Oracle Cloud Infrastructureドキュメント

セキュリティ・サービスと機能

Oracle Cloud Infrastructureの重要な目的は、オンプレミスのインフラストラクチャとデータセンターの論理的な拡張をOracle Cloud Infrastructureに作成できるようにすることです。 既存のセキュリティの姿勢を妥協または改革することなく、最新のパブリック・クラウドの利点を得ることができます。 この考え方は、すべてのインフラストラクチャとサービスの設計の中心でした。

リージョンと可用性ドメイン

データの可用性と耐久性を提供するため、Oracle Cloud Infrastructureを使用すると、異なる地理的プロファイルと脅威プロファイルを持つインフラストラクチャから選択できます。 リージョンはインフラストラクチャの最上位コンポーネントです。 各リージョンは、「可用性ドメイン」と呼ばれる複数の断絶されたロケーションを持つ別個の地理的領域です。 「可用性ドメイン」はリージョンのサブコンポーネントであり、独立した信頼性の高いコンポーネントです。 「可用性ドメイン」は完全に独立したインフラストラクチャで構築されています: 建物、発電機、冷却機器、およびネットワーク接続が含まれます。 物理的な分離によって、自然災害やその他の災害からの保護がもたらされます。 同じリージョン内の「可用性ドメイン」は、セキュアで高速で低レイテンシのネットワークで接続されているため、アプリケーションの待ち時間とパフォーマンスへの影響を最小限に抑えて、信頼性の高いアプリケーションとワークロードを構築して実行できます。 「可用性ドメイン」間のすべてのリンクは暗号化されています。 各リージョンには1つ以上の「可用性ドメイン」があり、それぞれの「可用性ドメイン」で高可用性アプリケーションをデプロイできます。

アイデンティティおよびアクセス管理(IAM)サービス

Oracle Cloud Infrastructure Identity and Access Management (IAM)サービスは、企業の要件を満たすように構築されており、Oracle Cloud Infrastructureのすべてのリソースとサービスに対する認証と認可を提供します。 企業は、セキュリティ、隔離、ガバナンスを維持しながら、さまざまなビジネス・ユニット、チーム、および個人が共有する1つのテナンシを使用できます。

顧客がOracle Cloud Infrastructureに参加すると、テナンシが作成されます。 テナンシは、顧客に属するすべてのOracle Cloud Infrastructureリソースを含む仮想構成です。 テナンシの管理者は、ユーザーとグループを作成し、コンパートメントに分割されたリソースに最小特権アクセス権を割り当てることができます。 コンパートメントは、単一の論理ユニットとして管理できるリソースのグループであり、大規模なインフラストラクチャを効率的に管理する方法を提供します。 たとえば、顧客は、HRアプリケーションをホストするために必要なクラウド・ネットワーク、コンピューティング・インスタンス、およびストレージ・ボリュームの特定のセットをホストするためのコンパートメント(HR-Compartment)を作成できます。 コンパートメントは、クラウド・リソースを整理し隔離するためのOracle Cloud Infrastructureの基本コンポーネントです。 お客様は、これらのリソースを使用して、分離のためにリソースを明確に分けることができます(1つのプロジェクトまたはビジネス・ユニットのリソースを別のものから分離する)。 一般的なアプローチは、組織の主要部分ごとにコンパートメントを作成することです。 リージョン的に有効なほとんどのOracle Cloud Infrastructureサービスとは異なり、IAMサービス・リソースはグローバルです。 顧客は、複数のリージョンにわたって単一のテナンシを所有することができます。

主要なIAMプリミティブは次のとおりです:

