セキュリティ

行レベルのセキュリティ

各層でのセキュリティを考慮し、業務や役割で最小限必要なアクセスを許可する戦略をアドバイスし、できる限り早い段階で、不必要なアクセスをプロックします。

  • まず、ホストへの物理的なアクセスにセキュリティ対策を施すことが、多分最も重要なことです。
  • 次に、社内ネットワーク全般へのアクセスを制限します。
  • 次に、データベースホストへのアクセスを制限します。
  • そして、データベースアプリケーションへのアクセスを制限します。
  • 次に、そのなかに含まれるデータへのアクセスを制限します。

EDBのサポートサブスクリプションでは、Postgres のセキュリティアップデートや対応するパッチが、適宜提供されます。

リソース

 

 

リソース

  • 近日公開

 

 

監査

EDB Postgres Advanced Serverは、セキュリティポリシーを行レベルまで実施できるように、DBAに強力なコントロール機能を持たせています。行レベルのセキュリティにより、DBAは、ユーザー名、認可レベル、組織メンバーシップなどの、任意の数のプロパティに応じて、参照または更新できる情報を制限できます。またDBAは、ユーザーのアクティビティを、同じ粒度で、追跡することもできます。この機能は、Oracleの実装と構成上互換性があり、列レベルのポリシーを実施し(重要な値や列へのアクセスを制限)、より限定的なポリシーを適用します(複数のポリシーを適用するために、ORではなくANDを使用)。

 

 

 

 


LDAP、Active Directory、Kerberosの統合

LDAPの認証方法は、セントラルロケーションから管理しなければならないユーザーとパスワードが、大量にある場合に役立ちます。このシナリオでは、セキュリティ構成ファイルpg_hba.conf(postgresホストベースのアクセス)は、ユーザー名、データベース、およびソースIP(ユーザーがTCP/IP経由で接続している場合)をベースにしたアクセスを制限します。これはpg_hba.confにおいて有利ファイルを小さくして、より管理しやすくし、ユーザーに、インフラストラクチャ経由の「統一パスワード」を体験してもらえます。RADIUSは、多数のユーザーのために、EDB Postgres Advanced Serverが対応する、別のオプションとなります。

GSSAPI(ジェネリックセキュリティサービスAPI)は、Kerberos(そしてLDAP)などの安全なエンタープライズレベルの認証および承認モデルのための、業界標準プロトコルです。EDB Postgres Advanced Serverは、公共ネットワーク経由の分散コンピューティングに適した安全な認証システム、Kerberosに対応しています。Kerberosは、シークレットキーによる暗号化で、安全に認証できます。

リソース

  • まもなく発売。