Oracle Cloud Infrastructureドキュメント

セキュリティ・リスト

ネットワーキング・サービスには、パケット・レベルでトラフィックを制御するために2つの仮想ファイアウォール機能が用意されています:

  • セキュリティ・リスト: このトピックで説明します。これは、ネットワーキング・サービスが提供する元のタイプの仮想ファイアウォールです。
  • ネットワーク・セキュリティ・グループ: セキュリティ・リストよりも推奨される別のタイプの仮想ファイアウォールです。ネットワーク・セキュリティ・グループを参照してください。

これらの機能はどちらもセキュリティ・ルールを使用します。セキュリティ・ルールの仕組みに関する重要な情報、およびセキュリティ・リストとネットワーク・セキュリティ・グループの一般的な比較については、セキュリティ・ルールを参照してください。

ハイライト

  • セキュリティ・リストは、コンピュート・インスタンスや他の種類のリソースで仮想ファイアウォールとして機能します。セキュリティ・リストは、セキュリティ・リストが関連付けられているサブネット内のすべてのVNICに適用される、イングレスおよびエグレス・セキュリティ・ルールのセットで構成されます。これは、特定のサブネット内のすべてのVNICが同じセキュリティ・リストのセットの対象であることを意味します。セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照してください。
  • セキュリティ・リスト・ルールは、ネットワーク・セキュリティ・グループ・ルールと同様に機能します。ルール・パラメータの詳細は、セキュリティ・ルールの構成要素を参照してください。
  • 各VCNには、必須のトラフィックに対応する複数のデフォルト・ルールを持つデフォルト・セキュリティ・リストが付属しています。サブネットにカスタム・セキュリティ・リストを指定しない場合、デフォルト・セキュリティ・リストがそのサブネットで自動的に使用されます。デフォルト・セキュリティ・リストに対して、ルールを追加または削除できます。
  • セキュリティ・リストには、ネットワーク・セキュリティ・グループと比較して異なる個別の制限があります。セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照してください。

セキュリティ・リストの概要

セキュリティ・リストは、インスタンスの仮想ファイアウォールとして機能し、内外で許可されるトラフィック・タイプを指定するイングレスおよびエグレス・ルールが含まれます。各セキュリティ・リストはVNICレベルで適用されます。ただし、セキュリティ・リストをサブネット・レベルで構成することにより、特定のサブネット内のすべてのVNICがセキュリティ・リストの同じセットの対象となります。セキュリティ・リストは、特定のVNICに対して、VCN内の別のインスタンスと通信しているか、またはVCN外部のホストと通信しているかに関係なく適用されます。

各サブネットには複数のセキュリティ・リストを関連付けることができ、各リストには複数のルールを含めることができます(最大数については、セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照)。いずれかのリストのルールでトラフィックを許可する場合(またはトラフィックがトラッキング対象の既存の接続の一部である場合)、目的のパケットは許可されます。同じトラフィックをカバーするステートフル・ルールとステートレス・ルールの両方がリストに含まれる場合は注意が必要です。詳細は、ステートフル・ルールとステートレス・ルールを参照してください。

セキュリティ・リストはリージョナル・エンティティです。セキュリティ・リストに関連する制限については、セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照してください。

セキュリティ・リストでは、IPv4とIPv6のトラフィックを両方とも制御できます。IPv6アドレス指定および関連するセキュリティ・リスト・ルールは、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。

デフォルト・セキュリティ・リスト

他のセキュリティ・リストとは異なり、デフォルトのセキュリティ・リストにはステートフル・ルールの初期セットが付属しており、ほとんどの場合、VCNまたはサブネットが存在するリージョンに関連する認可済サブネットからのインバウンド・トラフィックのみを許可するように変更する必要があります。各リージョンに関連する認可済サブネット範囲のリストは、https://docs.cloud.oracle.com/iaas/tools/public_ip_ranges.jsonにあります。

  • ステートフル・イングレス:認可されたソースIPアドレスおよび任意のソース・ポートからの宛先ポート22 (SSH)に対するTCPトラフィックを許可します。このルールにより、新しいクラウド・ネットワークおよびパブリック・サブネットを簡単に作成し、Linuxインスタンスを起動し、すぐにSSHを使用してそのインスタンスに接続できます。その際、セキュリティ・リスト・ルールを自分で記述する必要はありません。

    重要

    デフォルト・セキュリティ・リストには、Remote Desktop Protocol (RDP)アクセスを許可するルールは含まれていません。Windowsイメージを使用している場合は、認可されたソースIPアドレスおよび任意のソース・ポートからの宛先ポート3389に対するTCPトラフィック用のステートフル・イングレス・ルールを必ず追加してください。

