セキュリティ・リスト

ネットワーキング・サービスには、パケット・レベルでトラフィックを制御するために2つの仮想ファイアウォール機能が用意されています:

  • セキュリティ・リスト: このトピックで説明します。これは、ネットワーキング・サービスが提供する元のタイプの仮想ファイアウォールです。
  • ネットワーク・セキュリティ・グループ: セキュリティ・リストよりも推奨される別のタイプの仮想ファイアウォールです。ネットワーク・セキュリティ・グループを参照してください。

これらの機能はどちらもセキュリティ・ルールを使用します。セキュリティ・ルールの仕組みに関する重要な情報、およびセキュリティ・リストとネットワーク・セキュリティ・グループの一般的な比較については、セキュリティ・ルールを参照してください。

ハイライト

  • セキュリティ・リストは、コンピュート・インスタンスや他の種類のリソースで仮想ファイアウォールとして機能します。セキュリティ・リストは、セキュリティ・リストが関連付けられているサブネット内のすべてのVNICに適用される、イングレスおよびエグレス・セキュリティ・ルールのセットで構成されます。これは、特定のサブネット内のすべてのVNICが同じセキュリティ・リストのセットの対象であることを意味します。セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照してください。
  • セキュリティ・リスト・ルールは、ネットワーク・セキュリティ・グループ・ルールと同様に機能します。ルール・パラメータの詳細は、セキュリティ・ルールの構成要素を参照してください。
  • 各VCNには、必須のトラフィックに対応する複数のデフォルト・ルールを持つデフォルト・セキュリティ・リストが付属しています。サブネットにカスタム・セキュリティ・リストを指定しない場合、デフォルト・セキュリティ・リストがそのサブネットで自動的に使用されます。デフォルト・セキュリティ・リストに対して、ルールを追加または削除できます。
  • セキュリティ・リストには、ネットワーク・セキュリティ・グループと比較して異なる個別の制限があります。セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照してください。

セキュリティ・リストの概要

セキュリティ・リストは、インスタンスの仮想ファイアウォールとして機能し、内外で許可されるトラフィック・タイプを指定するイングレスおよびエグレス・ルールが含まれます。各セキュリティ・リストはVNICレベルで適用されます。ただし、セキュリティ・リストをサブネット・レベルで構成することにより、特定のサブネット内のすべてのVNICがセキュリティ・リストの同じセットの対象となります。セキュリティ・リストは、特定のVNICに対して、VCN内の別のインスタンスと通信しているか、またはVCN外部のホストと通信しているかに関係なく適用されます。

各サブネットには複数のセキュリティ・リストを関連付けることができ、各リストには複数のルールを含めることができます(最大数については、セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照)。いずれかのリストのルールでトラフィックを許可する場合(またはトラフィックがトラッキング対象の既存の接続の一部である場合)、目的のパケットは許可されます。同じトラフィックをカバーするステートフル・ルールとステートレス・ルールの両方がリストに含まれる場合は注意が必要です。詳細は、ステートフル・ルールとステートレス・ルールを参照してください。

セキュリティ・リストはリージョナル・エンティティです。セキュリティ・リストに関連する制限については、セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照してください。

セキュリティ・リストでは、IPv4とIPv6のトラフィックを両方とも制御できます。IPv6アドレス指定および関連するセキュリティ・リスト・ルールは、すべての商用リージョンおよび政府リージョンでサポートされています。詳細は、IPv6アドレスを参照してください。

制限関連の情報については、セキュリティ・リストの制限およびサービス制限の引上げのリクエストを参照してください。

デフォルト・セキュリティ・リスト

他のセキュリティ・リストとは異なり、デフォルト・セキュリティ・リストにはステートフル・ルールの初期セットが付属しており、ほとんどの場合、VCNまたはサブネットが含まれるリージョンに関連する認可サブネットからのインバウンド・トラフィックのみを許可するように変更する必要があります。各リージョンに関連する認可サブネット範囲のリストは、https://docs.cloud.oracle.com/iaas/tools/public_ip_ranges.jsonを参照してください。

  • ステートフル・イングレス: 認可されたソースIPアドレスおよび任意のソース・ポートからの宛先ポート22 (SSH)に対するTCPトラフィックを許可します。このルールにより、新しいクラウド・ネットワークおよびパブリック・サブネットを簡単に作成し、Linuxインスタンスを起動し、すぐにSSHを使用してそのインスタンスに接続できます。その際、セキュリティ・リスト・ルールを自分で記述する必要はありません。

