ビュー:
Deep Security Managerとデータベース間の通信チャネルが安全でない場合、それらの間の通信を暗号化することをお勧めします。現在の設計では、Deep Security Managerは最初にデータベースサーバとの暗号化接続を試みます。失敗した場合、Deep Security Managerは代わりにデータベースサーバとの暗号化されていない接続を使用します。
関連するメカニズムはDeep Security Managerが基づいているデータベースライブラリに組み込まれているため、サーバ証明書をインポートする必要はなく、設定ファイルを更新する必要もありません。暗号化セッションを有効にした場合のパフォーマンスへの影響については、データベースベンダーおよびそのサポートドキュメントを参照してください。
image2020-7-16_10-4-55=8f344264-8fbc-41e6-94da-666564cba708.png
使用しているデータベースによって指示が異なります。
注意
注意
複数ノードモードでDeep Security Managerを実行している場合は、以下の変更をノードごとに適用する必要があります。
このセクションでは、データベースサーバでエージェントを実行する方法、マネージャとデータベース間の暗号化を無効にする方法、および古いDeep Security Managerバージョンをアップグレードする方法についても説明します。

マネージャーとデータベース間の通信の暗号化

Microsoft SQL Serverデータベース

Deep Security Manager 20をまだインストールして[いない]場合:
  1. Microsoft MSDNサイトの データベースエンジンへの暗号化接続を有効にする の指示に従い、Microsoft SQLサーバで暗号化接続オプションを有効にします。
デフォルトでは、Deep Security Manager 20とMicrosoft SQL Serverの間の通信は暗号化されています。
Deep Security Manager 20 を[すでに]インストール済みで、Oracle Database サーバで暗号化オプションを有効にしていない場合:
  1. Deep Security Manager 20を停止します。
  2. Microsoft MSDNサイトのデータベースエンジンへの暗号化接続を有効にするの指示に従い、Microsoft SQLサーバで暗号化接続オプションを有効にしてください。
  3. Deep Security Managerを再起動します
デフォルトでは、Deep Security Manager 20とMicrosoft SQL Serverの間の通信は暗号化されています。
注意
注意
Microsoft SQL Serverに接続するには、SQL Server Manager Studioを使用できます。Deep Security Managerの暗号化接続が機能しているかどうかを確認するには、コマンド select client_net_address,connect_time,net_transport,protocol_type,encrypt_option from sys.dm_exec_connectionsを使用してください。

Oracle database

Deep Security Manager 20をまだインストールして[いない]場合:
  1. Oracle Help Centerのデータ暗号化と整合性の設定方法の指示に従い、Oracle Databaseサーバ側で暗号化接続オプションを有効にしてください。
デフォルトでは、Deep Security Manager 20とOracle Database Server間の通信は暗号化されています。
Deep Security Manager 20 を[すでに]インストール済みで、Microsoft SQL サーバで暗号化オプションを有効にしていない場合:
  1. Deep Security Manager 20を停止します。
  2. Oracleヘルプセンターのデータ暗号化と整合性の設定方法の指示に従い、Oracleデータベースサーバ側で暗号化接続オプションを有効にしてください。
  3. Deep Security Managerを再起動します
デフォルトでは、Deep Security Manager 20とOracle Database Server間の通信は暗号化されています。
注意
注意
暗号化された接続が機能しているかどうかを確認するには、Oracleブログ記事 ネイティブ暗号化と整合性の使用を確認する を参照してください。

PostgreSQL

まだDeep Security Manager 20をインストールしていない場合:
  1. PostgreSQLでSSLを有効にします。オンプレミスのPostgreSQLデータベースについては、詳細についてはSSLを使用したTCP/IP接続のセキュリティを参照してください。Amazon RDS for PostgreSQLについては、詳細についてはPostgreSQL DBインスタンスでのSSLの使用を参照してください。
デフォルトでは、Deep Security Manager 20 と PostgreSQL データベースサーバ間の通信は暗号化されています。
すでにDeep Security Manager 20をインストールしており、PostgreSQLデータベースサーバで暗号化オプションを有効にしていない場合:
  1. Deep Security Manager 20を停止します。
  2. PostgreSQLでSSLを有効にします。オンプレミスのPostgreSQLデータベースについては、詳細についてはSSLを使用したTCP/IP接続のセキュリティを参照してください。Amazon RDS for PostgreSQLについては、詳細についてはPostgreSQL DBインスタンスでのSSLの使用を参照してください。
  3. Deep Security Managerを再起動します
デフォルトでは、Deep Security Manager 20 と PostgreSQL データベースサーバ間の通信は暗号化されています。
注意
注意
マネージャがTLSを使用して接続されていることを確認するには、次のクエリを使用し、SSL列を確認してください: select a.client_addr, a.application_name, a.usename, s.* from pg_stat_ssl s join pg_stat_activity a using (pid) where a.datname='<Deep Security database name>';

