機械翻訳について

DBシステムのセキュリティ・ルール

この記事には、DBシステムで使用するセキュリティ・ルールがリストされます。 セキュリティ・ルールは、DBシステムのコンピュート・ノード内外で許可されるトラフィックのタイプを制御します。 ルールは2つのセクションに分割されます。

セキュリティ・ルールの詳細は、「セキュリティ・ルール」を参照してください。 これらのルールを実装する様々な方法の詳細は、「セキュリティ・ルールの実装方法」を参照してください。

ノート:

Oracle提供のDBシステム・イメージを実行しているインスタンスには、インスタンスへのアクセスを制御するファイアウォール・ルールもあります。 インスタンス・セキュリティ・ルールとファイアウォール・ルールの両方が正しく設定されていることを確認します。 DBシステムでポートを開くも参照してください。

関連トピック

基本接続に必要な一般的なルール

次の項では、VCN内のホストに基本的な接続を有効にするいくつかの一般的なルールについて説明します。

セキュリティ・リストを使用してセキュリティ・ルールを実装する場合は、デフォルト・セキュリティ・リストにデフォルトで続くルールが含まれていることに注意してください。 特定のセキュリティ・ニーズに合うように、リストを更新または置換します。 Oracle Cloud Infrastructure環境内のネットワーク・トラフィックを適切に機能させるには、2つのICMPルール(一般イングレス・ルール2および3)が必要です。 一般イングレス・ルール1 (SSHルール)と一般エグレス・ルール1を調整して、VCNのリソースと通信する必要があるホスト間のみでトラフィックを許可します。

デフォルトのセキュリティ・リストの詳細は、「セキュリティ・リスト」を参照してください。

一般イングレス・ルール1: どこからでもSSHトラフィックを許可

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • ソース・タイプ: CIDR
  • ソースCIDR: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲: 22

ノート:

IPv6 CIDRは、IPv6アドレスを使用してSSHに接続する場合にのみ必要です。

一般イングレス・ルール2: Path MTU Discoveryの断片化メッセージを許可

このルールによって、VCNのホストでパスMTU検出の断片化メッセージを受信できるようになります。 これらのメッセージにアクセスできない場合、VCN内のホストで、VCN外のホストとの通信に問題がある可能性があります。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • ソース・タイプ: CIDR
  • ソースCIDR: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • IPプロトコル: ICMP
  • タイプ: 3
  • コード: 4

一般イングレス・ルール3: VCN内の接続エラー・メッセージを許可

このルールにより、VCN内のホストは接続エラー・メッセージを相互に受信できるようになります。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • ソース・タイプ: CIDR
  • ソースCIDR: Your VCN CIDR
  • IPプロトコル: ICMP
  • タイプ: すべて
  • コード: すべて

一般エグレス・ルール1: すべてのエグレス・トラフィックを許可

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • 宛先タイプ: CIDR
  • 宛先CIDR: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • IPプロトコル: すべて

ノート:

  • IPv6宛先CIDRは、IPv6ネットワークへの送信通信にのみ必要です。
  • 宛先CIDRは制限できます。

カスタム・セキュリティ・ルール

DBシステム機能には、次のルールが必要です。

ノート:

カスタム・イングレス・ルール1および2は、VCN内から開始された接続のみを対象とします。 「VCNの外部」が存在するクライアントがある場合、Oracleでは、「ソースCIDR」がクライアントのパブリックIPアドレスに設定されている2つのadditional類似ルールを設定することをお薦めします。

カスタム・イングレス・ルール1: VCN内からのONSおよびFANトラフィックを許可

このルールは推奨され、Oracle Notification Services (ONS)で高速アプリケーション通知(FAN)イベントに関する通信が可能になります。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • ソース・タイプ: CIDR
  • ソースCIDR: IPv4およびIPv6 VCNのCIDR
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲: 6200
  • 説明: ルールの説明(オプション)。

カスタム・イングレス・ルール2: VCN内からのSQL*NETトラフィックを許可

このルールはSQL*NETトラフィック用であり、データベースへのクライアント接続を有効にする必要がある場合にのみ必要です。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • ソース・タイプ: CIDR
  • ソースCIDR: IPv4およびIPv6 VCNのCIDR
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲: 1521
  • 説明: ルールの説明(オプション)。