  • リソース: 企業の従業員がOracle Cloud Infrastructureサービスと対話するときに作成し使用するクラウド・オブジェクト(インスタンスのコンピュート、ストレージ・ボリュームのブロック、仮想クラウド・ネットワーク(VCN)、サブネット、ルート表など)。
  • ポリシー: テナンシ内のリソースへのアクセスを定義する一連の認可ルール。
  • コンパートメント: セキュリティ分離とアクセス制御のための異機種間のリソースの集合。
  • テナンシ: すべての組織リソースを含むルート・コンパートメント。 テナンシ内で、管理者は1つまたは複数のコンパートメントを作成し、より多くのユーザーとグループを作成し、コンパートメント内のリソースを使用する権限をグループに付与するポリシーを割り当てることができます。
  • ユーザー: リソースを管理するためにアクセスする必要のある人間またはシステム。 リソースにアクセスするには、ユーザーをグループに追加する必要があります。 ユーザーには、Oracle Cloud Infrastructureサービスの認証に使用する必要のある1つ以上の資格証明があります。 フェデレートされたユーザーもサポートされています。
  • グループ: 同様のアクセス権セットを共有するユーザーの集まり。 管理者は、アクセス・ポリシーを付与して、テナンシ内のリソースを消費または管理するグループを許可することができます。 グループ内のすべてのユーザーは、同じ特権セットを継承します。
  • アイデンティティ・プロバイダ: フェデレート・アイデンティティ・プロバイダとの信頼関係。 Oracle Cloud Infrastructureコンソールを認証しようとするフェデレートされたユーザーは、構成済みのアイデンティティ・プロバイダにリダイレクトされます。 認証に成功した後、フェデレートされたユーザーは、IAMユーザーと同様に、Oracle Cloud Infrastructureリソースをコンソールで管理できます。 現在、Oracle Cloud Infrastructureは、Oracle Identity Cloud ServiceおよびMicrosoft Active Directoryフェデレーション・サービス(ADFS)をIDプロバイダとしてサポートしています。 フェデレーション・グループはネイティブのIAMグループにマッピングされ、フェデレートされたユーザーに適用されるポリシーを定義します。

このイメージは、IAMポリシー、ユーザー、およびグループ、およびテナンシ内のリソースとの関係を示しています。

Oracle Cloud Infrastructureリソースにアクセスするすべての顧客の呼び出しは、まずIAMサービス(またはフェデレートされたプロバイダ)によって認証され、IAMポリシーに基づいて承認されます。 顧客は、一連のユーザーに、テナンシ内のコンパートメント内のインフラストラクチャ・リソース(ネットワーク、コンピュート、ストレージなど)にアクセスする権限を与えるポリシーを作成できます。 これらのポリシーは柔軟性があり、理解しやすく監査するための人間が判読可能な形式で書かれています。 ポリシーには、わかりやすい構文に従った1つ以上のポリシー文が含まれています:

Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>

動詞は、カバーするアクセスのタイプを定義します。 Oracleは、ポリシー・ステートメントで使用できる次の動詞を定義します:

  • inspect: リソースの一部である可能性のある機密情報やユーザー指定のメタデータにアクセスすることなく、リソースをリストする機能を提供します。
  • read: inspectとユーザー指定のメタデータと実際のリソース自体を取得する機能が含まれています。
  • use: readと既存のリソースを処理する機能(リソース・タイプによってアクションが異なる)が含まれます。 更新操作が作成操作と同じ効果を持つリソース・タイプ(たとえば、UpdatePolicy およびUpdateSecurityList)を除き、リソースを更新する機能が含まれます。 そのような場合、更新能力は管理動詞だけで利用可能です。 一般に、この動詞には、そのタイプのリソースを作成または削除する機能は含まれていません。
  • manage: リソースのすべてのアクセス許可が含まれます。

次のポリシー例では、GroupAdminsグループで任意のグループを作成、更新、または削除できます:

Allow group GroupAdmins to manage groups in tenancy

各ユーザーは、Oracle Cloud Infrastructureに対して自分自身を認証するために、以下の資格証明の1つ以上を持っています。 ユーザーは独自の資格証明を生成してローテーションできます。 さらに、セキュリティ管理者は、テナンシ内の任意のユーザーの資格証明をリセットできます。

