[OCI]Oracle Cloud Infrastructure Load Balancing Serviceのカスタマイズされたトランスポート層のセキュリティ(TLS)バージョンと暗号を発表 (2020/09/01)

Oracle Cloud Infrastructure Load Balancing Serviceのカスタマイズされたトランスポート層のセキュリティ(TLS)バージョンと暗号を発表 (2020/09/01)

https://blogs.oracle.com/cloud-infrastructure/announcing-customized-transport-layer-security-versions-and-ciphers-in-oracle-cloud-infrastructure-load-balancing-service
投稿者:Ajay Chhabria | Sr. Solution Architect

Oracle Cloud Infrastructure Load Balancingサービスで、
Transport Layer Security(TLS)暗号スイートTLS 1.0、TLS 1.1、およびTLS 1.2の
カスタム暗号選択を指定できるようになったことをお知らせします。
Oracle Cloud Load Balancing サービスは、デフォルトで TLS 1.2 をサポートしています。
状況によっては、このバージョンでは不十分な場合もあります。
有効になっているSSL(Secure Sockets Layer)暗号は、アプリケーションの種類やビジネス要件によって異なることを理解しておくことが重要です。

組織の中には、TLS のバージョンを拡大し、要件に応じて異なるバージョンを許可したいと考えているものがあります。
アプリケーションによっては、次世代またはレガシーなアプリケーションの要件を満たすために、
HTTPS または TLS 接続に使用する TLS のバージョンと暗号をより細かく制御する必要があります。
Oracle Cloud のロードバランサーは複数の暗号化スイートをサポートしており、それらのセキュリティ要件を満たす接続を強制することができます。

この記事では、TLSポリシーを制御する方法について説明し、
導入を成功させるためのOracle Cloud Infrastructure Load Balancingサービスの構成詳細について説明します。

背景


TLSはインターネット上で広く使われているプロトコルです。
その暗号化プロトコルは、ロードバランサーに接続するクライアントなど、異なるエンドポイント間で認証とデータの暗号化を提供します。

暗号スイートには、RSA、DHE、ECDHEなどの鍵交換アルゴリズム、3DES、RC4、AESの変種などの暗号化アルゴリズム、
MD5やSHAの変種などの認証アルゴリズムがあります。
Oracle Cloud Load Balancingサービスは複数の暗号スイートをサポートしており、セキュリティ要件を満たすスイートを使用できます。
指定した暗号スイートを満たしていないハンドシェイクを許可するか拒否するかを選択できます。

ソリューション


ロードバランサー上では、さまざまな暗号化方式やオプションを設定することができます。
ロードバランサー上では、以下の方法でTLSのバージョンや暗号を設定することができます。

  • 事前に定義されたテンプレート。
    一般的なTLSのバージョンと暗号の設定用に事前に定義済みのテンプレート。
    Oracle Cloud の事前定義済みプロトコルポリシーは、使用するポリシーとしては最もシンプルなものであることが多いです。
  • カスタム テンプレート。ユーザー定義のカスタムポリシーと暗号設定の定義を許可します。

定義済みテンプレート


事前に定義されたテンプレートには、以下のような事前に設定されたプロファイルが含まれています。

  • 互換性があります。SSL機能の最も広範なセットをサポートするクライアントを含む、より大きなクライアントのセットを許可し、ロードバランサーとSSLをネゴシエートします。
  • デフォルト: SSL 機能のセットを減らしてサポートします。デフォルト: より厳しいコンプライアンス要件を満たすために、 SSL機能のセットを減らしたものをサポートします。
  • モダン: SSL 機能の幅広いセットをサポートし、モダンなクライアントが SSL をネゴシエートできるようにします。
  • より広い互換性を持ちます。サポートされているすべての暗号を含みます。

定義済みテンプレートを使用したスイートの一覧を示す Cipher Suites ページのスクリーンショット。



カスタムテンプレート


独自の暗号の選択肢を指定する場合は、[暗号スイートを作成] をクリックします。
このオプションは、特定の暗号や TLS のバージョンレベルを有効または無効にする必要がある
情報セキュリティポリシーに準拠しなければならない場合に役立ちます。
要件に適合する暗号のみをリストアップしたカスタムポリシーを簡単に書くことができます。


リスナーに関するアソシエーション


以下の例では、管理者は TLS のバージョンと暗号スイートをリスナーに明示的に関連付ける必要があります。


カスタムTLSの検証

SSL LabsのSSLサーバーテストページのフォームにロードバランサーのURLを入力することで、
ロードバランサーが選択した必要な暗号を使用しているかどうかを確認することができます。