    詳細は、RDPアクセスを有効にするにはを参照してください。

  • ステートフル・イングレス:認可されたソースIPアドレスからのICMPトラフィック・タイプ3のコード4を許可します。このルールを使用すると、インスタンスでPath MTU Discoveryのフラグメンテーション・メッセージを受信できます。
  • ステートフルイングレス: VCNのCIDRブロックからのICMPトラフィック・タイプ3 (すべてのコード)を許可します。このルールにより、インスタンスはVCN内の他のインスタンスから接続エラー・メッセージを簡単に受信できます。
  • ステートフル・エグレス: すべてのトラフィックを許可します。これによって、インスタンスは任意の宛先に対して任意の種類のトラフィックを開始できます。これは、パブリックIPアドレスを持つインスタンスが、VCNに構成済のインターネット・ゲートウェイがある場合、すべてのインターネットIPアドレスと通信できることを意味しています。また、ステートフル・セキュリティ・ルールでは接続トラッキングが使用されるため、イングレス・ルールに関係なく、レスポンス・トラフィックは自動的に許可されます。詳細は、ステートフル・ルールとステートレス・ルールを参照してください。

デフォルト・セキュリティ・リストには、ステートレス・ルールはありません。ただし、デフォルト・セキュリティ・リストに対して、いつでもルールを追加または削除できます。

VCNでIPv6アドレス指定が有効になっている場合、デフォルト・セキュリティ・リストにIPv6トラフィック用のデフォルト・ルールが含まれています。詳細は、IPv6トラフィックのセキュリティ・ルールを参照してください。

pingの有効化

デフォルト・セキュリティ・リストには、pingリクエストを許可するルールは含まれていません。インスタンスにpingを実行する場合は、断片化されたUDPパケットを処理するルールを参照してください。

IPv6トラフィックのセキュリティ・ルール

ルート表と同様に、VCNのネットワーク・セキュリティ・グループセキュリティ・リストおよびセキュリティ・ルールでは、IPv4とIPv6の両方のルールがサポートされています。たとえば、ネットワーク・セキュリティ・グループまたはセキュリティ・リストには、次のセキュリティ・ルールを含めることができます:

  • オンプレミス・ネットワークのIPv4 CIDRからのSSHトラフィックを許可するルール
  • オンプレミス・ネットワークのIPv4 CIDRからのpingトラフィックを許可するルール
  • オンプレミス・ネットワークのIPv6 CIDRからのSSHトラフィックを許可するルール
  • オンプレミス・ネットワークのIPv6 CIDRからのpingトラフィックを許可するルール

IPv6対応VCNのデフォルト・セキュリティ・リストには、デフォルトのIPv4ルールと、次のデフォルトのIPv6ルールが含まれています:

  • ステートフル・イングレス: ソース::/0および任意のソース・ポートからの宛先ポート22 (SSH)に対するIPv6 TCPトラフィックを許可します。このルールにより、パブリック・サブネットおよびインターネット・ゲートウェイを含む新規VCNを簡単に作成し、Linuxインスタンスを作成し、インターネット・アクセス可能なIPv6を追加して、セキュリティ・ルールを自分で記述する必要なく、そのインスタンスにSSHですぐに接続できます。

    重要

    デフォルト・セキュリティ・リストには、Remote Desktop Protocol (RDP)アクセスを許可するルールは含まれていません。Windowsイメージを使用している場合は、ソース::/0および任意のソース・ポートからの宛先ポート3389に対するTCPトラフィック用のステートフル・イングレス・ルールを追加します。

    詳細は、RDPアクセスを有効にするにはを参照してください。

  • ステートフル・イングレス: ソース::/0および任意のソース・ポートからのICMPv6トラフィック・タイプ2コード0 (パケットが大きすぎる)を許可します。このルールを使用すると、インスタンスでPath MTU Discoveryのフラグメンテーション・メッセージを受信できます。
  • ステートフル・エグレス: すべてのIPv6トラフィックを許可します。これによって、インスタンスは任意の宛先に対して任意の種類のIPv6トラフィックを開始できます。これは、インターネット・アクセス可能なIPv6を持つインスタンスが、VCNに構成済のインターネット・ゲートウェイがある場合、すべてのインターネットIPv6アドレスと通信できることを意味しています。また、ステートフル・セキュリティ・ルールでは接続トラッキングが使用されるため、イングレス・ルールに関係なく、レスポンス・トラフィックは自動的に許可されます。詳細は、ステートフル・ルールとステートレス・ルールを参照してください。