  • コンソール・パスワード: Oracle Cloud Infrastructureコンソールへのユーザーの認証に使用されます。
  • APIキー: すべてのAPI呼び出しは、ユーザー固有の2048ビットRSA秘密キーを使用して署名されます。 ユーザーは公開キー・ペアを作成し、その公開キーをコンソールにアップロードします。
  • 認証トークン: 認証トークンは、Oracleが生成したトークン文字列で、Oracle Cloud Infrastructureシグネチャ・ベースの認証をサポートしていないサードパーティのAPIで認証するために使用できます。 たとえば、authトークンを使用してSwiftクライアントで認証します。 十分な複雑さを確保するために、トークンはIAMサービスによって作成され、顧客が提供することはできません。
  • 顧客の秘密キー: Amazon S3クライアントがオブジェクト・ストレージ・サービスS3互換APIにアクセスするために使用します。 十分な複雑さを確保するため、パスワードはIAMサービスによって作成され、顧客が提供することはできません。

監査サービス

Oracle Cloud Infrastructure Auditサービスは、グラフィック管理コンソールからのログイン・アクティビティだけでなく、顧客のテナンシ内のリソースへのすべてのAPI呼び出しを記録します。 顧客は、監査サービスを使用して、テナンシ内のすべてのユーザー活動をモニタリングすることによって、独自のセキュリティおよびコンプライアンスの目標を達成できます。 すべてのコンソール、SDK、およびコマンドライン(CLI)呼び出しはAPIを経由するため、これらのソースからのすべてのアクティビティが含まれます。 監査レコードは、認証されたフィルタリング可能な問合せAPIを介して使用できます。または、Oracle Cloud Infrastructure Object Storageからバッチ・ファイルとして取得できます。 監査ログの内容には、発生したアクティビティ、開始したユーザー、リクエストの日時、リクエストのソースIP、ユーザー・エージェント、およびHTTPヘッダーが含まれます。

コンピュート・サービス

コンピュートOracle Cloud Infrastructureのコア・コンポーネントであり、エンタープライズ・レベルのセキュリティとパフォーマンスを備えたオンデマンドで柔軟なコンピューティング機能を提供します。 お客様は、使いやすいWebベースの管理コンソールを使用して、数千ものコンピュート・インスタンスをプロビジョニングし、それらを上下に拡大することができます。 これを行うためのプログラムによるサポートは、豊富な機能を備えたSDKやコマンドライン・インタフェース(CLI)を介して利用できます。 すべてのコンピューティング・インスタンスは、Oracleエンタープライズ・グレードのデータセンターでホストされています。

コンピュート・インスタンスは、最新世代のマルチ・コア・サーバーCPU、多量のメモリー、および高スループットのNVMeローカル・ストレージを使用する高性能サーバー・ハードウェアに基づいています。 Oracle Cloud Infrastructureは、ベアメタル(BM)インスタンスと仮想マシン(VM)インスタンスを提供します。 顧客は、パフォーマンス、コスト、およびソフトウェアの柔軟性要件に適合するインスタンスを選択できます。

  • ベアメタル・インスタンス: ベアメタル・インスタンスでは、物理サーバーはサーバーを完全に制御できる単一の顧客専用です。 Oracleが管理するハイパーバイザはなく、Oracleの担当者は、インスタンスの実行中にメモリーまたはローカル(NVMe)ストレージにアクセスできません。 すべてのネットワーク仮想化はオフ・ボックスで実行され、Oracle Integrated Lights Out Manager (ILOM)のみがインフラストラクチャからアクセスできます(インスタンスをリモートで再起動または再プロビジョニングするために必要です)。 これらのベアメタル・インスタンスは、一貫性のある高性能を提供し、ノイズの多い近隣の問題の影響を受けません。 顧客は、ベアメタル・インスタンスに対するOSレベルの管理権限を持ちます。 顧客がベアメタルのインスタンスを終了すると、サーバーは自動化されたディスクおよびファームウェア・レベルのワイプ・プロセスを経て、顧客間の隔離が確実に行われます。
  • 仮想マシン(VM)インスタンス: 柔軟な要件を持つ顧客または専用のベアメタル・インスタンスを必要としないお客様は、VMを選択できます。 Oracle Cloud Infrastructureのマルチテナント・カスタマVMは、セキュリティ強化されたハイパーバイザによって管理され、顧客間の強力な隔離を提供します。

