CHAIN INPUT
CHAIN FORWARD
CHAIN OUTPUT

例- iptablesルール

次の例では、domUサービスのデフォルトのiptablesルールが示されます。

iptables -L -n -v

出力:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  43M  110G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 2664  224K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
40793 2441K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  ens4   *       0.0.0.0/0            0.0.0.0/0
    3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
   40  2400 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:1521 /* Required for access to Database Listener, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:5000 /* Required for TFA traffic.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:6200 /* This rule is recommended and enables the Oracle Notification Services (ONS) to communicate about Fast Application Notification (FAN) events.  */
  343 20580 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7070 /* Required for instance management by the Database Service, Do not remove or modify.  */
  132  7920 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7060 /* Required for instance management by the Database Service, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:22 /* Required for instance management by the Database Service, Do not remove or modify.  */
    3   424 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain OUTPUT (policy ACCEPT 51078 packets, 3218K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      ens4    0.0.0.0/0            0.0.0.0/0
  52M  170G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 8003  548K InstanceServices  all  --  *      *       0.0.0.0/0            169.254.0.0/16
  
Chain InstanceServices (1 references)
 pkts bytes target     prot opt in     out     source               destination
   11   660 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.2.0/24       owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
  678 63323 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.3          owner UID match 0 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.4          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
 2569  195K ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:123 /* Allow access to OCI local NTP service */
 4727  284K ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
   15  4920 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:67 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:69 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            169.254.0.0/16       tcp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with tcp-reset
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            169.254.0.0/16       udp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with icmp-port-unreachable

セキュリティ設定に対するユーザーの責任

このトピックでは、ベース・データベース・サービスのセキュリティ設定に対するOracle Cloud Operationsの責任およびユーザー責任について説明します。次の表に、Oracle Cloud Operationsおよびユーザーが行う必要があるセキュリティ設定のリストを示します。

表- Oracle Cloud Operationsおよび様々な操作に対するユーザーの責任

操作	Oracle Cloud Platform		ユーザー/テナント・インスタンス
操作	Oracle Cloudの責任	ユーザーの責任	Oracle Cloudの責任	ユーザーの責任
データベース・デプロイメント	ベース・データベース・サービス・デプロイメントのソフトウェア・インフラストラクチャおよびガイダンス	ネットワーク管理者: クラウド・ネットワーク・インフラストラクチャ(VCNとサブネット、ゲートウェイなど)を構成します。データベース管理者: データベース要件(メモリー、ストレージ、計算、データベース・バージョン、データベース・タイプなど)を設定します。	オペレーティング・システム、データベースおよびGrid Infrastructureシステムのインストール(選択されている場合)	データベース管理者: 必要に応じて、Oracle Databaseソフトウェアのバージョン、仮想マシン要件のシェイプ(CPU/メモリー)、データ・ストレージおよびリカバリ・ストレージ構成サイズ・リソースをワークロードに基づいて更新します(リソースのアップグレード/ダウングレード)。
モニタリング	物理セキュリティ、インフラストラクチャ、コントロール・プレーン、ハードウェア障害、可用性、容量	必要なし	ユーザー・サービスのユーザー・モニタリングをサポートするインフラストラクチャの可用性。	データベース管理者: ユーザーのオペレーティング・システム、データベース、アプリケーションおよびGrid Infrastructureのモニター
インシデント管理および解決	インシデント管理および修復、スペア・パーツとフィールド・サービスのディスパッチ	必要なし	基礎となるプラットフォームに関連するインシデントのサポート	データベース管理者: ユーザー・アプリケーションのインシデント管理および解決
パッチの管理	ハードウェア、IaaS/PaaS制御スタックのプロアクティブなパッチ適用	必要なし	使用可能なパッチのステージング(Oracle Databaseパッチ・セットなど)	データベース管理者: テナント・インスタンスへのパッチ適用、テスト OS管理者: OSパッチ適用
バックアップおよびリストア	インフラストラクチャおよびコントロール・プレーンのバックアップおよびリカバリ、ユーザー仮想マシンの再作成	必要なし	実行中のユーザーがアクセス可能な仮想マシンを提供	データベース管理者: Oracleネイティブまたはサードパーティ機能を使用したユーザーIaaSおよびPaaSデータのスナップショット/バックアップおよびリカバリ

