affiliates. 6 DB-SE Exadata DB-HP Autonomous Database DB-EE DB EP Advanced Security Label Security Database Vault OLAP 一部機能 制限あり Bare Metal VM Infiniband Offload SQL to Storage Smart Flash Cache/log Storage Index IORM/Network RM In-Memory Fault Tolerance ExaFusion Columnar Flash Cache Real Application Clusters Active Data Guard Database In-Memory Advanced Analytics Spatial & Graph Database Lifecycle Management Pack Cloud Management Pack for Oracle Database Bare Metal VM Bare Metal VM Bare Metal VM Multitenant Partitioning Advanced Compression Oracle Database Enterprise Edition, Diagnostics and Tuning Packs , Real Application Testing Data Masking and Subsetting Pack , Virtual Private Database Oracle Database Standard Edition 2, Transparent Data Encryption , Unified Audit , Data Safe Database Lifecycle Management Pack Cloud Management Pack for Oracle Database Database Vault , Label Security , Data Redaction
1. 以下のディレクトリにwalletディレクトリを作成 $ORACLE_BASE/admin/<SID>/wallet 2. 初期化パラメータファイルのWALLET_ROOTを指定 ALTER SYSTEM SET WALLET_ROOT="$ORACLE_BASE/admin/<SID>/wallet" SCOPE=spfile 3. Databaseの再起動 4. 初期化パラメータファイルのKEYSTORE_CONFIGURATION を指定 ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=FILE" SCOPE=both 5. CDBにキーストアとマスター暗号鍵を作成 (※シングルDBの場合は、項番9の自動ログインの設定で完了) ADMINISTER KEY MANAGEMENT CREATE KEYSTORE IDENTIFIED BY “パスワード” ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY “パスワード” ADMINISTER KEY MANAGEMENT SET KEY USING TAG ‘タグ名’ IDENTIFIED BY “パスワード” WITH BACKUP 作成が完了すると、$ORACLE_BASE/admin/<SID>/wallet/tde内にewallet.p12というキーストアが作成される 18cからはキーストアのディレクトリ指定は、 WALLET_ROOTパラメータの使用が推奨
6. PDBにログイン 7. (統一モードの場合) CDBをのキーストアをオープンして、PDBのマスター暗号鍵を作成 ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY “パスワード” ADMINISTER KEY MANAGEMENT SET KEY USING TAG ‘タグ名' IDENTIFIED BY "パスワード" WITH BACKUP 8. (分離モードの場合) PDB自身のキーストアを作成・オープンして、PDBのマスター暗号鍵を作成 ADMINISTER KEY MANAGEMENT CREATE KEYSTORE IDENTIFIED BY "パスワード" ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY "パスワード" ADMINISTER KEY MANAGEMENT SET KEY USING TAG 'タグ名' IDENTIFIED BY "パスワード" WITH BACKUP; ※分離モードのキーストアは、 $ORACLE_BASE/admin/<SID>/wallet/<PDBID>/tdeに作成される 9. 自動ログイン・キーストアの作成 (※この設定をしないとデータベース起動時に毎回キーストアを手動でOPENしなければならない) ADMINISTER KEY MANAGEMENT CREATE AUTO_LOGIN KEYSTORE FROM KEYSTORE IDENTIFIED BY "パスワード" ADMINISTER KEY MANAGEMENT CREATE LOCAL AUTO_LOGIN KEYSTORE FROM KEYSTORE IDENTIFIED BY "パス ワード" (自動ログイン・キーストアにアクセスできるサーバーを限定したい場合) ※作成が完了すると、$ORACLE_BASE/admin/<SID>/wallet/tdeにcwallet.ssoという自動ログイン・キーストアが作成される
Oracle and/or its affiliates 22 SELECT * FROM order WHERE customer = 'CLARK'; CLARK が 問い合わせた場合 SELECT * FROM order WHERE customer = 'SCOTT'; SCOTT が 問い合わせた場合 SELECT * FROM order; CLARK 300 06/03/17 SCOTT 20 05/09/11 SCOTT 450 05/11/07 CUSTOMER QTY CREDIT_CARD CLARK 125 06/02/04 SCOTT 310 06/01/26 CLARK 90 05/12/15 ORDER表 ユーザーの属性情報に応じて、 SQLが内部的に書き換える
1. サンプルスキーマ (HR)を準備 2. テストユーザーを作成、権限の付与 3. ファンクションの作成 create user test identified by test; grant create session to test; grant select on hr.employees to test; CREATE OR REPLACE FUNCTION hr_managerid( schema_var IN VARCHAR2, table_var IN VARCHAR2) RETURN VARCHAR2 IS return_val VARCHAR2 (400); manager_id number; BEGIN select sys_context('userenv','client_identifier') into manager_id from dual; IF (manager_id is null) THEN manager_id := 0; END IF; return_val := 'manager_id=' || manager_id; RETURN return_val; END hr_managerid; / DBセッションのclient_identifierの情報を取り出し manager_id = client_identiferのwhere句と して結果として返すファンクション
ホスト名がアプリケーションサーバ、かつ、JDBCからのアクセスではない場合を監査 CREATE AUDIT POLICY ALL_ACTIONS_EMP ACTIONS ALL ON SCOTT.EMP WHEN 'SYS_CONTEXT(''USERENV'',''IP_ADDRESS'') IS NULL' EVALUATE PER STATEMENT CONTAINER = ALL; AUDIT POLICY ALL_ACTIONS_EMP; CREATE AUDIT POLICY NOT_JDBC_ACCESS ACTIONS ALL ON SCOTT.EMP WHEN 'SYS_CONTEXT(''USERENV'',''HOST'') IN ''dbsec01.jp.oracle.com,dbsec02.jp.oracle.com'' and SYS_CONTEXT(''USERENV'',''MODULE'') NOT IN ''JDBC Thin Client''' EVALUATE PER STATEMENT CONTAINER = ALL; AUDIT POLICY NOT_JDBC_ACCESS; • SCOTT.EMP表のすべてのDMLを監査、ただし、IPアドレスがNULL(ローカル接続)のみ監査
and/or its affiliates 40 Database Firewall Audit Vault Server Operating systems & directory services Databases Policies Reports Alerts Oracle Database Microsoft SQL Server IBM DB2 SAP Sybase MySQL PostgreSQL Linux Windows AIX Solaris Microsoft Active Directory データベース・アクセス • Oracle Databaseや他社のデータベースの 監査ログを収集し一元管理 • OSやディレクトリのログにも対応 • 2種類のデータベース・ログ収集方式 • SQLトラフィック + Database Firewall • データベース監査 + エージェント • 収集したログをレポート・アラートし、不正な操作 の早期検知 • Oracle Databaseの暗号化、特権管理などの セキュリティ機能をフルに活用し、ログの改ざん、 削除を防止しセキュアに保管 • ソフトウェアアプライアンスとして、OSとソフトウェア がパッケージングされて提供