Oracle Cloud Infrastructureインスタンスは、デフォルトでキー・ベースのSSHを使用します。 顧客は、SSH公開キーをOracle Cloud Infrastructureに提供し、インスタンスにアクセスするためにSSH秘密キーを安全に使用します。 Oracle Cloud Infrastructureインスタンスにアクセスするには、キー・ベースのSSHを使用することをお薦めします。 パスワード・ベースのSSHは、ブルートフォース攻撃の影響を受けやすく、推奨されません。

最新のセキュリティ・アップデートで強化されたOracle LinuxイメージをOracle Cloud Infrastructureインスタンスで実行することができます。 Oracle LinuxイメージはUnbreakable Enterprise Kernel (UEK)を実行し、起動せずにセキュリティ・パッチを適用するKspliceなどの高度なセキュリティ機能をサポートしているため、企業は混乱することなくインスタンスをリアルタイムで更新できます。 Oracle Linuxに加えて、Oracle Cloud Infrastructureは、CentOS、Ubuntu、Windows Serverなど、利用可能な他のOSイメージの利用可能なリストを増やしています。 カスタム・イメージを持ち込むこともできます。 すべてのオラクル提供のイメージには、デフォルトでオンになっているOSレベルのファイアウォールを含むセキュアなデフォルトが付属しています。

ネットワーキング・サービス

ハイ・スルー・プットで信頼性の高いネットワーキングは、コンピューティングおよびストレージ・サービスを大規模に提供するパブリック・クラウド・インフラストラクチャの基本です。 その結果、私たちは、企業顧客およびそのワークロードの要件をサポートするために、Oracle Cloud Infrastructureネットワーキングに大幅な革新を投資しました。 Oracle Cloud Infrastructureリージョンは、オーバーサブスクライブされていない最先端のノン・ブロッキングClosネットワークで構築されており、予測可能で帯域幅が広く、待ち時間の短いネットワークを顧客に提供します。 あるリージョンのデータセンターは、高可用性となるようにネットワーク化されており、それらの間に低レイテンシの接続性があります。

Oracle Cloud Infrastructureネットワーキング・サービスは、顧客にカスタマイズ可能なプライベート・ネットワーク(VCNまたは仮想クラウド・ネットワーク)を提供し、顧客のOracle Cloud Infrastructureリソースを論理的に分離します。 顧客は、データセンターのオンプレミス・ネットワークと同様に、VCNを使用してプライベートIPアドレス、サブネット、ルート表、およびゲートウェイを持つホストとVCNを設定できます。 VCNは、インターネット接続用に構成することも、IPSec VPNゲートウェイまたはFastConnectを介して顧客専用データセンターに接続することもできます。 FastConnectは、既存ネットワークのエッジ・ルーターとDynamic Routing Gateways (DRG)との間にプライベート接続を提供します。 トラフィックはインターネットを通過しません。

ネットワーキング・サービスは、双方向、ステートフル、ステートレスのファイアウォールもサポートしているため、お客様はネットワーク・セキュリティのアクセス制御を初期化できます。 顧客のVCNに指定されたファイアウォールとACLは、ネットワーク・トポロジとコントロール・プレーン全体に伝播され、多層化された多層防御を実現します。 各テナント(顧客)は、複数のVCNを作成してリソースの論理グループを実装できます。

