※本ページは、”SELinux increases security on Exadata” の翻訳です。

Oracle Exadataは、きわめて高いデータベース・パフォーマンスと堅実なセキュリティのために設計されており、インフラストラクチャ、データ、プロセス、およびオペレーティング・システム全体の高度な保護を統合しています。Oracle Exadata System Softwareは、高度なデータベース機能と最適化を提供し、プラットフォームを強化するコア・コンポーネントです。Oracle Linuxはオペレーティング・システムとして機能し、Exadataの操作に対して安定したセキュアな環境を提供します。Exadataのハードウェアおよびソフトウェア・スタックと緊密に統合されており、最適なデータベース・パフォーマンスと運用効率を確保するのに役立ちます。

Oracle Linuxは、Security-Enhanced Linux (SELinux)などのセキュリティ機能を統合して、保護を強化します。Exadata System Software 25aiリリース25.2以降では、SELinuxはデフォルトでpermissiceモードで有効になり、アクセス監視がすぐに有効になります。有効化は、ベア・メタル、KVMホスト、KVMゲスト・データベース・サーバー、ストレージ・サーバーなど、すべてのExadataサーバーにメリットがあります。

アクセス検出によるセキュリティ

SELinuxは、確立されたセキュリティ・ポリシーごとにユーザー、プロセスおよびリソース間の相互作用を監視することによって、セキュリティを管理します。必須アクセス制御(MAC)を利用して、通常のファイル権限を超えて、システム上でアクセスできるユーザー、プロセスおよびサービスについて厳密にレポートまたは制御します。Exadataでは、重要なプラットフォームおよびデータベース・アクセス・ポリシーがExadataシステム・イメージで提供されます。アクセス・ポリシーおよびルールは、権限の最小化の原則に基づいて構成され、明示的に許可されていないアクセスにフラグを付けるように設計されています。

具体的には、SELinuxは、ユーザー/プロセス/サービスで次のことが可能であることを検証します。

  • ファイルの読取り、書込みまたは実行
  • ネットワーク・ポートを介した通信
  • 特定のデバイスまたはリソースへのアクセス

操作モード

SELinuxは、次の3つの操作モードをサポートするLinuxセキュリティ機能です。

  • Enforcing(強制): システム・デバイス、リソース、ポートおよびファイルへの不正アクセスをアクティブにブロックします。
  • Permissive(許可): 強制なしでポリシー違反を記録します
  • Disabled(使用不可): チェックまたは強制を実行しません

Exadata System Software 25.2以降、SELinuxはデフォルトでPermissiveモードに設定されます。Exadata System Software 25.2のすべての新しいExadataソフトウェア・デプロイメントでは、このモードがデフォルトとして使用されます。Exadataシステム・ソフトウェア25.2に更新しているExadataシステムは「Disabled」モードを保持しますが、管理者は明示的な構成アクションによってSELinuxを有効にすることを選択できます。

アクセス決定ワークフロー

Exadata System Software 25.2を実行しているExadataでは、ユーザーまたはプロセスがExadataリソース・オブジェクトにアクセスしようとすると、Linuxカーネルは、SELinux Security Serverと呼ばれるSELinux内のコア・コンポーネントを使用して、セキュリティ・ポリシーを評価し、アクセス制御の決定を行います。セキュリティ・サーバーは、ユーザーまたはプロセス・ラベル(実行中のプログラムの実行を許可する内容を定義する)とターゲット・リソースのラベル(ファイル、ポート、デバイスなどのアクセスされたリソースのセキュリティ・コンテキストを表す)をチェックし、アクティブなポリシー・ルールおよびコンテキスト表のポリシー・データベースを調べます。このアクセスが明示的に許可されていないことをカーネルが検出すると、ポリシーが拒否されます。ただし、アクセスは許可されています。アクセス・ベクター・キャッシュ(AVC)は、これらの決定を「AVC: denied」メッセージとして記録します。

この図は、機能決定ワークフローの概要を示しています。

Access Decision Workflow

 

構成の管理

25.2 より前のExadata System Software・バージョンでは、SELinuxはデフォルトで無効になっています。最新の機能拡張を利用するために、管理者はSELinuxモードを手動で切り替える必要がある場合があります。このセクションでは、構成プロセスをガイドするために必要な CLIコマンドとオプションについて説明します。

