Microsoft PowerPoint - J-DBVAULT4SAP.ppt [互換モード]

<ここに画像を挿入>

Oracle Database Vault for SAP

Christoph Kersten

以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです 。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むこと はできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメ ント（確約）するものではないため、購買決定を行う際の判断材料になさらないで下 さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期につ いては、弊社の裁量により決定されます。 Oracle、PeopleSoft、JD Edwards、及びSiebelは、米国オラクル・コーポレーション及びその子会社、関連会社の 登録商標です。その他の名称はそれぞれの会社の商標の可能性があります。 2

Agenda

<ここに画像を挿入>

D t b

V ltの機能の概要

<ここに画像を挿入>

•

Database Vaultの機能の概要

• 概念 • アクセス制御コンポーネント • アクセス制御コンポ ネント • ツール

•

ポリシー実装レベル

ポリシ 実装レ ル

•

Oracle Database Vault for SAP

• プロジェクト概要

• インストールおよび構成 • 変更の概要

Agenda

<ここに画像を挿入>

D t b

V ltの機能の概要

<ここに画像を挿入>

•

Database Vaultの機能の概要

• 概念 • アクセス制御コンポーネント • アクセス制御コンポ ネント • ツール

•

ポリシー実装レベル

ポリシ 実装レ ル

•

Oracle Database Vault for SAP

• プロジェクト概要

• インストールおよび構成 • 変更の概要

機密データの保護

質問: 会社では、機密データの保護を支援する技術を使用していま すか。 すか。 71.1 28.9 2007 2007 はい いいえ 57.5 42.5 2008 いいえ 0% 20% 40% 60% 80% 100% 出典: 『InformationWeek』2008年10月号

Oracle Database Security

Database Vault Configuration Management Advanced Security Secure T l g Secure Backup Total Recall Label Security Audit Vault Data Masking

Oracle Database Vaultが扱うのは、

インサイダーに よる脅威 柔軟なセキュリティ・_{ポリシ の必要性} 規制の準拠 よる脅威 _{ポリシーの必要性} 統合における 懸案事項 アウトソーシングの懸案事項 懸案事項

Oracle Database Vaultの概念

D t b

V ltが変更しないこと

•

Database Vaultが変更しないこと

• DBのオブジェクト権限に基づいたアクセス権限 • アプリケーション固有のルールに基づいたアクセス権限 • アプリケ ション固有のル ルに基づいたアクセス権限 • オペレーティング・システムの権限に基づいたアクセス権限 （たとえばroot、Oracle所有者）

•

Database Vaultが行うこと

• DBのシステム権限に基づいたデータ・アクセスの防止 づ • 次のような方針に基づいて、これらのアクセス権限をより柔軟な権限 に置き換える。 • 職務の分離（職務分掌） • デュアルキー・セキュリティ • その他

アプリケーションDBAとアプリケーション・

ザ

ユーザー

ALTER, DROP SELECT アプリケーション SELECT DBA SOME_APPオブジェクト アプリケーションの実 行 アプリケーション・ユーザー 行

Agenda

<ここに画像を挿入>

D t b

V ltの機能の概要

<ここに画像を挿入>

•

Database Vaultの機能の概要

• 概念 • アクセス制御コンポーネント • アクセス制御コンポ ネント • ツール

•

ポリシー実装レベル

ポリシ 実装レ ル

•

Oracle Database Vault for SAP

• プロジェクト概要

• インストールおよび構成 • 変更の概要

レルム

• レルムは、オブジェクト権限が付与されている 場合を除き、次のようなデータベース・オブジ 場合を除き、次のようなデ タ ス オブジ ェクトへのアクセスを防止する。

•

SELECT ON HR.EMPLOYEES

•

EXECUTE ON HR GIVE RAISE

•

EXECUTE ON HR.GIVE_RAISE

• したがって、これらのシステム権限は、レルム によって保護された次のオブジェクトに対する アクセスを許可しない

アクセスを許可しない。

•

SELECT ANY TABLE

•

EXECUTE ANY PROCEDURE

•

CREATE TABLE

• オブジェクト権限を付与されないかぎり、非メ ンバ のスキ マ所有者であっても自分自身 ンバーのスキーマ所有者であっても自分自身 のオブジェクトにアクセスできない。