VCNに関連する主要なネットワーキングの概念は次のとおりです:

  • サブネット: VCNの主要区分。 サブネットは「可用性ドメイン」に固有ですが、リージョンに(リージョン内のすべての「可用性ドメイン」をカバー)できるようになりました。 サブネットを作成時にプライベートとしてマークでき、これにより、そのサブネット内で起動されるインスタンスがパブリックIPアドレスを持つことを防止できます。
  • インターネット・ゲートウェイ: VCNからパブリック・インターネット接続を提供する仮想ルーター。 デフォルトでは、新しく作成されたVCNにはインターネット接続はありません。
  • 動的ルーティング・ゲートウェイ: VCNとデータセンター・ネットワーク間のプライベート・トラフィックのパスを提供する仮想ルーター。 これは、IPSec VPNまたはOracle Cloud Infrastructure FastConnect接続で使用され、VCNとオンプレミスまたは他のクラウド・ネットワーク間のプライベート接続を確立します。
  • NATゲートウェイ: 受信インターネット接続にこれらのリソースを公開することなく、インターネットにパブリックIPアドレスを持たないクラウド・リソースにアクセスする仮想ルーター。
  • サービス・ゲートウェイ: インターネット・ゲートウェイやNATゲートウェイを使用しないでオブジェクト・ストレージなどのOracleサービスへのクラウド・リソースのプライベート・アクセスを提供する仮想ルーター。
  • ルーティング表: サブネットがVCNのゲートウェイ(インターネット・ゲートウェイおよび ルートは、プライベートIPをターゲットとして使用して、NAT、ファイアウォール、IDSなどのネットワーク機能を実装することもできます。
  • プライマリVNIC: サブネットには、インスタンスにアタッチする仮想ネットワーク・インタフェース・カード(VNIC)が含まれています。 VNICは、インスタンスがVCNの内外のエンドポイントとどのように接続するかを決定します。 各インスタンスには、インスタンスの起動時に作成されるプライマリVNICがあり、削除することはできません。 インスタンスの起動時に、ネットワーキング・サービスはパブリックIPアドレスも割り当てます。 顧客はインスタンスの起動時にその動作を無効にし、パブリックIPアドレスが割り当てられないようにリクエストできます。
  • セカンダリVNIC: インスタンスにアタッチできるパブリックおよびプライベートIPアドレスを持つVNIC。 BMインスタンスでハイパーバイザを実行できるBYOH (bring-your-own-hypervisor)シナリオでは、セカンダリVNICをVMに割り当てて、VMのVCNネットワークを許可することができます。 これは、VCNで仮想セキュリティ・アプライアンスを実行する場合に非常に便利です。
  • IPSec VPN接続: VCNとデータセンター間の安全なVPN接続。
  • セキュリティ・リスト: パケット・レベルでインスタンスに許可されたイングレスおよびエグレスを定義する仮想ファイアウォール・ルール。 個々のルールは、ステートフルまたはステートレスであると定義できます。

仮想ファイアウォールは、VCNセキュリティ・リストを使用して実装されます。 顧客は一連のファイアウォール・ルールを指定し、それらを1つまたは複数のサブネットに関連付けることができます。 セキュリティ・リストをサブネットに関連付けると、パケット・レベルでサブネット内で実行されているすべてのインスタンスにそれらのファイアウォール・ルールが適用されます。 ファイアウォール・ルールには2タイプあります:

  • 受信ルール: 受信ルールは、送信元(IP CIDRとポート範囲)、宛先ポート範囲、一致するプロトコルを指定し、イングレス・ネットワーク接続に適用されます。
  • エグレス・ルール: エグレス・ルールは、宛先(IP CIDRとポート範囲)、ソース・ポート範囲、一致するプロトコルを指定し、エグレス・ネットワーク接続に適用されます。

