Check Point: ポリシーベース

このトピックでは、Check Point CloudGuardのポリシーベースの構成について説明します。この手順は、Check Point CloudGuardバージョンR80.20で検証されました。

このトピックは、ポリシーベースの構成が対象です。かわりにルートベース(VTIベース)の構成を使用する場合は、Check Point: ルートベースを参照してください。

Check Pointの経験が必要です。このトピックには、Check Point CloudGuard Security GatewayをCheck Point CloudGuard Security Managerに追加する方法は含まれていません。Check Point製品の使用の詳細は、Check Pointのドキュメントを参照してください。

重要

Oracleには、一連のベンダーおよびデバイスの構成手順が用意されています。構成は適切なベンダーに対して使用してください。

構成の検証にOracleで使用されたデバイスまたはソフトウェアのバージョンが、使用しているデバイスまたはソフトウェアと完全に一致しない場合でも、構成は動作する可能性があります。ベンダーのドキュメントを参照し、必要な調整を行ってください。

デバイスが、検証済のベンダーおよびデバイスのリストに含まれないベンダーのものである場合、またはIPSecのデバイスの構成をよく理解している場合は、サポートされているIPSecパラメータのリストを確認し、ベンダーのドキュメントを参照してください。

Oracle Cloud Infrastructureは、オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)間のセキュアなIPSec接続であるサイト間VPNを提供します。

次の図は、冗長トンネルを使用した、Oracle Cloud Infrastructureへの基本的なIPSec接続を示しています。この図で使用されているIPアドレスは、単なる例です。

この図は、オンプレミス・ネットワーク、サイト間VPNトンネルおよびVCNの一般的なレイアウトを示しています。

ベスト・プラクティス

この項では、サイト間VPNの使用に関する一般的なベスト・プラクティスと考慮事項について説明します。

すべてのIPSec接続に対してすべてのトンネルを構成します

Oracleは、接続ごとに2つのIPSecヘッドエンドをデプロイし、ミッションクリティカルなワークロードに高可用性を提供します。Oracle側では、これらの2つのヘッドエンドが別々のルーターに配置されて冗長性が確保されます。最大の冗長性のために使用可能なすべてのトンネルを構成することをお薦めします。これは「障害を前提とした設計」原理の重要な要素です。

オンプレミス・ネットワークの場所に冗長CPEを配置します

IPSecでOracle Cloud Infrastructureに接続する各サイトでは、冗長エッジ・デバイス(顧客構内機器(CPE)とも呼ばれる)を使用する必要があります。Oracle Consoleに各CPEを追加し、動的ルーティング・ゲートウェイ(DRG)と各CPE間に個別のIPSec接続を作成します。各IPSec接続に対して、Oracleは、地理的に冗長なIPSecヘッドエンド上に2つのトンネルをプロビジョニングします。詳細は、接続性冗長性ガイド(PDF)を参照してください。

ルーティング・プロトコルの考慮事項

サイト間VPN IPSec接続を作成する場合、2つの冗長IPSecトンネルがあります。両方のトンネルを使用するようにCPEを構成することをお薦めします(CPEでサポートされている場合)。以前は、Oracleによって、最大4つのIPSecトンネルを持つIPSec接続が作成されていました。

次の2つのルーティング・タイプを使用でき、サイト間VPNの各トンネルに対して別個にルーティング・タイプを選択します:

  • BGP動的ルーティング: 使用可能なルートは、BGPによって動的に学習されます。DRGは、オンプレミス・ネットワークからルートを動的に学習します。Oracle側では、DRGはVCNのサブネットを通知します。
  • 静的ルーティング: DRGへのIPSec接続を設定する場合は、VCNに通知する必要のあるオンプレミス・ネットワークへの特定のルートを指定します。VCNのサブネットへの静的ルートを使用して、CPEデバイスを構成する必要もあります。これらのルートは、動的には学習されません。
  • ポリシー・ベースのルーティング: DRGへのIPSec接続を設定する場合は、VCNに通知する必要のあるオンプレミス・ネットワークへの特定のルートを指定します。VCNのサブネットへの静的ルートを使用して、CPEデバイスを構成する必要もあります。これらのルートは、動的には学習されません。

BGP最適パス選択アルゴリズムの操作方法に関するOracleの推奨事項など、サイト間VPNを使用したルーティングの詳細は、「サイト間VPNのルーティング」を参照してください。