ファクタ

•

ファクタとは

デ タベ セ シ 属性 • データベース・セッションの属性。 • アイデンティティとしてラベル付けできる値を持つことができる。 • アクセスを識別するために 他のアクセス制御 • アクセスを識別するために、他のアクセス制御 コンポーネントで簡単に参照できる。 • 他のファクタと組み合わせて、複数ファクタ認可を提供できる。

•

事前定義されたファクタ（例）

:

• Authentication_Method Cli t IP • Language M hi • Client_IP • Database_Instance • Database_Name • Machine • Network_Protocol • Program • Domain g • Session_User

アイデンティティ

•

アイデンティティとは

• 値である。 • ファクタに関連付けられている。 信頼レベルが指定されている INTERNET アイデンティティ • 信頼レベルが指定されている。 • ラベルを付けることができる。 • 他のファクタから解決できる。他のファクタから解決できる。 INTRANET アイデンティティ DOMAINファクタ SECURE デ アイデンティティ

ルール・セット

マシンはローカルか TRUEまたはFALSE または AND / OR 週末か TRUEまたはFALSE AND / OR AND / OR APP.STATUS列は> 0か TRUEまたはFALSE / O TRUEまたはFALSE ルール・セットの結果

コマンド・ルール

実行するコマンド コマンド・タイプ 対象オブジェクト 所有者であるユーザー オブジェクト 所有者 所有者である ザ このルール・セットは、TRUEに評価される ことが必要である 所有者 ルール・セット ことが必要である。 コマンド・ルール

セキュア・アプリケーション・ロール

• セキュア・アプリケーション・ロールは、特定のPL/SQLプロシージャを使 用することで有効にできるデータベース・ロールである

用することで有効にできるデータベース・ロールである。

• Database Vault Administratorは、Database Vaultのルール・セットの結 果に基づいて、セキュア・アプリケーション・ロールを作成できる。

アプリケ シ ンは D t b V lt APIを呼び出して れらの ル • アプリケーションは、Database Vault APIを呼び出して、これらのロール

を設定できる。

• ロールは、必要な権限を持っている。

ロールが有効ではない。

ルが有効である ロールが有効である。

Agenda

<ここに画像を挿入>

D t b

V ltの機能の概要

<ここに画像を挿入>

•

Database Vaultの機能の概要

• 概念 • アクセス制御コンポーネント • アクセス制御コンポ ネント • ツール

•

ポリシー実装レベル

ポリシ 実装レ ル

•

Oracle Database Vault for SAP

• プロジェクト概要

• インストールおよび構成 • 変更の概要

Agenda

<ここに画像を挿入>

D t b

V ltの機能の概要

<ここに画像を挿入>

•

Database Vaultの機能の概要

• 概念 • アクセス制御コンポーネント • アクセス制御コンポ ネント • ツール

•

ポリシー実装レベル

ポリシ 実装レ ル

•

Oracle Database Vault for SAP

• プロジェクト概要

• インストールおよび構成 • 変更の概要

ポリシー実装レベル: 概要

プ ケ シ 固有 ポ ネ （顧客） アプリケーション固有のコンポーネント（Oracle） アプリケーション固有のコンポーネント（顧客） Database Vaultの標準コンポーネント（Oracle） アプリケーション固有のコンポーネント（Oracle） Database Vaultの標準 ンポ ネント（Oracle）

Database Vault: 標準アカウント

• Database Vaultのインストール時に、次のデータベース・アカウント が設定される

が設定される。

• Database Vault Owner

• 任意の有効なデ タベ ス

• Database Vault Account Manager

• 任意の有効なデ タベ ス・ • 任意の有効なデータベース・ アカウント名 • DV_OWNERロールの付与 • DV ACCTMGRロールの付与 • 任意の有効なデータベース・ アカウント名 • DV_ACCTMGRロールを付与 • オプション（作成必須ではない） DV_ACCTMGRロ ルの付与

（Database Vault Account Managerアカウントが 作成されていない場合）

• オプション（作成必須ではない）

• 2つのアカウント間で職務分掌していない場合、Database Vault Ownerは一 • Database Vaultに必要

時的にユーザーを新規作成し、これら Database Vaultコンポーネントに追加 して一時的なアクセスを許可し、続いてこれらのユーザーを削除する。

標準のDatabase Vault: まとめ

•

標準の

Database Vaultに付属するもの

• 自身の保護に必要なものすべて。 • データベースのシステム・データ。 （d t di ti ）の保護に必要なものすべて （data dictionary）の保護に必要なものすべて。