    重要

    デフォルト・セキュリティ・リストには、Remote Desktop Protocol (RDP)アクセスを許可するルールは含まれていません。Windowsイメージを使用している場合は、認可されたソースIPアドレスおよび任意のソース・ポートからの宛先ポート3389に対するTCPトラフィック用のステートフル・イングレス・ルールを必ず追加します。

    詳細は、RDPアクセスを有効にするにはを参照してください。

  • ステートフル・イングレス: 認可されたソースIPアドレスからのICMPトラフィック・タイプ3コード4を許可します。このルールを使用すると、インスタンスでPath MTU Discoveryのフラグメンテーション・メッセージを受信できます。
  • ステートフル・イングレス: VCNのCIDRブロックからのICMPトラフィック・タイプ3 (すべてのコード)を許可します。このルールにより、インスタンスはVCN内の他のインスタンスから接続エラー・メッセージを簡単に受信できます。
  • ステートフル・エグレス: すべてのトラフィックを許可します。これによって、インスタンスは任意の宛先に対して任意の種類のトラフィックを開始できます。これは、パブリックIPアドレスを持つインスタンスが、VCNに構成済のインターネット・ゲートウェイがある場合、すべてのインターネットIPアドレスと通信できることを意味しています。また、ステートフル・セキュリティ・ルールでは接続トラッキングが使用されるため、イングレス・ルールに関係なく、レスポンス・トラフィックは自動的に許可されます。詳細は、ステートフル・ルールとステートレス・ルールを参照してください。

デフォルト・セキュリティ・リストには、ステートレス・ルールはありません。ただし、デフォルト・セキュリティ・リストに対していつでもルールを追加または削除できます。

VCNでIPv6アドレス指定が有効になっている場合、デフォルト・セキュリティ・リストにIPv6トラフィック用のデフォルト・ルールが含まれます。詳細は、IPv6トラフィックのセキュリティ・ルールを参照してください。

pingの有効化

デフォルト・セキュリティ・リストには、pingリクエストを許可するルールは含まれていません。インスタンスにpingを実行する場合は、断片化されたUDPパケットを処理するルールを参照してください。

IPv6トラフィックのセキュリティ・ルール

ルート表と同様に、VCNのネットワーク・セキュリティ・グループおよびセキュリティ・リストでは、IPv4とIPv6の両方のセキュリティ・ルールがサポートされています。たとえば、ネットワーク・セキュリティ・グループまたはセキュリティ・リストには、次のセキュリティ・ルールを含めることができます:

  • オンプレミス・ネットワークのIPv4 CIDRからのSSHトラフィックを許可するルール
  • オンプレミス・ネットワークのIPv4 CIDRからのpingトラフィックを許可するルール
  • オンプレミス・ネットワークのIPv6接頭辞からのSSHトラフィックを許可するルール
  • オンプレミス・ネットワークのIPv6接頭辞からのpingトラフィックを許可するルール

IPv6対応VCNのデフォルト・セキュリティ・リストには、デフォルトのIPv4ルールと、次のデフォルトのIPv6ルールが含まれています:

  • ステートフル・イングレス: ソース::/0および任意のソース・ポートからの宛先ポート22 (SSH)に対するIPv6 TCPトラフィックを許可します。このルールにより、パブリック・サブネットおよびインターネット・ゲートウェイを含むVCNを簡単に作成し、Linuxインスタンスを作成し、インターネット・アクセス可能なIPv6を追加して、セキュリティ・ルールを自分で記述する必要なく、そのインスタンスにSSHですぐに接続できます。

    重要

    デフォルト・セキュリティ・リストには、Remote Desktop Protocol (RDP)アクセスを許可するルールは含まれていません。Windowsイメージを使用している場合は、ソース::/0および任意のソース・ポートからの宛先ポート3389に対するTCPトラフィック用のステートフル・イングレス・ルールを追加します。

    詳細は、RDPアクセスを有効にするにはを参照してください。

  • ステートフル・イングレス: ソース::/0および任意のソース・ポートからのICMPv6トラフィック・タイプ2コード0 (パケットが大きすぎる)を許可します。このルールを使用すると、インスタンスでPath MTU Discoveryのフラグメンテーション・メッセージを受信できます。
  • ステートフル・エグレス: すべてのIPv6トラフィックを許可するように選択すると、インスタンスは任意の宛先に対して任意の種類のIPv6トラフィックを開始できます。インターネット・アクセス可能なIPv6を持つインスタンスは、VCNに構成済のインターネット・ゲートウェイがある場合、すべてのインターネットIPv6アドレスと通信できます。また、ステートフル・セキュリティ・ルールでは接続トラッキングが使用されるため、イングレス・ルールに関係なく、レスポンス・トラフィックは自動的に許可されます。詳細は、ステートフル・ルールとステートレス・ルールを参照してください。