その他の重要なCPE構成

CPEのアクセス・リストが、Oracle Cloud Infrastructureとの間で必要なトラフィックをブロックしないように正しく構成されていることを確認します。

複数のトンネルが同時にアップしている場合は、非対称ルーティングが発生する可能性があります。非対称ルーティングを可能にするには、CPEが任意のトンネルでVCNからのトラフィックを処理するように構成されていることを確認します。たとえば、ICMP検査を無効にしたり、TCP状態バイパスを構成したりする必要があります。適切な構成の詳細は、CPEベンダーのサポートに問い合せてください。対称になるようにルーティングを設定するには、「サイト間VPNのルーティング」を参照してください。

注意事項および制限事項

この項では、注意する必要のあるサイト間VPNの重要な一般的特性と制限について説明します。

非対称ルーティング

Oracleでは、IPSec接続を構成する複数のトンネル間で非対称ルーティングが使用されます。適切にファイアウォールを構成してください。そうしないと、接続間でのpingテストまたはアプリケーション・トラフィックが確実に動作しません。

複数のトンネルをOracle Cloud Infrastructureに使用する場合は、優先トンネルを通じてトラフィックを決定論的にルーティングするようにルーティングを構成することをお薦めします。1つのIPSecトンネルをプライマリとして使用し、別のトンネルをバックアップとして使用する場合は、プライマリ・トンネル(BGP)用として特定性の高いルートを構成し、バックアップ・トンネル(BGP/静的)用として特定性の低いルート(サマリーまたはデフォルト・ルート)を構成します。それ以外の場合、すべてのトンネルを通じて同じルート(デフォルト・ルートなど)を通知すると、Oracleが非対称ルーティングを使用するため、VCNからオンプレミス・ネットワークへの返却トラフィックは、使用可能なトンネルのいずれかにルーティングされます。

対称ルーティングの強制方法に関する特定のOracleルーティング推奨は、サイト間VPNのルーティングを参照してください。

ルートベースまたはポリシーベースのサイト間VPN

IPSecプロトコルは、セキュリティ・アソシエーション(SA)を使用してパケットの暗号化方法を判断します。各SA内で、パケットのソースIPアドレスと宛先IPアドレスおよびプロトコル・タイプをSAデータベースのエントリにマップする暗号化ドメインを定義して、パケットを暗号化または復号化する方法を定義します。

ノート

他のベンダーまたは業界のドキュメントでは、SAまたは暗号化ドメインを参照するときに、プロキシID、セキュリティ・パラメータ・インデックス(SPI)またはトラフィック・セレクタという用語が使用される場合があります。

IPSecトンネルを実装するには、一般的に2つの方法があります:

  • ルートベース・トンネル: ネクスト・ホップベース・トンネルとも呼ばれます。ルート表検索は、パケットの宛先IPアドレス上で実行されます。そのルートのエグレス・インタフェースがIPSecトンネルである場合、パケットは暗号化され、トンネルの他方の側に送信されます。
  • ポリシーベース・トンネル: パケットのソースと宛先のIPアドレスおよびプロトコルがポリシー・ステートメントのリストと照合されます。一致が検出されると、そのポリシー・ステートメント内のルールに基づいてパケットが暗号化されます。

Oracle Site - to - Site VPNヘッドエンドではルートベース・トンネルが使用されますが、次の各項に示す注意事項を考慮しながら、ポリシーベース・トンネルとともに使用できます。

ルートベース・トンネル用の暗号化ドメイン

CPEでルートベース・トンネルがサポートされている場合は、この方法を使用してトンネルを構成します。これは最も単純な構成で、Oracle VPNヘッドエンドとの相互運用性が最も高くなっています。

ルートベースのIPSecでは、次の値を持つ暗号化ドメインが使用されます:

  • ソースIPアドレス: 任意(0.0.0.0/0)
  • 宛先IPアドレス: 任意(0.0.0.0/0)
  • プロトコル: IPv4

より特定的にする必要がある場合は、デフォルト・ルートではなく、暗号化ドメイン値に単一のサマリー・ルートを使用できます。

ポリシーベース・トンネル用の暗号化ドメイン

ポリシーベースのトンネルを使用する場合、定義するすべてのポリシー・エントリ(IPSec接続の一方の側のCIDRブロック)によって、トンネルの他方の端の適格なすべてのエントリとのIPSecセキュリティ・アソシエーション(SA)が生成されます。このペアは暗号化ドメインと呼ばれます。