•

標準の

Database Vault

• ほとんどの場合

すぐに使用できない

• ほとんどの場合、すぐに使用できない。 • アプリケーションの要件と顧客のセキュリティ要件に 応じて、追加ポリシー・コンポーネントの定義が必要。

アプリケーション固有のDB Vaultポリシー

Oracle Internet Directory JD Edwards Oracle E-Business Suite S SAP Oracle Content DB Siebel Peoplesoft Content DB

Database Vault for SAP

O

l D t b

V lt f

SAP

•

Oracle Database Vault for SAP

• 標準DVに加えて、Oracle が提供するアプリケーション固有のDVポ リシーを実装したもの

リシ を実装したもの

• 前章のアプリケーション固有のポリシー実装で学んだレッスンを活用 • 顧客指定のポリシー・コンポーネントで拡張可能

Agenda

<ここに画像を挿入>

D t b

V ltの機能の概要

<ここに画像を挿入>

•

Database Vaultの機能の概要

• 概念 • アクセス制御コンポーネント • アクセス制御コンポ ネント • ツール

•

ポリシー実装レベル

ポリシ 実装レ ル

•

Oracle Database Vault for SAP

• プロジェクト概要

• インストールおよび構成 • 変更の概要

プロジェクト概要

2007年12月 DB Vaultの統合および評価の初回テスト Oracle Release 10.2.0.4 Beta

DB Vault 10.2.0.4 Beta Shiphome

SAP NetWeaver（ABAP+Java）、Linux 32bit版 2008年5月 OracleおよびDB Vault 10.2.0.4 Beta Shiphome

SAP NetWeaver（ABAP+Java）、Linux 32bit版 SAP N tW （ABAP J ） Wi d 32bit版 SAP NetWeaver（ABAP+Java）、Windows 32bit版 2008年8月 Oracle Release 10.2.0.4 + DV 10.2.0.4（製品）

SAP NetWeaver（ABAP+Java） AIX 64Bit版 SAP NetWeaver（ABAP+Java）、AIX 64Bit版 2008年8/9月 パイロット・プログラムの開始 計画: ～5パイロット顧客 計画: 5パイロット顧客 2008年末 パイロット・プログラムの終了 2009年 SAP用DV認定 第1四半期

プロジェクト概要

2007年12月 DB Vaultの統合および評価の初回テスト Oracle Release 10.2.0.4 Beta

DB Vault 10.2.0.4 Beta Shiphome

SAP NetWeaver（ABAP+Java）、Linux 32bit版 2008年5月 OracleおよびDB Vault 10.2.0.4 Beta Shiphome

SAP NetWeaver（ABAP+Java）、Linux 32bit版 SAP N tW （ABAP J ） Wi d 32bit版 SAP NetWeaver（ABAP+Java）、Windows 32bit版 2008年8月 Oracle Release 10.2.0.4 + DV 10.2.0.4（製品）

SAP NetWeaver（ABAP+Java） AIX 64Bit版 SAP NetWeaver（ABAP+Java）、AIX 64Bit版 2008年8/9月 パイロット・プログラムの開始 計画: ～5パイロット顧客 計画: 5パイロット顧客 2008年末 パイロット・プログラムの終了 2009年 SAP用DV認定 第1四半期

前提条件および要件

O

l D t b

R l

10 2 0 4（製品）

•

Oracle Database Release 10.2.0.4（製品）

•

Oracle/SAP共同推奨事項に従って、Oracleデータベー

スがインスト ルされ構成されていること

スがインストールされ構成されていること

• データベース・パッチ → SAP Note 1137346 • データベース・パラメータデ タ ス パラメ タ → SAP Note 830576 SAP Note 830576