すべてのVCNには、SSHおよび特定のタイプの重要なICMPイングレス・トラフィックとすべてのエグレス・トラフィックだけを許可する、オプションで使用できるデフォルトのセキュリティ・リストがあります。 顧客は、複数のセキュリティ・リストをサブネットに関連付けることができます。 サブネットが使用する別のリストを顧客が指定していない場合、サブネットはデフォルト・セキュリティ・リストを使用します。

ネットワーキング・サービスのセキュリティの詳細については、以下を参照してください:

ストレージ・サービス

Oracle Cloud Infrastructureは、お客様のパフォーマンスと耐久性の要件を満たす複数のストレージ・ソリューションを提供します:

  • ローカル・ストレージ: コンピューティング・インスタンス上のNVMeバックアップ・ストレージ。非常に高いIOPSを提供します。
  • ブロック・ボリューム: ネットワークにアタッチされたストレージ・ボリュームで、コンピュート・インスタンスにアタッチできます。
  • オブジェクト・ストレージ: 大量のデータをオブジェクトとして格納するリージョン・サービス。強力な一貫性と耐久性を提供します。

Oracle Cloud Infrastructureブロック・ボリューム・サービスは、iSCSIプロトコルを使用してコンピュート・インスタンスにアタッチできる永続ストレージを提供します。 ボリュームは高性能なネットワーク・ストレージに保存され、自動化されたバックアップとスナップショット機能をサポートします。 ボリュームとそのバックアップは、カスタマVCN内からのみアクセス可能で、一意のキーを使用して安心して暗号化されます。 セキュリティをさらに強化するために、ボリューム単位でiSCSI CHAP認証を要求することができます。

Oracle Cloud Infrastructureオブジェクト・ストレージ・サービスは、スケーラビリティが高く、一貫性があり、耐久性の高いオブジェクト用のストレージを提供します。 HTTPSを介したAPIコールは、データへのハイ・スルー・プット・アクセスを提供します。 すべてのオブジェクトは、一意のキーを使用して安全で暗号化されます。 オブジェクトはバケットによって整理され、デフォルトでは、バケット内のバケットやオブジェクトへのアクセスには認証が必要です。 ユーザーはIAMセキュリティ・ポリシーを使用して、ユーザーおよびグループにバケットへのアクセス権を与えることができます。

バケット所有者(または必要な特権を持つユーザー)は、IAM資格証明を持たないユーザーによるバケットへのアクセスを許可するために、事前認証済リクエストを作成して、。 あるいは、バケットをパブリックにすることができます。これにより、認証されていない匿名アクセスが可能になります。 誤った情報開示のセキュリティ上のリスクがあるため、バケットを公開するビジネス・ケースを慎重に検討することを強く推奨します。 オブジェクト・ストレージを使用すると、MD5ハッシュをオブジェクトと共に(または複数パートのアップロードの場合は各パートごと)送信し、アップロードが成功したときに返されるようにして、オブジェクトが意図せずに破損していないことを確認できます。 このハッシュは、オブジェクトの整合性を検証するために使用できます。

オブジェクト・ストレージ・サービスは、ネイティブAPIに加えて、Amazon S3互換APIをサポートしています。 Amazon S3互換性APIを使用すると、顧客は既存のAmazon S3ツール(SDKクライアントなど)を引き続き使用でき、パートナはアプリケーションに変更を加えることなくオブジェクト・ストレージで動作するようにアプリケーションを変更できます。 それらのネイティブAPIは、CRUD操作をサポートするAmazon S3 Compatibility APIと共存することができます。 Amazon S3互換APIを使用する前に、S3互換APIキーを作成する必要があります。 必要なキーを生成した後、Amazon S3互換性APIを使用して、Oracle Cloud Infrastructureのオブジェクト・ストレージにアクセスできます。

データベース・サービス

Oracle Cloud Infrastructureを使用すると、クラウドのOracleデータベース(DB)を簡単に実行、拡張、保護できます。 Oracle Cloud Infrastructureデータベース・サービスには、次の3タイプのDBシステムがあります:

