ネットワークを保護する方法

OCIには、クラウド・ネットワークおよびコンピュート・インスタンスのセキュリティを制御できるいくつかの方法があります。

  • パブリック・サブネットおよびプライベート・サブネット:サブネットはプライベートとして定義できます。つまり、サブネット内のインスタンスはパブリックIPアドレスを持つことはできません。詳細は、パブリック・サブネットとプライベート・サブネットを参照してください。
  • セキュリティ・ルール: インスタンス内外のパケット・レベルのトラフィックを制御します。セキュリティ・ルールは、Oracle Cloud Infrastructure APIまたはコンソールで構成します。セキュリティ・ルールを実装するには、ネットワーク・セキュリティ・グループまたはセキュリティ・リストを使用します。詳細は、セキュリティ・ルールを参照してください。
  • ゼロ・トラスト・パケット・ルーティング: ゼロ・トラスト・パケット・ルーティング(ZPR)をネットワーク・セキュリティ・グループとともにまたはネットワーク・セキュリティ・グループのかわりに使用して、OCIリソースへのネットワーク・アクセスを制御できます。そのためには、セキュリティ属性を適用し、ZPRポリシーを作成してそれらの間の通信を制御します。詳細は、Zero Trust Packet Routingを参照してください。
    注意

    エンドポイントにZPRセキュリティ属性がある場合、エンドポイントへのトラフィックはZPRルール、およびすべてのNSGおよびセキュリティ・リスト・ルールを満たす必要があります。たとえば、NSGをすでに使用していて、セキュリティ属性をエンドポイントに適用した場合、属性が適用されるとすぐに、エンドポイントへのすべてのトラフィックがブロックされます。その後、ZPRポリシーでエンドポイントへのトラフィックを許可する必要があります。
  • ファイアウォール・ルール: インスタンス内外のパケット・レベルのトラフィックを制御します。ファイアウォール・ルールはインスタンス自体で直接構成します。Oracle Linuxを実行するプラットフォーム・イメージには、SSHトラフィック用のTCPポート22のイングレスを許可するデフォルト・ルールが自動的に含まれています。また、Windowsイメージには、リモート・デスクトップ・アクセス用のTCPポート3389のイングレスを許可するデフォルト・ルールが含まれています。詳細は、プラットフォーム・イメージを参照してください。
    重要

    ファイアウォール・ルールとセキュリティ・ルールの両方がインスタンス・レベルで動作します。ただし、セキュリティ・リストをサブネット・レベルで構成することで、特定のサブネット内のすべてのリソースがセキュリティ・リスト・ルールの同じセットを持ちます。また、ネットワーク・セキュリティ・グループ内のセキュリティ・ルールは、グループ内のリソースにのみ適用されます。インスタンスへのアクセスのトラブルシューティングを行う際は、次のすべての項目が正しく設定されていることを確認してください: インスタンスが存在するネットワーク・セキュリティ・グループ、インスタンスのサブネットに関連付けられているセキュリティ・リスト、およびインスタンスのファイアウォール・ルール。

    インスタンスがOracle Autonomous Linux 8.x、Oracle Autonomous Linux 7、Oracle Linux 8、Oracle Linux 7、またはOracle Linux Cloud Developer 8を実行している場合は、iptablesルールと相互作用するにはfirewalldを使用する必要があります。参照用に、ポート(この例では1521)をオープンするためのコマンドを次に示します:

    sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
    								
    sudo firewall-cmd --reload

    ISCSIブート・ボリュームを持つインスタンスでは、前述の--reloadコマンドで問題が発生することがあります。詳細および回避策については、firewall-cmd --reloadの実行後にインスタンスでシステム・ハングが発生しますを参照してください。

  • ゲートウェイおよびルート表:クラウド、ネットワークから外部の宛先(インターネット、オンプレミス・ネットワークまたは別のVCN)への一般的なトラフィック・フローを制御します。クラウド・ネットワークのゲートウェイおよびルート表は、Oracle Cloud Infrastructure APIまたはコンソールで構成されます。ゲートウェイの詳細は、ネットワーキング・コンポーネントを参照してください。ルート表の詳細は、VCNルート表を参照してください。
  • IAMポリシー: Oracle Cloud Infrastructure APIまたはコンソール自体にアクセスできるユーザーを制御します。アクセスのタイプと、アクセスできるクラウド・リソースを制御できます。たとえば、ネットワークとサブネットを設定できるユーザー、ルート表、ネットワーク・セキュリティー・グループまたはセキュリティ・リストを更新できるユーザーを制御することができます。ポリシーは、Oracle Cloud Infrastructure APIまたはコンソールで構成します。詳細は、アクセス制御を参照してください。
  • セキュリティ・ゾーン: ネットワークおよびその他のクラウド・リソースがOracleのセキュリティ原則およびベスト・プラクティスに必ず準拠するよう、それらをセキュリティ・ゾーン内に作成できます。セキュリティ・ゾーンはコンパートメントに関連付けられ、すべてのネットワーク管理操作をセキュリティ・ゾーン・ポリシーに照らしてチェックします。たとえば、セキュリティ・ゾーンではパブリックIPアドレスの使用を許可されず、プライベート・サブネットのみを含めることができます。詳細は、セキュリティ・ゾーンの概要を参照してください。