Oracle Cloud Infrastructureドキュメント

ネットワークを保護する方法

クラウド・ネットワークとコンピューティング・インスタンスのセキュリティを制御するには、いくつかの方法があります:

  • パブリック・サブネットとプライベート・サブネット: サブネットをプライベートに指定することができます。つまり、サブネット内のインスタンスはパブリックIPアドレスを持つことができません。 詳細は、「パブリックとプライベートのサブネット」を参照してください。
  • セキュリティ・ルール: インスタンスとの間でパケット・レベルのトラフィックを制御する場合。 セキュリティ・ルールは、Oracle Cloud Infrastructure APIまたはコンソールで構成します。 セキュリティ・ルールを実装するには、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用できます。 詳細は、「セキュリティ・ルール」を参照してください。
  • ファイアウォール・ルール: インスタンス内/外のパケット・レベル・トラフィックを制御します。 ファイアウォール・ルールはインスタンス自体で直接構成します。 Oracle Linuxを実行するOracle Cloud Infrastructureイメージには、SSHトラフィックのTCPポート22でのイングレスを許可するデフォルト・ルールが自動的に含まれています。 また、Windowsイメージには、リモート・デスクトップ・アクセスのTCPポート3389でのイングレスを許可するデフォルトのルールが含まれています。 詳細は、「Oracle提供のイメージ」を参照してください。
    重要

    ファイアウォール・ルールとセキュリティ・ルールは、両方ともインスタンス・レベルで動作します。 ただし、サブネット・レベルでセキュリティ・リストを構成します。つまり、特定のサブネット内のすべてのリソースに、同じセキュリティ・リスト・ルール・セットが含まれます。 また、ネットワーク・セキュリティ・グループ内のセキュリティ・ルールは、グループ内のリソースにのみ適用されます。 インスタンスへのアクセスをトラブルシューティングするときに、次のアイテムがすべて正しく設定されていることを確認してください: インスタンスが属しているネットワーク・セキュリティ・グループ、インスタンス・サブネットに関連付けられているセキュリティ・リスト、およびインスタンス・ファイアウォール・ルール

    インスタンスがOracle Linux 7を実行している場合、firewalldを使用してiptablesルールと対話する必要があります。 参考までに、ポートを開くためのコマンドを以下に示します(この例では1521):

    sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
    								
    sudo firewall-cmd --reload
  • ゲートウェイとルート表: クラウド・ネットワークから外部の宛先(インターネット、オンプレミス・ネットワーク、または別のVCN)への一般的なトラフィック・フローを制御します。 クラウド・ネットワーク・ゲートウェイとルート表は、Oracle Cloud Infrastructure APIまたはコンソールで構成します。 ゲートウェイの詳細については、「ネットワーキング・コンポーネント」を参照してください。 ルート表の詳細については、「ルート表」を参照してください。
  • IAMポリシー: Oracle Cloud Infrastructure APIまたはコンソール自体にアクセスできるユーザーを制御します。 アクセスのタイプとアクセス可能なクラウド・リソースを制御できます。 たとえば、ネットワークおよびサブネットの設定や、ルート表、ネットワーク・セキュリティ・グループまたはセキュリティ・リストの更新ができるユーザーを制御できます。 Oracle Cloud Infrastructure APIまたはコンソールでポリシーを構成します。 詳細は、「アクセス制御」を参照してください。