  • ベアメタル: 1ノードのDBおよび2ノードのRAC (Real Application Cluster)システムで構成され、コスト・パフォーマンスの高い価格で優れたパフォーマンスを発揮します。
  • Exadata: クォータ、ハーフ、フル・ラック構成で業界をリードするExadata DBシステムの実証済み。
  • 仮想マシン: 顧客は、さまざまなコアを備えたVMシェイプ上のフル機能のOracleデータベースを作成できます。

DBシステムは顧客のVCNからのみアクセス可能であり、顧客はデータベースへのネットワーク・アクセスを制御するためにVCNセキュリティ・リストを構成することができます。 データベース・サービスは、どのユーザーがDBシステムを起動および管理できるかを制御するためのOracle Cloud Infrastructure IAMと統合されています。 デフォルトでは、各DBシステム上のOracle Walletに格納されたマスター・キーを使用して、Oracle TDEを使用してデータが安心して暗号化されます。 DBシステムのRMANバックアップは暗号化され、オブジェクト・ストレージ・サービスの顧客所有のバケットに格納されます。 顧客は、DBバックアップ用のバケットを作成し、Oracleトークン(Swift APIと一緒に使用する)とバケットにアクセスするためのIAM権限でOracle Databaseクラウド・バックアップ・モジュールを構成する必要があります。 あるいは、DBシステム上のローカルNVMeストレージに対してDBバックアップを行うことができます。

各ユーザーは、自動的にコンソールまたはAPIで独自の認証トークンを作成、更新、および削除することができます。 管理者は、ユーザーにその能力を与えるためのポリシーを作成する必要はありません。 管理者(またはテナンシへのアクセス許可を持つユーザー)は、他のユーザーの認証トークンを管理することもできます。 オブジェクト・ストレージと統合されたSwiftクライアントのユーザーは、そのサービスを操作するための権限が必要です。

ロード・バランシング・サービス

Oracle Cloud Infrastructureロード・バランシングは、顧客のVCN内のインスタンスをコンピュートするための自動トラフィック配信を提供します。 ロード・バランサ(LB)は、パブリック(インターネットからのトラフィックを受け入れてプライベート・インスタンスに誘導する)またはプライベート(プライベート・インスタンス間のトラフィックの誘導)として作成できます。 LBは顧客提供の証明書を使用してSSL終了用に構成できます。エンド・ツー・エンドSSLにより、LBはSSL接続を終了し、バックエンドへの新しいSSL接続を作成します。またはSSLトンネリングでSSL接続がバックエンドに渡されます(TCP負荷分散のみ)。 ロード・バランシング・サービスは、デフォルトでTLS 1.2をサポートしており、TLS暗号スイートの次の転送秘密暗号に優先順位を付けます:

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA256
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-SHA256
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-SHA256

マネージド・ドメイン・ネーム・サーバー(DNS)サービス

Oracle Cloud Infrastructure DNSサービスは、エンタープライズ顧客に動的、静的、再帰的なDNSソリューションを提供します。 このサービスはビジターを顧客のWebサイトやアプリケーションに迅速かつ安全なサービスで結びつけます。 DNSサービスは、5つの大陸に18のPoP (ポイント・オブ・プレゼンス)を持つキャスト・ネットワーク上で動作し、PoPごとに完全な冗長DNSコンステレーションと複数のTier 1プロバイダを提供します。 このソリューションは、DNSベースのDistributed Denial of Services (DDoS)保護と社内セキュリティの専門知識を提供し、1日に240億以上のデータ・ポイントを収集および分析する広大なセンサー・ネットワークを活用します。 また、DNSサービスは、顧客の既存のDNSサービスを補完するためのセカンダリDNS機能を完全にサポートし、DNSレイヤーの回復力を提供します。