•

SAP NetWeaver with SAP Kernel Release 7.00以上

DVのソフトウェアおよびドキュメント

RDBMSおよびDatabase Vault用のOracleソフトウェア

•

RDBMSおよびDatabase Vault用のOracleソフトウェア

は、

_{SAP Service Marketplaceからダウンロード可能}

• http://service.sap.com/oracle-downloadp p • Oracle 10.2.0.4

• RDBMS 10.2.0.4パッチ・セット、RDBMSパッチ • DV 10.2.0.4ソフトウェア、DVパッチ、

• DVスクリプト

•

Oracle Database Vault for SAPに関するドキュメント

SAP N t 1241462（パイロ ト顧客のみアクセス可能） • SAP Note 1241462（パイロット顧客のみアクセス可能） • 提供予定: DVを使用するOracle上のSAPに関するOracleホワイ ト・ペーパー • Oracleドキュメント （インストール・ガイド、管理ガイド、リリース・ノート、OTNのホワイ ト・ペーパー）

Agenda

<ここに画像を挿入>

D t b

V ltの機能の概要

<ここに画像を挿入>

•

Database Vaultの機能の概要

• 概念 • アクセス制御コンポーネント • アクセス制御コンポ ネント • ツール

•

ポリシー実装レベル

ポリシ 実装レ ル

•

Oracle Database Vault for SAP

• プロジェクト概要

• インストールおよび構成 • 変更の概要

Database Vaultのインストール

• 準備手順: • 準備手順: • 以下をバックアップ • ORACLE_HOMEおよびOracle Inventory デ タベ ス（ ） • データベース（brbackup） • データベース構成ファイル （$ORACLE_HOME/dbs、$ORACLE_HOME/network/admin） （init ora sqlnet ora tnsnames ora listener ora） （init.ora、sqlnet.ora、tnsnames.ora、listener.ora） • インストールに使用する作業ディレクトリの作成 （スプール出力、インストール・ログ、ソフトウェア、パッチ、ステージなど） • データベースのすべての接続が正しく動作していることを確認する • データベースのすべての接続が正しく動作していることを確認する。 • DVをインストールする前に、データベース接続を（ora<sid>または <sid>admユーザーとして）チェックする • R3trans dを介してデータベース接続を検証する • R3trans –dを介してデ タベ ス接続を検証する。 • データベース・ユーザーのリストを取得する（後で比較するため）

Database Vaultのインストール

•

準備手順

_:

• データベースの監査をオフにする • DVインストール後に、再度オンにできる • 一時表領域の名前を変更する • 時表領域の名前を変更する

• Oracle Enterprise Manager DB Controlの設定

SQL> ALTER TABLE PSAPTEMP RENAME TO TEMP; • Oracle Enterprise Manager DB Controlの設定

• EM DB Controlは、デフォルトではSAP環境に設定されていない • Database Vault Administrator（DVA）GUIの前提条件

• DVAはDB Controlと同一のOC4Jを使用する

• EM DB Controlのインストールには、Database Configuration Assistant DBCAを実行する

Assistant DBCAを実行する

Database Vaultのインストール

準備手順

•

準備手順

:

• Database Vault Policy Scripts for SAPをダウンロードして解凍する （DVをインストールする前に、データベース・アカウントを新規作成する） （DVをインスト ルする前に、デ タ ス アカウントを新規作成する）

から をダウ ド

sqlplus / as sysdba

SQL> @dbv_sap_prerequisite_script.sql

• SAP Service MarketplaceからDatabase Vaultをダウンロードし、 ステージング・エリアに解凍する

• SAPアプリケーションを停止するSAPアプリケ ションを停止する

ORACLE HOMEから Oracleインスタンスと実行されているすべての

% stopsap r3

• ORACLE_HOMEから、Oracleインスタンスと実行されているすべての Oracleプロセスをシャットダウンする

Database Vaultのインストール

D t b

V ltステ ジからインスト ラを開始

•

Database Vaultステージからインストーラを開始

./runInstaller

Database Vaultのインストール

E t

i

M

D t b

C t l URL

•

Enterprise Manager Database Control URL:

Ö

https://isi025.wdf.sap.corp:1158/em

•

Database Vault Administrator URL:

Ö

//

/

Database Vaultのインストール

インスト ル後の手順

•

インストール後の手順

:

• EM DB Controlを開始 • 一時表領域の名前を元の名前に変更: • 時表領域の名前を元の名前に変更: イ ト 時 変更されたデ タベ パ メ タを適用

SQL> ALTER TABLE TEMP RENAME TO PSAPTEMP;