この図では、IPSecトンネルのOracle DRG終端に、3つのIPv4 CIDRブロックと1つのIPv6 CIDRブロックのポリシー・エントリがあります。トンネルのオンプレミスCPE終端には、ポリシー・エントリ2つのIPv4 CIDRブロックと2つのIPv6 CIDRブロックがあります。各エントリは、トンネルの反対側にある可能性のあるすべてのエントリを含む暗号化ドメインを生成します。SAペアの両側で同じバージョンのIPを使用する必要があります。その結果、合計8つの暗号化ドメインが作成されます。

複数の暗号化ドメインとその数を決定する方法を示す図。
重要

CPEでポリシーベース・トンネルのみがサポートされている場合、次の制限に注意してください。

  • Site - to - Site VPNは複数の暗号化ドメインをサポートしていますが、暗号化ドメインの上限は50です。
  • 前述の例のような状況で、CPE側で6つの可能なIPv4暗号化ドメインのうち3つのみを構成した場合、すべての可能な暗号化ドメインが常にDRG側で作成されるため、リンクは「Partial UP」状態でリストされます。
  • ポリシーベースのルーティングは、すべてのリージョンで使用できるわけではなく、VPN接続v2接続に依存します。サポートされているリージョンのリストは、サイト間VPN v2の可用性を参照してください。
  • トンネルが作成された時期によっては、ポリシーベースのルーティングを使用するように既存のトンネルを編集できず、トンネルを新しいIPSecトンネルに置き換える必要がある場合があります。
  • トンネルのOracle DRG終端で使用されるCIDRブロックは、トンネルのオンプレミスCPE終端で使用されるCIDRブロックと重複できません。
  • 暗号化ドメインは、常に同じIPバージョンの2つのCIDRブロック間にある必要があります。

CPEがNATデバイスの背後にある場合

一般的に、接続の終端で構成されたCPE IKE識別子は、Oracleが使用しているCPE IKE識別子と一致する必要があります。デフォルトでは、OracleではCPEのパブリックIPアドレスが使用されます。これは、Oracle ConsoleでCPEオブジェクトを作成したときに指定したものです。ただし、CPEがNATデバイスの背後にある場合、次の図に示すように、終端で構成されたCPE IKE識別子がCPEのプライベートIPアドレスになる可能性があります。

この図は、NATデバイスの背後にあるCPE、パブリックIPアドレスとプライベートIPアドレス、およびCPE IKE識別子を示しています。
ノート

一部のCPEプラットフォームでは、ローカルIKE識別子を変更できません。実行できない場合は、Oracle ConsoleでリモートIKE IDを変更し、CPEのローカルIKE IDと一致させる必要があります。IPSec接続を設定するときに、または設定後に、IPSec接続を編集して値を指定できます。Oracleでは、値がIPアドレスまたはcpe.example.comなどの完全修飾ドメイン名(FQDN)であることが必要です。手順については、Oracleで使用されるCPE IKE識別子の変更を参照してください。

サポートされているIPSecパラメータ

すべてのリージョンでサポートされているIPSecパラメータのベンダー非依存のリストについては、サポートされているIPSecパラメータを参照してください。

商用クラウドのOracle BGP ASNは、31898です。US Government Cloudにサイト間VPNを構成する場合は、Government CloudおよびOracleのBGP ASNに必要なサイト間VPNパラメータを参照してください。United Kingdom Government Cloudについては、OracleのBGP ASNを参照してください。

CPE構成(ポリシーベース)

重要

この項の構成手順は、使用しているCPE用のOracle Cloud Infrastructureで提供されています。サポートが必要な場合は、CPEベンダーのサポートに直接問い合せてください。

次の図は、IPSec接続の基本的なレイアウトを示しています。

この図は、IPSec接続とトンネルの一般的なレイアウトを示しています。

IKEv2の使用について

Oracleは、Internet Key Exchangeバージョン1 (IKEv1)およびバージョン2 (IKEv2)をサポートしています。コンソールでIKEv2を使用するようにIPSec接続を構成する場合、CPEでサポートされているIKEv2および関連するIKEv2暗号化パラメータのみを使用するようにCPEを構成する必要があります。OracleでIKEv1またはIKEv2用にサポートされているパラメータのリストについては、サポートされているIPSecパラメータを参照してください。

