Oracle Cloud Infrastructureドキュメント

ネットワークを保護する方法

クラウド・ネットワークおよびコンピュート・インスタンスのセキュリティを制御するには、いくつかの方法があります:

  • パブリック・サブネットとプライベート・サブネット: サブネットをプライベートに指定できます。つまり、サブネット内のインスタンスはパブリックIPアドレスを持つことができません。詳細は、パブリック・サブネットとプライベート・サブネットを参照してください。
  • セキュリティ・ルール: インスタンス内外のパケット・レベルのトラフィックを制御します。セキュリティ・ルールは、Oracle Cloud Infrastructure APIまたはコンソールで構成します。セキュリティ・ルールを実装するには、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用します。詳細は、セキュリティ・ルールを参照してください。
  • ファイアウォール・ルール: インスタンス内外のパケット・レベルのトラフィックを制御します。ファイアウォール・ルールはインスタンス自体で直接構成します。Oracle Linuxを実行するプラットフォーム・イメージには、SSHトラフィック用のTCPポート22のイングレスを許可するデフォルト・ルールが自動的に含まれています。また、Windowsイメージには、リモート・デスクトップ・アクセス用のTCPポート3389のイングレスを許可するデフォルト・ルールが含まれています。詳細は、プラットフォーム・イメージを参照してください。
    重要

    ファイアウォール・ルールとセキュリティ・ルールの両方がインスタンス・レベルで動作します。ただし、セキュリティ・リストをサブネット・レベルで構成することにより、特定のサブネット内のすべてのリソースがセキュリティ・リスト・ルールの同じセットを持ちます。また、ネットワーク・セキュリティ・グループ内のセキュリティ・ルールは、グループ内のリソースにのみ適用されます。インスタンスへのアクセスのトラブルシューティングを行う際は、次のすべての項目が正しく設定されていることを確認してください: インスタンスが存在するネットワーク・セキュリティ・グループ、インスタンスのサブネットに関連付けられているセキュリティ・リスト、およびインスタンスのファイアウォール・ルール。

    インスタンスでOracle Autonomous Linux 8.x、Oracle Autonomous Linux 7、Oracle Linux 8、Oracle Linux 7またはOracle Linux Cloud Developer 8を実行している場合は、firewalldを使用してiptablesルールを操作する必要があります。参照用に、ポート(この例では1521)をオープンするためのコマンドを次に示します:

    sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

    ISCSIブート・ボリュームを持つインスタンスでは、前述の--reloadコマンドで問題が発生することがあります。詳細および回避策については、firewall-cmd --reloadの実行後にインスタンスでシステム・ハングが発生しますを参照してください。

  • ゲートウェイおよびルート表: クラウド・ネットワークから外部の宛先(インターネット、オンプレミス・ネットワークまたは別のVCN)への一般的なトラフィック・フローを制御します。クラウド・ネットワークのゲートウェイおよびルート表は、Oracle Cloud Infrastructure APIまたはコンソールで構成します。ゲートウェイの詳細は、ネットワーキング・コンポーネントを参照してください。ルート表の詳細は、VCNルート表を参照してください。
  • IAMポリシー: Oracle Cloud Infrastructure APIまたはコンソール自体にアクセスできるユーザーを制御します。アクセスのタイプと、アクセスできるクラウド・リソースを制御できます。たとえば、ネットワークとサブネットを設定できるユーザー、またはルート表、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを更新できるユーザーを制御できます。ポリシーは、Oracle Cloud Infrastructure APIまたはコンソールで構成します。詳細は、アクセス制御を参照してください。
  • セキュリティ・ゾーン: ネットワークおよびその他のクラウド・リソースがOracleのセキュリティ原則およびベスト・プラクティスに必ず準拠するように、それらをセキュリティ・ゾーン内に作成できます。セキュリティ・ゾーンはコンパートメントに関連付けられ、すべてのネットワーク管理操作をセキュリティ・ゾーン・ポリシーに照らしてチェックします。たとえば、セキュリティ・ゾーンでパブリックIPアドレスの使用を許可せず、プライベート・サブネットのみを含めることができるようにします。詳細は、セキュリティ・ゾーンの概要を参照してください。