追加のセキュリティ機能の有効化

ベース・データベース・サービスには、次の追加のセキュリティ機能があります:

dbcli NetSecurity
OCI Vault統合
FIPSを有効にするCLI

dbcli NetSecurity

dbcli NetSecurityでは、ネットワークを通過するデータの暗号化が処理されます。データがOracle Databaseからサード・パーティまたはサーバーからクライアントに移動する場合は、送信者の側でデータを暗号化し、受信者の側で復号化する必要があります。NetSecurityでは、プロビジョニングおよびデータベース・ホームの作成操作中に、クライアントとサーバーの両方にデフォルト値でルールが構成されます。dcs-agent CLIインタフェースには、これらのNetSecurityルールを更新し、暗号化アルゴリズム、整合性アルゴリズムおよび接続タイプのセキュリティを強化するコマンドが用意されています。

デフォルトでは、dcs-agentは、データベース・ホームに対して次のデフォルト・ルールを構成します:

SQLNET.ENCRYPTION_SERVER=REQUIRED
SQLNET.CRYPTO_CHECKSUM_SERVER=REQUIRED
SQLNET.ENCRYPTION_TYPES_SERVER=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER=(SHA1)
SQLNET.ENCRYPTION_CLIENT=REQUIRED
SQLNET.CRYPTO_CHECKSUM_CLIENT=REQUIRED
SQLNET.ENCRYPTION_TYPES_CLIENT=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT=(SHA1)

設定の更新の詳細は、Oracle Database CLIリファレンスを参照してください。

OCI Vault統合

ベース・データベース・サービスは、すべてのOCI商用リージョンでOCI Vaultサービスと統合されました。データベースを保護するOCI Vault内でTDEマスター・キーを作成および管理できるようになりました。この機能により、OCI Vaultサービスを使用してマスター暗号化キーの格納と管理を開始することができます。データベースの保護に使用されるOCI Vaultキーは、可用性と耐久性に優れたマネージド・サービスに格納されます。

ノート:

OCI Vault統合は、Oracle Databaseバージョン19.13以降でのみ使用可能です。

OCI Vaultとベース・データベース・サービスの統合により、次のことが可能になります:

ベース・データベース・サービスでOracle Databaseをプロビジョニングする際にOCI Vaultベースのキー暗号化を有効にすることで、TDEマスター・キーを一元的に制御および管理します。
TDEマスター・キーを可用性と耐久性に優れたマネージド・サービスに格納します。このサービスでは、キーは、連邦情報処理標準(FIPS) 140-2セキュリティ・レベル3セキュリティ認定を満たすハードウェア・セキュリティ・モジュール(HSM)によって保護されます。
セキュリティ・コンプライアンスを維持するために暗号化キーを定期的にローテーションし、人事異動があった場合はデータベースへのアクセスを無効にします。
既存のデータベースのOracle管理キーをユーザー管理キーに移行します。
独自のキーを持ち込み(BYOK (Bring Your Own Key))、ユーザー管理の暗号化を使用してデータベースを作成する際に使用します。

ノート:

BYOKは、コンテナ・データベース(CDB)にのみ適用されます。プラガブル・データベース(PDB)には、自動的に生成された新しいキー・バージョンが割り当てられます。
ユーザー管理の暗号化を使用するOracle Databasesでは、DBシステムのクローニング、インプレース・リストア、アウトオブプレース・リストア、リージョン内Data Guard構成、およびPDB作成やローカル・クローニングなどのPDB固有の操作がサポートされています。

FIPSを有効にするCLI

Oracleは、商用ユーザーがデフォルトでセキュリティを向上するためのツールを提供しています。このツールは、FIPS、SE Linux、およびSTIGが最も厳格な標準に従うようにするために使用されます。

詳細は、DB SystemコンポーネントでのFIPS、SE LinuxおよびSTIGの有効化を参照してください。