Oracle Cloud Infrastructureドキュメント

ネットワークを保護する方法

クラウド・ネットワークとコンピューティング・インスタンスのセキュリティを制御するには、いくつかの方法があります:

  • パブリックとプライベートのサブネット:サブネットをプライベートに指定することができます。つまり、サブネット内のインスタンスはパブリックIPアドレスを持つことができません。 詳細は、「パブリックとプライベートのサブネット」を参照してください。
  • セキュリティ・リスト:インスタンス内/外のパケット・レベル・トラフィックを制御します。 セキュリティ・リストは、Oracle Cloud Infrastructure APIまたはコンソールで構成します。 セキュリティ・リストの詳細については、「セキュリティ・リスト」を参照してください。
  • ファイアウォール・ルール:インスタンス内/外のパケット・レベル・トラフィックを制御します。 ファイアウォール・ルールはインスタンス自体で直接構成します。 Oracle Linuxを実行するOracle Cloud Infrastructureイメージには、SSHトラフィックのTCPポート22でのイングレスを許可するデフォルト・ルールが自動的に含まれています。 また、Windowsイメージには、リモート・デスクトップ・アクセスのTCPポート3389でのイングレスを許可するデフォルトのルールが含まれています。 詳細は、「Oracle提供イメージ」を参照してください。
    重要

    ファイアウォール・ルールとセキュリティ・リストは両方ともインスタンス・レベルで動作します。 ただし、サブネット・レベルでセキュリティ・リストを構成すると、特定のサブネット内のすべてのインスタンスが同じセキュリティ・リスト・ルール・セットを持つことになります。 クラウド・ネットワークとインスタンスのセキュリティを設定する場合は、この点を念頭に置いてください。 インスタンスへのアクセスをトラブルシューティングするときは、インスタンス・サブネットに関連付けられたセキュリティ・リストとインスタンス・ファイアウォール・ルールの両方が正しく設定されていることを確認してください。

    インスタンスがOracle Linux 7を実行している場合、firewalldを使用してiptablesルールと対話する必要があります。 参考までに、ポートを開くためのコマンドを以下に示します(この例では1521):

    sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
    								
    sudo firewall-cmd --reload
  • ゲートウェイとルート表:クラウド・ネットワークから外部の宛先(インターネット、オンプレミス・ネットワーク、または別のVCN)への一般的なトラフィック・フローを制御します。 クラウド・ネットワーク・ゲートウェイとルート表は、Oracle Cloud Infrastructure APIまたはコンソールで構成します。 ゲートウェイの詳細については、「Networkingコンポーネント」を参照してください。 ルート表の詳細については、「ルート表」を参照してください。
  • IAMポリシー: Oracle Cloud Infrastructure APIまたはコンソール自体にアクセスできるユーザーを制御します。 アクセスのタイプとアクセス可能なクラウド・リソースを制御できます。 たとえば、ネットワークとサブネットを設定できるユーザー、またはルート表やセキュリティ・リストを更新できるユーザーを制御できます。 Oracle Cloud Infrastructure APIまたはコンソールでポリシーを構成します。 詳細は、「アクセス制御」を参照してください。