カスタム・エグレス・ルール1: アウトバウンドSSHアクセスの許可

このルールにより、2ノードのDBシステム内のノード間のSSHアクセスが可能になります。 これは、「基本接続に必要な一般的なルール」の一般エグレス・ルール(およびデフォルトのセキュリティ・リスト)で冗長です。 これはオプションですが、一般ルール(またはデフォルトのセキュリティ・リスト)が誤って変更された場合にお薦めします。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • 宛先タイプ: CIDR
  • 宛先CIDR: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲: 22
  • 説明: ルールの説明(オプション)。

カスタム・エグレス・ルール2: Oracle Services Networkへのアクセスを許可

このルールにより、DBシステムは、Oracleサービス(インターネット・ゲートウェイを使用するパブリック・サブネットの場合)またはすべてのOracleサービス(サービス・ゲートウェイを使用するプライベート・サブネットの場合)を含むOracle Services Networkと通信できます。 これは、「基本接続に必要な一般的なルール」の一般エグレス・ルール(およびデフォルトのセキュリティ・リスト)で冗長です。 これはオプションですが、一般ルール(またはデフォルトのセキュリティ・リスト)が誤って変更された場合にお薦めします。 OCIサービスは、IPv4とのみ通信します。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • 宛先タイプ: サービス
  • 宛先サービス:
    • IPv4パブリック・サブネット(インターネット・ゲートウェイを使用)を使用する場合は、CIDR 0.0.0.0/0を使用
    • IPv4プライベート・サブネット(サービス・ゲートウェイを使用)を使用する場合は、Oracle Services Networkのすべての<region>サービスというCIDRラベルを使用
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲: 443 (HTTPS)
  • 説明: ルールの説明(オプション)。

ネットワークの詳細は、「ネットワークの概要」を参照してください。

セキュリティ・ルールの実装方法

ネットワーキング・サービスでは、VCN内でセキュリティ・ルールを実装する2つの方法があります:

セキュリティ・リストとネットワーク・セキュリティ・グループの比較については、「セキュリティ・ルール」を参照してください。

ネットワーク・セキュリティ・グループの使用

ネットワーク・セキュリティ・グループ(NSG)を使用する場合は、次のプロセスをお薦めします:

  1. DBシステムのネットワーク・セキュリティ・グループを作成します。 そのNSGに次のセキュリティ・ルールを追加します:
    • 「基本接続に必要な一般的なルール」にリストされているルール。
    • 「カスタム・セキュリティ・ルール」にリストされているルール。
  2. データベース管理者がDBシステムを作成するときは、複数のネットワーク・コンポーネント(使用するVCNおよびサブネットなど)を選択する必要があります。 また、使用するNSGまたはNSGを選択することもできます。 作成したNSGが選択されていることを確認します。

かわりに、一般ルール用に1つのNSGを作成し、カスタム・ルール用に別のNSGを作成することもできます。 次に、データベース管理者がDBシステムに使用するNSGを選択するときは、両方のNSGを選択してください。

セキュリティ・リストの使用

セキュリティ・リストを使用することを選択する場合は、次のプロセスをお薦めします:

  1. 必要なセキュリティ・ルールを使用するようにサブネットを構成します:
    1. サブネットのカスタム・セキュリティ・リストを作成し、「カスタム・セキュリティ・ルール」にリストされているルールを追加します。
    2. 次の2つのセキュリティ・リストをサブネットに関連付けます:
      • すべてのデフォルト・ルールを含むVCNデフォルト・セキュリティ・リスト。 これには、VCNが自動的に付属します。
      • サブネット用に作成した新しいカスタム・セキュリティ・リスト
  2. 後でデータベース管理者がDBシステムを作成するときは、複数のネットワーク・コンポーネントを選択する必要があります。 すでに作成および構成したサブネットを選択すると、サブネットで作成されたコンピュート・ノードにセキュリティ・ルールが自動的に適用されます。

注意:

デフォルト・セキュリティ・リストからデフォルト・エグレス・ルールを削除しないでください その場合は、サブネットのカスタム・セキュリティ・リストに次の置換エグレス・ルールを含めてください:
  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • 宛先タイプ: CIDR
  • 宛先CIDR: 0.0.0.0/0
  • IPプロトコル: すべて