データベースサーバでagentを実行する

データベースを保護するためにエージェントを使用している場合は、暗号化を有効にする必要があります。セキュリティアップデートを実行すると、Deep Securityマネージャは新しいIPSルールをデータベースに保存します。データが暗号化されていない場合、ルール名自体がエージェントによって解析される際に、ほぼ確実に誤検知を引き起こします。

マネージャとデータベース間の暗号化を無効にする

稀に、Deep Security Managerとデータベース間の暗号化を無効にする必要がある場合があります。例えば、古いバージョンのSQLサーバを使用している場合、接続エラーを回避するために暗号化を無効にする必要があるかもしれません。詳細については、エラー: インストーラーがデータベースサーバへの安全な接続を確立できませんでしたを参照してください。
データベースの種類に応じた手順に従って暗号化を無効にしてください。

Microsoft SQL Server

  1. Deep Security Managerサービスを停止します。
  2. SQLサーバで、データベースエンジンへの暗号化接続を有効にするで有効にした「強制暗号化」オプションを無効にします。
  3. (任意) Deep Security Manager 20がDeep Security Manager 12.5以前のバージョンからアップグレードされた場合、dsm.properties内のすべての暗号化関連の設定を削除してください。
    database.SqlServer.encrypt=true
    database.SqlServer.trustServerCertificate=true
    注意
    注意
    Deep Security 10.1または以前のバージョンからアップグレードし、データベースへの接続にトランスポートとして名前付きパイプを使用している場合は、代わりに次の行を削除してください: database.SqlServer.ssl=require
  4. 必要に応じてMicrosoft SQLサーバを再起動してください。
  5. Deep Security Managerを開始する。

Oracle Database

  1. Deep Security Managerサービスを停止します。
  2. Oracleサーバで接続の暗号化を無効にするには、データ暗号化と整合性の設定方法に従ってください。
  3. (任意) Deep Security Manager 20がDeep Security Manager 12.5以前のバージョンからアップグレードされた場合、dsm.properties内のすべての暗号化関連の設定を削除してください。
    database.Oracle.oracle.net.encryption_types_client=(AES256)
    database.Oracle.oracle.net.encryption_client=REQUIRED
    database.Oracle.oracle.net.crypto_checksum_types_client=(SHA1)
    database.Oracle.oracle.net.crypto_checksum_client=REQUIRED
  4. Oracle Listenerを再起動します。
  5. Deep Security Managerサービスを開始します。

PostgreSQL

  1. Deep Security Managerサービスを停止します。
  2. SSLを使用したセキュアTCP/IP接続に従ってssl=on in postgresql.confを削除し、PostgrSQLデータベースで接続の暗号化を無効にします。
  3. (任意) Deep Security Manager 20がDeep Security Manager 12.5以前のバージョンからアップグレードされた場合、dsm.properties内のすべての暗号化関連の設定を削除してください。
    database.PostgreSQL.connectionParameters=ssl=true
  4. PostgreSQLサービスを再起動します。
  5. Deep Security Managerサービスを開始します。

古いDeep Security Managerバージョンからアップグレードする

現在Deep Security Manager 12.5以前のバージョンを使用しており、以下の条件を満たしている場合:
  • 暗号化接続が有効です。
  • PostgreSQLデータベースサーバを使用します。
アップグレードする前に、以下の指示に従ってください。
上記のいずれかの条件が満たされない場合は、次のセクションを無視して、Deep Security Manager 20.0に直接アップグレードできます。

Deep Security Managerをアップグレード

PostgreSQL JDBCドライバーはバージョンによって異なる動作をするため、アップグレードする前に次の手順を完了する必要があります。
  1. PostgreSQLデータベースサーバから証明書をエクスポートします。(旧バージョンのDeep Security Managerでは接続暗号化を有効にするために証明書が必要なため、既に完了しているはずです。)
  2. 証明書ファイルをroot.crtに名前変更してください。
  3. 定義済みのDeep Security Manager 20パスに配置してください:
    Linuxでは、 root.crt~/.postgresql/に入れてください
    Windowsでは、root.crtc:\Users\{USERNAME}\AppData\Roaming\postgresql\に置いてください。
  4. アップグレードフローを実行します。アップグレード後もDeep Security Manager 20はPostgreSQLサーバとの暗号化接続を継続して使用します。