ネットワーク・セキュリティ
この項では、クラウド・ネットワークでのアクセスおよびセキュリティの制御について説明します。 VCN内のファイアウォール機能の詳細は、「仮想ファイアウォール」を参照してください。 ここでは、セキュアなネットワーク・アクセスに関する追加のトピックについて説明します。
ネットワークを保護する方法
クラウド・ネットワークとコンピュート・インスタンスのセキュリティを制御するには、いくつかのメカニズムがあります:
-
プライベート・サブネット: インスタンスにパブリックIPアドレスが必要ない場合は、インスタンスがプライベートIPを取得できないように、サブネットをプライベートに指定できます。
-
ファイアウォール・ルール: インスタンスとの間のパケット・レベルのトラフィックを制御するために、インスタンス自体でファイアウォール・ルールを直接構成できます。 Oracle Linuxを実行するPrivate Cloud Applianceで提供されるイメージには、SSHトラフィックのTCPポート22でのイングレスを許可するデフォルト・ルールが自動的に含まれます。 また、Microsoft Windowsイメージには、リモート・デスクトップ・アクセス用にTCP port 3389でイングレスを許可するデフォルト・ルールが含まれる場合があります。
-
ゲートウェイおよびルート表: クラウド・ネットワークから外部宛先への一般トラフィック・フローを制御するため - インターネット、オンプレミス・ネットワークまたは別のVCN - クラウド・ネットワーク・ゲートウェイおよびルート表を構成して、事実上必要な接続のみを許可します。
-
IAMポリシー: Private Cloud Applianceインタフェースにアクセスできるユーザーを制御できます。 アクセスできるクラウド・リソースと、許可されるアクセスのタイプを制御できます。 たとえば、ネットワークとサブネットを設定できるユーザーや、ルート表、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを更新できるユーザーを制御できます。
アクセス制御
このトピックでは、コンパートメントとIAMポリシーを使用したクラウド・ネットワークへのアクセスの制御に関する基本情報を示します。
ネットワーク・リソースでのコンパートメントの使用
仮想クラウド・ネットワーク(VCN)やコンピュート・インスタンスなどのクラウド・リソースを作成する場合、そのリソースに含めるIAMコンパートメントを指定する必要があります。 コンパートメントは、テナンシの管理者から権限を付与された特定のグループのみがアクセスできる関連リソースのコレクションです。 管理者は、コンパートメントと対応するIAMポリシーを作成して、組織内のどのユーザーがどのコンパートメントにアクセスするかを制御します。 最終的に、ユーザーは必要なリソースにのみアクセスできるようにすることが目標です。
エンタープライズ本番環境では、通常、テナンシを複数のコンパートメントに分割して、特定のタイプのリソースへのアクセスをより簡単に制御します。 たとえば、管理者はVCNおよび他のネットワーキング・コンポーネントのCompartment_Aを作成できます。 管理者は、HR部門が使用するすべてのコンピュート・インスタンスおよびブロック・ストレージ・ボリュームにCompartment_Bを作成し、マーケティング部門が使用するすべてのインスタンスおよびブロック・ストレージ・ボリュームにCompartment_Cを作成できます。
管理者は、各コンパートメントで必要なアクセス・レベルのみをユーザーに付与するIAMポリシーを作成します。 たとえば、HRインスタンス管理者は既存のクラウド・ネットワークを変更する資格がありません。 したがって、Compartment_Bに対する完全な権限を持ちますが、Compartment_Aへのアクセスは制限されます: インスタンスをネットワークに起動するために必要なもののみ。 Compartment_A内の他のリソースを変更しようとすると、リクエストは拒否されます。
VCN、サブネット、ルート表、セキュリティ・リスト、サービス・ゲートウェイ、NATゲートウェイなどのネットワーク・リソースは、コンパートメント間で移動できます。 リソースを新しいコンパートメントに移動すると、固有のポリシーがただちに適用されます。
コンパートメントの使用およびクラウド・リソースへのアクセスの制御方法の詳細は、「Identity and Access Management概要」の章を参照してください。 詳細は、「コンパートメント内のリソースの編成」および「ポリシーの仕組み」を参照してください。
ネットワーキングに対するIAMポリシーの使用
ネットワークへのアクセス権を付与する便利な一般的な方法は、ネットワーク管理者グループにVCNおよび関連するすべてのネットワーキング・コンポーネントを管理する権限を付与することです: サブネット、セキュリティ・リスト、ルート表、ゲートウェイなど。 ネットワーク接続をテストするために、ネットワーク管理者によるインスタンスの起動も許可すると便利です。 両方のポリシー - ネットワーク・リソースの管理およびインスタンスの起動 - 「共通ポリシー」を参照してください。 必要なポリシー・ステートメントは、次の例のようになります:
Allow group NetworkAdmins to manage virtual-network-family in tenancy Allow group NetworkAdmins to manage instance-family in compartment ABC Allow group NetworkAdmins to use volume-family in compartment ABC
IAMポリシーをまだ理解していない場合は、「Identity and Access Management概要」の章の「ポリシーの仕組み」を参照してください。
アクセス制御へのきめ細かいアプローチを好む場合は、個々のリソース・タイプに焦点を当てるポリシーを記述できます。 たとえば、virtual-network-family
リソース・タイプには、subnets
, route-tables
, security-lists
やlocal-peering-gateways
などの個々のリソース・タイプが含まれます。 リソース・タイプごとに個別のポリシーを記述することで、これらの特定のアクセス権を付与できます。
さらに、たとえば別のポリシー動詞を使用して、アクセス・レベルを制限するポリシーを記述できます: manage
とuse
など。 これを行うと、ネットワーキングのポリシー動詞を理解する微妙な違いがいくつかあります。
inspect
動詞は、セキュリティ・リストまたはルート表の名前およびOCIDなど、ネットワーク・コンポーネントに関する一般情報を返すだけでなく、注意してください。 また、コンポーネントのコンテンツ(たとえば、セキュリティ・リスト内の実際のルール、ルート表内のルートなど)も含まれます。
また、次の操作はmanage
動詞でのみ使用でき、use
動詞では使用できません:
-
internet-gateways
の更新(有効化/無効化) -
security-lists
の更新 -
route-tables
の更新 -
dhcp-options
の更新 -
DRGのVCNへのアタッチ
-
ピア2つのVCN
各VCNには、ネットワークの動作に直接影響を与える様々なコンポーネントがあります: ルート表、セキュリティ・リスト、DHCPオプション、インターネット・ゲートウェイなど。 これらのコンポーネントのいずれかを作成する場合、そのコンポーネントとVCNの間の関係を確立します。つまり、コンポーネントの作成とVCN自体の管理の両方を行うポリシーで許可されている必要があります。 ただし、そのコンポーネントを更新する機能 - ルート・ルールやセキュリティ・リスト・ルールなどを変更 - コンポーネントを変更するとネットワークの動作に直接影響を与える可能性がありますが、VCN自体を管理する権限は必要ありません。 この不一致は、ユーザーに最低限の権限を付与する柔軟性を提供するように設計されており、ユーザーがネットワークの他のコンポーネントを管理できるように、VCNへの過剰なアクセス権を付与する必要はありません。 特定のタイプのコンポーネントを更新する機能を誰かに与えれば、ネットワーク動作を制御して暗黙的に信頼していることに注意してください。