Oracle Cloud Infrastructureドキュメント

セキュリティ・リスト

ネットワーキング・サービスには、パケット・レベルでトラフィックを制御するために2つの仮想ファイアウォール機能が用意されています:

  • セキュリティ・リスト: このトピックで説明します。これは、ネットワーキング・サービスが提供する元のタイプの仮想ファイアウォールです。
  • ネットワーク・セキュリティ・グループ:別のタイプの仮想ファイアウォールで、セキュリティ・リストに対して推奨します。ネットワーク・セキュリティ・グループを参照してください。

これらの機能はどちらもセキュリティ・ルールを使用します。セキュリティ・ルールの仕組みに関する重要な情報、およびセキュリティ・リストとネットワーク・セキュリティ・グループの一般的な比較については、セキュリティ・ルールを参照してください。

ハイライト

  • セキュリティ・リストの機能は、コンピュート・インスタンスや他の種類のリソースの仮想ファイアウォールです。セキュリティ・リストは、セキュリティ・リストが関連付けられているサブネット内のすべてのVNICに適用される、イングレスおよびエグレス・セキュリティ・ルールのセットで構成されます。これは、特定のサブネット内のすべてのVNICが同じセキュリティーリストのセットに従うことを意味します。セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照してください。
  • セキュリティ・リスト・ルールは、ネットワーク・セキュリティ・グループ・ルールと同様に機能します。ルール・パラメータの詳細は、セキュリティ・ルールの構成要素を参照してください。
  • 各VCNには、必須のトラフィックに対応する複数のデフォルト・ルールを持つデフォルト・セキュリティ・リストが付属しています。サブネットにカスタム・セキュリティ・リストを指定しない場合、デフォルト・セキュリティ・リストがそのサブネットで自動的に使用されます。デフォルト・セキュリティ・リストに対して、ルールを追加または削除できます。
  • セキュリティ・リストには、ネットワーク・セキュリティ・グループと比較して異なる個別の制限があります。セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照してください。

セキュリティ・リストの概要

セキュリティ・リストは、インスタンスの仮想ファイアウォールとして機能し、内外で許可されるトラフィック・タイプを指定するイングレスおよびエグレス・ルールが含まれます。各セキュリティ・リストはVNICレベルで適用されます。ただし、サブネット・レベルでセキュリティ・リストを構成します。そのため、サブネット内のすべてのVNICに、同じセキュリティ・リスト・セットが適用されます。セキュリティ・リストは、VCN内の別のインスタンスと通信しているのか、VCN外部のホストと通信しているのかに関係なく、特定のVNICに適用されます。

各サブネットには、複数のセキュリティ・リストを関連付けることができます。また、各リストには多数のルールを含めることができます(最大数については、セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照してください)。いずれかのリストのルールでトラフィックの許可(またはトラフィックがトラッキング対象の既存の接続の一部である場合)、同じトラフィックをカバーするステートフル・ルールとステートレス・ルールの両方がリストに含まれている場合を除き、目的のパケットが許可されます。詳細は、ステートレス・ルールと比較したステートフルを参照してください。

セキュリティ・リストはリージョナル・エンティティです。セキュリティ・リストに関連する制限については、セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照してください。

セキュリティ・リストでは、IPv4とIPv6のトラフィックを両方とも制御できます。IPv6アドレス指定および関連するセキュリティ・リスト・ルールは、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。

制限関連の情報については、セキュリティ・リストの制限およびサービス制限の引上げのリクエストを参照してください。

デフォルト・セキュリティ・リスト

他のセキュリティ・リストとは異なり、デフォルト・セキュリティ・リストにはステートフル・ルールの初期セットが付属します。これらのルールを変更して、VCNまたはサブネットのホームであるリージョンに関連する認可されたサブネットからのインバウンド・トラフィックのみを許可することをお薦めします。各リージョンに関連する認可サブネット範囲のリストは、https://docs.cloud.oracle.com/iaas/tools/public_ip_ranges.jsonを参照してください。

  • ステートフル・イングレス:認可されたソースIPアドレスおよび任意のソース・ポートからの宛先ポート22 (SSH)に対するTCPトラフィックを許可します。このルールにより、新しいクラウド・ネットワークおよびパブリック・サブネットを簡単に作成して、Linuxインスタンスを作成し、すぐにSSHを使用してそのインスタンスに簡単に接続できます。その際、セキュリティ・リスト・ルールを自分で記述する必要はありません。

    重要

    デフォルト・セキュリティ・リストには、Remote Desktop Protocol (RDP)アクセスを許可するルールは含まれません。Windowsイメージを使用している場合は、認可されたソースIPアドレスおよび任意のソース・ポートから宛先port 3389のTCPトラフィックのステートフル・イングレス・ルールを追加してください。

