Oracle Cloud Infrastructureドキュメント

セキュリティ・リスト

「ネットワーキング」サービスは、パケット・レベルでトラフィックを制御するために2つの仮想ファイアウォール機能を提供します:

  • セキュリティ・リスト: このトピックに適用されています。 これは、「ネットワーキング」サービスによって提供される、元のタイプの仮想ファイアウォールです。
  • ネットワーク・セキュリティ・グループ: Oracleがセキュリティ・リストより推奨する別のタイプの仮想ファイアウォール。 「ネットワーク・セキュリティ・グループ」も参照してください。

これらの両方の機能で「セキュリティ・ルール」が使用されます。 セキュリティ・ルールの動作に関する重要な情報、およびセキュリティ・リストとネットワーク・セキュリティ・グループの一般的な比較については、「セキュリティ・ルール」を参照してください。

ハイライト

  • セキュリティ・リストは、「コンピュート」インスタンスおよび「他の種類のリソース」の仮想ファイアウォールとして機能します。 セキュリティ・リストは、すべてのVNIC 「セキュリティ・リストが関連付けられているすべてのサブネット内」に適用される一連のイングレスおよびエグレス「セキュリティ・ルール」で構成されています。 これは、特定のサブネット内のすべてのVNICが同じセキュリティ・リスト・セットに適用されることを意味します。 「セキュリティ・リストとネットワーク・セキュリティ・グループの比較」も参照してください。
  • セキュリティ・リスト・ルールは、ネットワーク・セキュリティ・グループ・ルールと同じように機能します。 ルール・パラメータについては、「セキュリティ・ルールの構成要素」を参照してください。
  • 各VCNには、重要なトラフィックに対応する複数のデフォルト・ルールを持つ「デフォルト・セキュリティ・リスト」が用意されています。 サブネットにカスタムのセキュリティ・リストを指定しない場合、そのサブネットではデフォルトのセキュリティ・リストが自動的に使用されます。 デフォルトのセキュリティ・リストでルールを追加および削除できます。
  • ネットワーク・セキュリティ・グループと比較して、セキュリティ・リストには個別の制限と異なる制限があります。 「制限」も参照してください。

セキュリティ・リストの概要

セキュリティ・リストはインスタンスの仮想ファイアウォールとして機能し、イングレス・ルールおよびエグレス・ルールで使用可能なトラフィックのタイプを指定します。 各セキュリティ・リストはVNICレベルで適用されます。 しかし、セキュリティ・リスト「サブネット・レベルで」を構成します。つまり、特定のサブネット内のすべてのVNICが同じセキュリティ・リストのセットの対象になります。 セキュリティ・リストは、VCN内の別のインスタンスと通信しているか、VCN外部のホストと通信しているかに関係なく、特定のVNICに適用されます。

各サブネットには、関連付けられた複数のセキュリティ・リストを含めることができ、各リストには複数のルールを含めることができます(最大数は、「制限」を参照)。 「リストのいずれかのルール」がトラフィックを許可する場合(またはトラフィックがトラッキングされている既存の接続の一部である場合)、問題のパケットが許可されます。 リストに、同じトラフィックをカバーするステートフルとステートレスの両方のルールが含まれている場合は注意が必要です。 詳細は、「ステートフル対ステートレス・ルール」を参照してください。

セキュリティ・リストはリージョン・エンティティです。 セキュリティ・リストに関連する制限については、「制限」を参照してください。

セキュリティ・リストはIPv4トラフィックとIPv6トラフィックの両方を制御できます。 ただし、IPv6のアドレス指定および関連するセキュリティ・リストのルールは、現在Government Cloudでのみサポートされています。 詳細は、「IPv6アドレス」を参照してください。

デフォルト・セキュリティ・リスト

各クラウド・ネットワークには「デフォルト・セキュリティ・リスト」があります。 VCNには、他のセキュリティ・リストも作成できます。 サブネットの作成中に1つ以上の他のセキュリティ・リストを指定しないと、特定のサブネットに関連付けられているデフォルトのセキュリティ・リストが自動的に設定されます。 サブネットを作成した後は、いつでもそれに関連付けるセキュリティ・リストを変更できます。 また、リスト内のルールを変更できます。

他のセキュリティ・リストとは異なり、デフォルトのセキュリティ・リストには、最初に変更されるステートフル・ルール・セットが付属しています:

  • ステートフルなイングレス: ソース0.0.0.0/0および任意のソース・ポートからの宛先ポート22 (SSH)上のTCPトラフィックを許可します。 この規則によって、新しいクラウド・ネットワークおよびパブリック・サブネットの作成、Linuxインスタンスの起動、およびすぐにSSHを使用してそのインスタンスに接続できるようになります。セキュリティ・リスト・ルールは必要ありません。

    重要

    デフォルトのセキュリティ・リストには、リモート・デスクトップ・プロトコル(RDP)アクセスを許可するルールは含まれていません。 「Windowsイメージ」を使用している場合は、宛先ポート3389のTCPトラフィック用のステートフルなイングレス・ルールをソース0.0.0.0/0および任意のソース・ポートから追加してください。

    詳細については、「RDPアクセスを有効にするには」を参照してください。

  • ステートフルなイングレス: ICMPトラフィック・タイプ3コード4をソース0.0.0.0/0から許可します。 このルールにより、インスタンスはPath MTU Discoveryフラグメンテーション・メッセージを受信できます。