セキュリティ・リストの作業

セキュリティ・リストの作業の一般的なプロセス

  1. セキュリティ・リストを作成します。
  2. セキュリティ・リストにセキュリティ・ルールを追加します。
  3. セキュリティ・リストを1つ以上のサブネットに関連付けます。
  4. サブネットにリソースを作成します(たとえば、サブネットにコンピュート・インスタンスを作成します)。セキュリティ・ルールはそのサブネット内のすべてのVNICに適用されます。セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照してください。

追加の詳細

サブネットを作成するとき、少なくとも1つのセキュリティ・リストを関連付ける必要があります。これは、VCNのデフォルト・セキュリティ・リストか、すでに作成されている1つ以上の他のセキュリティ・リスト(最大数についてはサービス制限を参照)のいずれかです。いつでもサブネットが使用するセキュリティ・リストを変更できます。

オプションとして、作成時にセキュリティ・リストにわかりやすい名前を割り当てることができます。一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をセキュリティ・リストに自動的に割り当てます。詳細は、リソース識別子を参照してください。

アクセス制御の目的のために、セキュリティ・リストを配置するコンパートメントを指定する必要があります。使用するコンパートメントが不明な場合は、組織の管理者に問い合せてください。詳細は、アクセス制御を参照してください。

セキュリティ・リストは、コンパートメント間で移動できます。セキュリティ・リストを移動しても、そのサブネットに対するアタッチメントに影響を与えることはありません。セキュリティ・リストを新しいコンパートメントに移動すると、固有のポリシーがただちに適用され、セキュリティ・リストへのアクセスが影響を受けます。詳細は、コンパートメントの管理を参照してください。

セキュリティ・リストに対して、ルールを追加または削除できます。セキュリティ・リストにルールを含めないことも可能です。APIでセキュリティ・リストを更新すると、既存のルール・セット全体が新しいルール・セットに置き換えられます。

セキュリティ・リストを削除するには、サブネットに関連付けられていない必要があります。VCNのデフォルト・セキュリティ・リストは削除できません。

必須IAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

管理者用: ネットワーク管理者によるクラウド・ネットワークの管理のポリシーは、セキュリティ・リストを含むすべてのネットワーキング・コンポーネントの管理をカバーします。

セキュリティ・リストを管理する必要があるが、ネットワーキングの他のコンポーネントは管理する必要がないセキュリティ管理者がいる場合は、より制限的なポリシーを作成できます: 

Allow group SecListAdmins to manage security-lists in tenancy

Allow group SecListAdmins to manage vcns in tenancy

セキュリティ・リストの作成はセキュリティ・リストが含まれるVCNに影響するため、どちらのステートメントも必要です。同様に、2番目のステートメントの有効範囲により、SecListAdminsグループはVCNを作成できます。ただし、このグループは、サブネットを作成したり、これらのVCN (セキュリティ・リストを除く)に関連する他のコンポーネントを管理することはできません。これらのリソースには他の権限が必要になるためです。また、このグループは、サブネットがすでに含まれる既存のVCNを削除することもできません。そのアクションにはサブネットに関連する権限が必要になるためです。

詳細は、ネットワーキングに対するIAMポリシーを参照してください。

コンソールの使用

VCNのデフォルト・セキュリティ・リストを表示するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「セキュリティ・リスト」.をクリックします

  4. 詳細を表示するデフォルト・セキュリティ・リストをクリックします。

    「リソース」で、「イングレス・ルール」または「エグレス・ルール」をクリックして、ルールのタイプを切り替えることができます。

既存のセキュリティ・リスト内のルールを更新するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「セキュリティ・リスト」をクリックします。
  4. 目的のセキュリティ・リストをクリックします。
  5. 「リソース」で、使用するルールのタイプに応じて、「イングレス・ルール」または「エグレス・ルール」のいずれかをクリックします。
  6. ルールを追加する場合は、「イングレス・ルールの追加」(または「エグレス・ルールの追加」)をクリックします。ルールの追加の詳細は、セキュリティ・リストを作成するにはを参照してください。
  7. 既存のルールを削除する場合は、「アクション」メニューをクリックして、「削除」をクリックします。
  8. 既存のルールを編集する場合は、「アクション」メニューをクリックして、「編集」をクリックします。
セキュリティ・リストを作成するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「セキュリティ・リスト」をクリックします。
  4. 「セキュリティ・リストの作成」をクリックします。

  5. 次を入力します:

    1. 名前: セキュリティ・リストのわかりやすい名前。名前は必ずしも一意である必要はありませんが、後でコンソールで変更することはできません(ただし、APIで変更できます)。機密情報の入力は避けてください。
    2. コンパートメントで作成: セキュリティ・リストを作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。