    詳細は、RDPアクセスを有効にするにはを参照してください。

  • ステートフル・イングレス:認可されたソースIPアドレスからのICMCPトラフィック・タイプ3コード4を許可します。このルールを使用すると、コンピュート・インスタンスがPath MTU Discoveryフラグメンテーション・メッセージを受信できるようになります。
  • ステートフル・イングレス: VCNのCIDRブロックからのICMCPトラフィック・タイプ3 (すべてコード)を許可する。このルールにより、コンピュート・インスタンスはVCN内の他のインスタンスから接続エラー・メッセージを簡単に受信できるようになります。
  • ステートフル・エグレス: すべてのトラフィックを許可します。これにより、インスタンスは任意の宛先への任意の種類のトラフィックを開始できます。これは、パブリックIPアドレスを持つインスタンスが、VCNに構成済のインターネット・ゲートウェイがある場合、すべてのインターネットIPアドレスと通信できることを意味しています。また、ステートフル・セキュリティ・ルールでは接続トラッキングが使用されるため、イングレス・ルールに関係なく、レスポンス・トラフィックは自動的に許可されます。詳細は、ステートレス・ルールと比較したステートフルを参照してください。

デフォルト・セキュリティ・リストには、ステートレス・ルールはありません。ただし、デフォルト・セキュリティ・リストに対していつでもルールを追加または削除できます。

VCNでIPv6アドレス指定が有効になっている場合、デフォルト・セキュリティ・リストにIPv6トラフィック用のデフォルト・ルールが含まれます。詳細は、IPv6トラフィックのセキュリティ・ルールを参照してください。

Pingの有効化

デフォルト・セキュリティ・リストには、pingリクエストを許可するルールは含まれません。インスタンスにpingを実行する場合は、断片化されたUDPパケットを処理するルールを参照してください。

IPv6トラフィックのセキュリティ・ルール

VCNのネットワーク・セキュリティ・グループおよびセキュリティ・リストでは、IPv4とIPv6の両方のセキュリティ・ルールがサポートされます。たとえば、ネットワーク・セキュリティ・グループまたはセキュリティ・リストには、次のセキュリティ・ルールを含めることができます:

  • オンプレミス・ネットワークのIPv4 CIDRからのSSHトラフィックを許可するルール
  • オンプレミス・ネットワークのIPv4 CIDRからのpingトラフィックを許可するルール
  • オンプレミス・ネットワークのIPv6接頭辞からのSSHトラフィックを許可するルール
  • オンプレミス・ネットワークのIPv6接頭辞からのpingトラフィックを許可するルール

IPv6対応VCNのデフォルト・セキュリティ・リストには、デフォルトのIPv4ルールと、次のデフォルトのIPv6ルールが含まれています:

  • ステートフル・イングレス:ソース::/0およびすべてのソース・ポートからの宛先ポート22 (SSH)に対するIPv6 TCPトラフィックを許可します。このルールにより、パブリック・サブネットおよびインターネット・ゲートウェイを含むVCNを簡単に作成し、Linuxインスタンスを作成し、インターネット・アクセス可能なIPv6を追加して、セキュリティ・ルールを自分で記述する必要なく、そのインスタンスにSSHですぐに接続できます。

    重要

    デフォルト・セキュリティ・リストには、Remote Desktop Protocol (RDP)アクセスを許可するルールは含まれていません。Windowsイメージを使用している場合は、ソース::/0および任意のソース・ポートからの宛先ポート3389に対するTCPトラフィック用のステートフル・イングレス・ルールを追加します。

    詳細は、RDPアクセスを有効にするにはを参照してください。

  • ステートフル・イングレス: ソース::/0および任意のソース・ポートからのICMPv6トラフィック・タイプ2コード0 (パケットが大きすぎる)を許可します。このルールを使用すると、インスタンスでPath MTU Discoveryのフラグメンテーション・メッセージを受信できます。
  • ステートフル・エグレス:すべてのIPv6トラフィックを許可するように選択すると、インスタンスは、任意の宛先に対して任意の種類のIPv6トラフィックを開始することができます。インターネット・アクセス可能なIPv6を持つインスタンスは、VCNに構成済のインターネット・ゲートウェイがある場合、すべてのインターネットIPv6アドレスと通信できます。また、ステートフル・セキュリティ・ルールでは接続トラッキングが使用されるため、イングレス・ルールに関係なく、レスポンス・トラフィックは自動的に許可されます。詳細は、ステートレス・ルールと比較したステートフルを参照してください。