• DVインストール時に変更されたデータベース・パラメータを適用 • OS_AUTHENT_PREFIX, REMOTE_OS_AUTHENT • SAP用DVポストインストール・スクリプトを実行 • SAP用DVポストインスト ル スクリプトを実行 • post_dbv_install_secadmin.sql • post_dbv_install_secacctmgr.sql • DV Administratorにログオン

Database Vaultのインストール

インスト ル後の手順

•

インストール後の手順

:

• SAP用DV設定スクリプトを実行 sqlplus /nolog SQL> connect SECADMIN/<pwd> SQL> spool create_dbv_sap_policies.log SQL @ t db li i l SQL> @create_dbv_sap_policies.sql SQL> spool off

Agenda

<ここに画像を挿入>

D t b

V ltの機能の概要

<ここに画像を挿入>

•

Database Vaultの機能の概要

• 概念 • アクセス制御コンポーネント • アクセス制御コンポ ネント • ツール

•

ポリシー実装レベル

ポリシ 実装レ ル

•

Oracle Database Vault for SAP

• プロジェクト概要

• インストールおよび構成 • 変更の概要

変更の概要

D t b

V ltのインスト ルが与える影響

•

Database Vaultのインストールが与える影響

• Database Serverソフトウェア • ORACLE HOME • ORACLE_HOME • データベース • データベース・ユーザーおよびスキーマの新規作成 • データベース・オブジェクトの新規作成 • データベース構成 構成 イ • 構成ファイル • パスワード・ファイル

変更の概要

D t b V ltのデ タベ ス スキ マ • Database Vaultのデータベース・スキーマ • SYSMANスキーマ（EM DBControl） • DVSYS/DVFスキーマ（DVリポジトリ） • Database Vaultアカウント • SECADMIN: DVセキュリティ管理者 SECACCTMGR: DVアカウント マネ ジャ • SECACCTMGR: DVアカウント・マネージャ • SAPの新しいデータベース・アカウント • ABAP_CRED_MGR: SAPアカウント・パスワードを管理するためのアカウント • SUPPORT_USER: Oracle/SAPサポートのログイン・アカウント • EMERGENCY_USER: 緊急/サポート状況におけるログイン・アカウント • BR DBA: DBAアカウント（Oracleデフォルト・アカウントSYSTEMのかわり） • BR_DBA: DBAアカウント（Oracleデフォルト・アカウントSYSTEMのかわり）

SAPの新しいデータベース・アカウント

• ABAP_CRED_MGR:

• SAPアカウント・パスワードを管理するためのアカウント: • SQL> alter user sapsr3 identified by <new pwd>; • SUPPORT USER: • SUPPORT_USER: • Oracle/SAPサポートのログイン・アカウント • デフォルトではロックされている • EMERGENCY_USER: • 緊急状況でのログイン・アカウント • SUPPORT USERと同じ権限SUPPORT_USERと同じ権限 • BR_DBA:

• SAP BR*Toolsを使用してデータベース管理を行うためのDBA権限を持った アカウ ト

アカウント

Agenda

<ここに画像を挿入>

D t b

V ltの機能の概要

<ここに画像を挿入>

•

Database Vaultの機能の概要

• 概念 • アクセス制御コンポーネント • アクセス制御コンポ ネント • ツール

•

ポリシー実装レベル

ポリシ 実装レ ル

•

Oracle Database Vault for SAP

• プロジェクト概要

• インストールおよび構成 • 変更の概要

SAPおよびDVの未解決の問題

セグメント管理

•

セグメント管理

• オンラインでの索引の再構築 • オンラインでの再定義 • オンラインでの再定義 • BRSPACEによるオンラインでの表の再編成

•

Database Vaultのパッチ処理

Database Vaultの ッチ処理

• MOPatchによってまだサポートされていないDVパッチのインストール • DVパッチのインストールには、複数のステップが必要 • DVを無効にする • パッチをインストールする DVを再度有効にする • DVを再度有効にする

特別な構成、環境

次の

SAP内のO

l D t b

V ltの統合を開始

•

次の

SAP内のOracle Database Vaultの統合を開始

• 単一インスタンスであること • MCODでない • MCODでない • スタンバイ/Data Guardでない • サードパーティー製アプリケーションがインストールされていない

•

さらに複雑な環境をテストし、後日説明および認証する

• MCOD • RAC • スタンバイ/DataGuard