  6. イングレス・ルールまたはエグレス・ルールのいずれかを追加します(ルールの例は、ネットワーキング・シナリオを参照してください):

    1. 「イングレス・ルールの追加」または「エグレス・ルールの追加」のいずれかをクリックします。
    2. ステートフル・ルールかステートレス・ルールかを選択します(ステートフル・ルールとステートレス・ルールを参照)。デフォルトでは、特に指定しないかぎりルールはステートフルです。

    3. ソースCIDR (イングレスの場合)または宛先CIDR (エグレスの場合)のいずれかを入力します。たとえば、0.0.0.0/0を使用してすべてのIPアドレスを指定します。ルールに指定する他の典型的なCIDRは、オンプレミス・ネットワークや特定のサブネットのCIDRブロックです。サービス・ゲートウェイを使用したトラフィックを許可するセキュリティ・リスト・ルールを設定する場合は、かわりにタスク3: (オプション)セキュリティ・ルールの更新を参照してください。

    4. IPプロトコル(TCP、UDP、ICMP、「すべてのプロトコル」など)を選択します。

    5. プロトコルに応じて、詳細を入力します:

      • TCPまたはUDPを選択した場合は、ソース・ポート範囲と宛先ポート範囲を入力します。「すべて」を入力すると、すべてのポートをカバーできます。特定のポートを許可する場合は、ポート番号(たとえば、SSHの場合は22、RDPの場合は3389)またはポート範囲(20–22など)を入力します。
      • ICMPを選択した場合は、「すべて」を入力すると、すべてのタイプとコードをカバーできます。特定のICMPタイプを許可する場合は、タイプとオプション・コードをカンマで区切って入力します(3,4など)。タイプに許可する複数のコードがある場合は、コードごとに別々のルールを作成します。
    6. セキュリティ・リスト・ルールの管理に役立つルールのオプションの説明を入力します。
  7. リストに追加するルールごとに、前述のステップを繰り返します。
  8. タグ: リソースの作成権限がある場合は、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかわからない場合は、このオプションをスキップするか(後からでもタグを適用できます)、管理者に問い合せてください。
  9. 終了したら、「セキュリティ・リストの作成」をクリックします。

セキュリティ・リストが作成され、選択したコンパートメントの「セキュリティ・リスト」ページに表示されます。これで、サブネットの作成時または更新時に、このセキュリティ・リストを指定できます。

セキュリティ・リスト内のすべてのルールを表示する場合、リスト内のステートレス・ルールはステートフル・ルールの上に表示されます。リスト内のステートレス・ルールはステートフル・ルールよりも優先されます。つまり、サブネットに関連付けられているすべてのセキュリティ・リストでステートレス・ルールとステートフル・ルールの両方に一致するトラフィックがある場合は、ステートレス・ルールが優先され、接続はトラッキングされません。

サブネットが使用するセキュリティ・リストを変更するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「サブネット」をクリックします。
  4. 目的のサブネットをクリックします。
  5. 「リソース」で、「セキュリティ・リスト」をクリックします。
  6. セキュリティ・リストを追加する場合は、「セキュリティ・リストの追加」をクリックし、サブネットで使用する新しいセキュリティ・リストを選択します。

  7. セキュリティ・リストを削除する場合は、「アクション」メニューをクリックして、「削除」をクリックします。サブネットには、常に少なくとも1つのセキュリティ・リストが関連付けられている必要があります。

    変更は数秒以内に有効になります。

セキュリティ・リストを別のコンパートメントに移動するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「セキュリティ・リスト」をクリックします。
  4. セキュリティ・リストを検索し、「アクション」メニューをクリックして、「リソースの移動」をクリックします。
  5. リストから宛先コンパートメントを選択します。
  6. 「リソースの移動」をクリックします。
セキュリティ・リストを削除するには

前提条件: セキュリティ・リストを削除するには、サブネットに関連付けられていない必要があります。VCNのデフォルト・セキュリティ・リストは削除できません。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「セキュリティ・リスト」をクリックします。
  4. 削除するセキュリティ・リストについて、「アクション」メニュー「終了」の順にクリックします。
  5. プロンプトが表示されたら確認します。
セキュリティ・リストのタグを管理するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「セキュリティ・リスト」をクリックします。
  4. 目的のセキュリティ・リストをクリックします。
  5. 既存のタグを表示または編集するには、「タグ」タブをクリックします。または、「タグの追加」をクリックして新しいタグを追加します。

詳細は、リソース・タグを参照してください。