Exadataには、SELinuxパラメータを表示および構成するために使用できるホスト・アクセス制御(hac)コマンドが含まれています。ネイティブのLinuxツールや/etc/selinux/configの編集を使用してSELinux構成を変更することもできますが、このコマンドを使用することをお薦めします。

$ hac selinux --help     # Host Access Control command

SELinux configured state control
optional arguments:
-h, --help        show this help message and exit
-e, --enforcing   set the SELinux state to enforcing
-p, --permissive  set the SELinux state to permissive
-d, --disabled    set the SELinux state to disabled
-I, --relabel     Relabel filesystems online. A reboot is not required
-c, --config      Display the configured SELinux state
-s,-- status      Display the current SELinux status

前述のコマンド出力には、使用可能なオプションおよび使用手順のサマリーが表示されます。使用可能なオプションは説明的で、ユーザーがコマンドラインから直接SELinux設定およびモードを構成、表示、管理およびトラブルシューティングするのに役立ちます。

モード変更の影響

新しいSELinuxモードの変更がシステム全体で有効になる前に、すべてのプロセスが更新されたセキュリティ・コンテキストで開始する必要があります。このため、SELinuxモードの設定を変更するには、通常、システムの再起動が必要です。Exadata System Software 25.2が新しくデプロイされ、’permissive’のデフォルト設定が望ましいモードである場合、ユーザー・アクションは必要ありません。デフォルトのモード設定「permissive」が変更された場合は、システムをリブートする必要があります。

アクセス・イベントの監視およびトリアージ

アクセス・イベントの監視とトリアージは、セキュリティの脅威を検出し、不正行為への迅速な対応を確保するために不可欠です。Linuxコマンドは、拒否、ログイン試行、システム変更などのSELinuxイベントを表示するために使用できます。このコマンドは、通常、事前作成済のExadataポリシーに基づいてアクセス拒否を記録するAVCメッセージを含むSELinux監査ログを検索するために使用されます。監査ログは、ブロックされたアクセス、試行されたプロセス、および拒否された理由に関する詳細なインサイトを提供するため、システム管理者にとって不可欠です。AVC拒否メッセージの監査ログを表示するためのコマンド構文は次のとおりです。

$ ausearch -m AVC     # AVC拒否メッセージの監査ログをフィルタします

ausearchの出力を使用してアクセス拒否を監視、表示およびトリアージする機能により、SELinuxは、プロアクティブな保護と応答性診断の両方でExadata環境を強化し、パフォーマンスを損なうことなくシステム全体の回復力を強化します。この機能により、SELinux AVCイベント・モニタリングを既存の監視ツールおよびセキュリティ情報およびイベント管理(SIEM)プラットフォームと統合し、一元化された分析およびアラートをサポートすることが簡単になります。その結果、企業では、SELinux監査をより広範なセキュリティ操作ワークフローに組み込むことができます。

ソフトウェア更新の影響

Exadataシステム・ソフトウェアは、通常の操作およびソフトウェアの更新中に既存のSELinux設定を保持するように設計されています。さらに、SELinuxポリシーの更新は、セキュリティ・コンテキストまたはアクセス制御に影響する可能性のあるシステム、カーネル、ソフトウェアまたはファイル・システムの変更に対応するために、ソフトウェアの更新およびアップグレードによって自動的に適用されます。

Exadata: デフォルトで保護

Exadataのセキュリティは後回しではなく、設計され組み込まれています。Exadata上のSELinuxは、OSレベルでファイングレイン・アクセス制御を監視し、設定されたポリシーに違反するアクションをブロックするかわりに、監査ログへの違反を記録し、プラットフォームの多層セキュリティ・アーキテクチャに重要な保護レイヤーを追加します。この許容モードは、管理者が操作を中断することなくポリシーをモニター、分析および微調整できるため、非常に貴重です。中断のない監査証跡は、必要なポリシー調整を特定し、長期的なセキュリティ体制を強化するのに役立ちます。

SELinuxは、インテリジェントで適応性の高いセキュリティでExadataを強化し、妥協のない保護により、ミッションクリティカルなワークロードを確実に大規模に提供できるようにします。