SSLスキャン


ロードバランサーの設定のセキュリティを個人的にテストしたい場合は、
sslscan のようなオープンソースの コマンドラインツールを使うことができます。

次のサンプル出力は sslscan ツールの出力の一部を示しています。
受け入れられた接続、失敗した接続、拒否された接続のいずれかが表示されています。
詳細については、sslscan のドキュメントを参照してください。

sslscanツールの出力サンプルのスクリーンショットで、受諾された接続が赤丸で囲われています。


まとめ


この記事では、最小限の設定で簡単な手順でカスタム版TLS暗号を設定する様々な方法を紹介しています。
Oracle Cloud Infrastructure Load Balancingサービス上でカスタムバージョンのTLSを設定してテストするブログをお読みいただけたでしょうか。
これで、Oracle Cloud Infrastructure上でWebサイトを設計する際に、この機能を利用してTLS暗号スイートをスマートに選択できるようになりました。
ロードバランサー機能の詳細については、「暗号スイートの管理」を参照してください。

コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28)

イメージ
Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28) https://blogs.oracle.com/cloud-infrastructure/post/secure-desktops-cloud-native-virtualization 投稿者: Joost Pronk Van Hoogeveen Jan Hendrik Mangold | Principal Product Manager Oracleは、Oracle Cloud Infrastructure(OCI)Secure Desktopsという新しいクラウド・ネイティブ・サービスをリリースしています。このエキサイティングな開発により、顧客はOCIテナンシから簡単にすばやく仮想デスクトップ・インフラストラクチャ(VDI)をデプロイできます。 OCIの使用状況は大幅に拡大しています。組織は、OCI内でデータを安全に保つことの価値を実現しています。ゼロトラストなセキュリティ優先アーキテクチャを実装することで、OCI Compute、Storage、およびNetworkingサービスは、グローバル・アクセスのためのエンタープライズ・アプリケーションを導入するための信頼できるプラットフォームを提供します。 データ・セキュリティとVDIがどのように役立つか 業界のアナリストによると 、ラップトップは53秒ごとに盗まれています。その事実と現実を結び付けると、会社のデータは、公共の場所を経由したり、従業員の自宅に座ったりするラップトップやデスクトップへと移行します。ローカル・ディスクの暗号化、データ・アクセス権限の強制、VPNアクセスの保護によってデータを保護するためにテクノロジが使用されていますが、いずれも許容可能なセキュリティ・レベルが適用されるため、リスクは依然として高くなる可能性があります。盗難または準拠していないいくつかのマシンでは、企業データ、さらには顧客データのデータ侵害が発生する可能性があります。 VDIテクノロジは長年にわたって存在してきましたが、従業員はローカル・マシンを使用して、会社のデータ・センター内の仮想マシンで実行されているデスクトップ・アプリケー
続きを読む

新しいOracle Container Engine for Kubernetesの機能強化により、大規模なKubernetesがさらに簡単になりました (2023/03/20)

イメージ
新しいOracle Container Engine for Kubernetesの機能強化により、大規模なKubernetesがさらに簡単になりました (2023/03/20) https://blogs.oracle.com/cloud-infrastructure/post/oracle-container-engine-kubernetes-enhancements 投稿者: Mickey Boxell | Product Management Linux以降、 Kubernetes はオープンソースソフトウェアの歴史上最も急速に成長しているプロジェクトです。10年も経たないうちに、 Kubernetesは主流 になり、特に過去2年間で導入がかつてないほど大きくなりました。 Oracle Cloud Infrastructure(OCI) は、この勢いも見ています。あらゆる業界の何千ものエンタープライズ顧客が、クラウドネイティブアプリケーション開発のメリットを経験しており、その導入を迅速化し、Kubernetesの使用を拡大しています。 Oracle Container Engine for Kubernetes (OKE)で実行されている抽出、変換、ロード(ETL)ジョブ、パイプライン、ハイパフォーマンスコンピューティング(HPC)ワークロード、さらにはデータベースなどにKubernetesを使用するために、顧客はKubernetesで標準化されており、コンテナ化されたアプリケーションを実行するのみでなく拡張されています。  「私たちは、Kubernetes インフラストラクチャと OKE、GPU、HPC、およびストリーミング、OpenSearch などの最新の開発者サービスを組み合わせて使用​​して、OCI で数十億の音声 AI クエリを実行しています。私たちは、次世代のトレーニングと配信に最適なクラウドとして OCI を選択しました。 AI アプリケーション – Mercedes Benz、Toast、VIZIO、Hyundai などのグローバル ブランドに最速かつ最も正確な音声エクスペリエンスを提供するのに役立ちます.OCI を使用することで、以前のクラウドと比較してパフォーマンスが 50 ~ 60% 向上しました。 2 倍のコスト削減 – 使用量
続きを読む