  • ステートフルなイングレス: source = VCNのCIDRからのICMPトラフィック・タイプ3(すべてのコード)。 このルールは、インスタンスがVCN内の他のインスタンスから接続エラー・メッセージを受信するのを容易にします。
  • ステートフルなエグレス: すべてのトラフィックを許可します。 これにより、インスタンスは任意の種類のトラフィックを任意の宛先に送信できます。 これは、パブリックIPアドレスを持つインスタンスが、VCNにインターネット・ゲートウェイが構成されている場合に、すべてのインターネットIPアドレスと通信できることを意味します。 また、ステートフル・セキュリティ・ルールでは接続トラッキングが使用されるため、レスポンス・トラフィックはイングレス・ルールに関係なく自動的に許可されます。 詳細は、「ステートフル・ルールの接続トラッキングの詳細」を参照してください。

デフォルトのセキュリティ・リストには、ステートレス・ルールはありません。 ただし、必要に応じて、デフォルトのセキュリティ・リストにルールを追加または削除することができます。

VCNでIPv6アドレス指定(Government Cloudのみで現在サポートされます)が有効になっている場合、デフォルトのセキュリティ・リストにはIPv6トラフィック用のデフォルトのルールが含まれます。 詳細は、「IPv6アドレス」を参照してください。

Pingの有効化

デフォルトのセキュリティ・リストには、pingリクエストを許可するルールが含まれていません。 インスタンスをpingする場合、「Pingを有効にするルール」を参照してください。

セキュリティ・ルール

セキュリティ・ルールの基本をまだ理解していない場合は、セキュリティ・ルール・トピックで次の項を参照してください:

セキュリティ・リストの操作

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てるときは、機密情報を入力しないでください。

セキュリティ・リストを操作するための一般的なプロセス

  1. セキュリティ・リストを作成します。
  2. セキュリティ・リストにセキュリティ・ルールを追加します。
  3. セキュリティ・リストを1つ以上のサブネットに関連付けます。
  4. サブネットにリソースを作成します(たとえば、サブネットに「コンピュート」インスタンスを作成します)。 セキュリティ・ルールはそのサブネット内のすべてのVNICに適用されます。 「VNICと親リソースについて」も参照してください。

追加の詳細

サブネットを作成する場合は、少なくとも1つのセキュリティ・リストを関連付ける必要があります。 VCNのデフォルト・セキュリティ・リストか、すでに作成した他の1つ以上のセキュリティ・リストのいずれかになります(最大数は「サービス制限」を参照)。 「サブネットが使用するセキュリティ一覧を変更する」はいつでも利用できます。

オプションで、作成中にセキュリティ・リストにフレンドリ名を割り当てることができます。 ユニークである必要はなく、後で変更することもできます。 Oracleでは、Oracle Cloud ID (OCID)という一意の識別子がセキュリティ・リストに自動的に割り当てられます。 詳細は、「リソース識別子」を参照してください。

アクセス制御の目的で、セキュリティ・リストを配置するコンパートメントを指定する必要があります。 使用するコンパートメントがわからない場合は、組織の管理者に相談してください。 詳細は、「アクセス制御」を参照してください。

1つのコンパートメントから別のコンパートメントにセキュリティ・リストを移動できます。 セキュリティ・リストを移動しても、サブネットへのそのアタッチメントには影響しません。 セキュリティ・リストを新しいコンパートメントに移動すると、固有のポリシーがただちに適用され、セキュリティ・リストへのアクセスに影響を与えます。 詳細は、「コンパートメントの管理」を参照してください。

セキュリティ・リストでルールを追加および削除できます。 セキュリティ・リストにルールを含めることはできません。 APIでセキュリティ・リストを更新すると、新しいルールのセットによって既存のルールのセット全体が置き換えられます。

セキュリティ・リストを削除するには、サブネットに関連付けられていてはなりません。 VCNのデフォルト・セキュリティ・リストは削除できません。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が作成するポリシーで、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどちらを使用しているかにかかわらず、必要なタイプのアクセスを付与する必要があります。 アクションを実行しようとしたときに、権限のないメッセージや権限のないメッセージを取得する場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

管理者向け: 「ネットワーク管理者がクラウド・ネットワークを管理できるようにします」のポリシーは、セキュリティ・リストを含むすべてのネットワーキング・コンポーネントの管理を対象としています。

ネットワーキングのセキュリティ・リストを管理する必要があるが、他のコンポーネントは管理しないセキュリティ管理者がいる場合は、より限定的なポリシーを書くことができます:

Allow group SecListAdmins to manage security-lists in tenancy

Allow group SecListAdmins to manage vcns in tenancy

両方のステートメントは、セキュリティ・リストの作成がセキュリティ・リストが入っているVCNに影響するため、必要です。 alsoでは、2番目の文の範囲で、SecListAdminsグループがVCNを作成できます。 ただし、これらのリソースに追加の権限が必要なため、グループはサブネットを作成したり、それらのVCNに関連する他のコンポーネント(セキュリティ・リストを除く)を管理することはできません。 また、このグループはサブネットに関連する権限を必要とするため、すでにサブネットがある既存のVCNを削除することもできません。

詳細は、「ネットワーキングのIAMポリシー」を参照してください。

コンソールを使用した場合

VCNのデフォルト・セキュリティ・リストを表示するには
既存のセキュリティ・リスト内のルールを更新するには
セキュリティ・リストを作成するには:
サブネットが使用するセキュリティ・リストを変更するには
セキュリティ・リストを別のコンパートメントに移動するには:
セキュリティ・リストを削除するには
セキュリティ・リストのタグを管理するには

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

VCNセキュリティ・リストを管理するには、次の操作を使用します:

このトピックは移動しました。2秒後にリダイレクトされない場合は、次のリンクをクリックしてください: セキュリティ・リスト。