IKEv2を使用する場合、次の項に示すタスクの1つにバリエーションがあります。具体的には、タスク4で暗号化を構成するときに、暗号化方式として「IKEv2のみ」を選択します。

構成プロセス

タスク1: Check Point CloudGuard Security Gateway上のInstallSite- to - Site VPN
前提条件: 開始する前に、Check Point CloudGuard Security GatewayをCheck Point CloudGuard Security Managerに追加します。また、Check Point Smart Consoleを使用してIPSecトンネルを構成できるように、セキュアな内部通信(SIC)を確立します。CloudGuardにSecurity Gatewayを追加する手順またはSICを確立する手順は、Check Pointのドキュメントを参照してください。
この図は、前提条件を示しています。
  1. IPSec VPNモジュールをインストールします。トラフィック分析用のモニタリング・モジュールもインストールすることをお薦めします。

    この図は、IPSec VPNモジュールを有効化する場所を示しています。

  2. 「OK」をクリックして変更を保存します。
タスク2: Check Point CloudGuard Security GatewayのIPSec設定の構成

このタスクでは、Oracle Cloud InfrastructureとIPSecトンネルに使用される最も重要なオプションについて説明します。

  1. 「ネットワーク管理」ページで、すべてのインタフェースをインポートします。これを行うには、「インタフェースの取得」をクリックします。これには、「トポロジを使用したインタフェースの取得」および「トポロジを使用しないインタフェースの取得」のオプションが含まれています。この例では、「トポロジなしのインタフェースの取得」を使用して、各インタフェースの目的を外部または内部ネットワークとして定義できるようにします。

    これらのインタフェースはすべて、IPSec暗号化ドメインのCheck Point CloudGuard Security Gatewayによって通知されるサブネットとして、VPNドメインで使用されます。

    この図は、インタフェースをインポートする場所を示しています。

  2. 「VPNドメイン」ページでは、「ゲートウェイの背後にあるすべてのIPアドレスはトポロジ情報に基づいている」のオプションを選択することをお薦めします。このオプションは、ネットワーク管理で検出されたすべてのサブネットをIPSec暗号化ドメインに追加します。

    かわりに、「手動で定義」のオプションを選択することもできます。ただし、すべてのサブネットを持つネットワーク・オブジェクトがIPSec暗号化ドメインに含まれている必要があります。

    この図は、VPNドメインを設定する場所を示しています。

  3. Check Point CloudGuard Security Gatewayで1:1 NATを使用してプライベートIPアドレスをパブリックIPアドレスにマップする場合: 「リンク選択」ページの「常にこのIPアドレスを使用」で、「静的にNATed IP」を選択し、IKE IDとして使用するIPアドレスを指定します。

    この図は、NAT IPアドレス(ローカルIKE ID)を設定する場所を示しています。

    パブリックIPアドレスをローカルIKE IDとして使用しない場合は、別の値(プライベートIPアドレスなど)を使用できますが、その値はOracle DRGで予期される値と一致しなくなります。これを解決するために、OracleがOracle Consoleで使用する値を変更できます(次の手順を参照してください)。

    Oracleが使用するCPE IKE識別子を変更するには(Oracle Console)
    1. ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「Customer Connectivity」で、「Site - to - Site VPN (IPSec)」をクリックします。

      表示しているコンパートメント内のIPSec接続のリストが表示されます。探しているものが表示されない場合は、正しいコンパートメントを表示していることを確認します(ページの左側のリストから選択します)。

    2. 目的のIPSec接続について、「アクション」メニューをクリックし、「編集」をクリックします。

      Oracleが使用している現在のCPE IKE識別子が、ダイアログの下部に表示されます。

    3. 「CPE IKE識別子タイプ」「CPE IKE識別子」の新しい値を入力し、「変更の保存」をクリックします。
  4. 「OK」をクリックして変更を保存します。
タスク3: 相互運用可能デバイスの作成

後に、VPNコミュニティを作成します。その前に、Check Point CloudGuard Security GatewayでOracle DRGを定義するために使用する相互運用可能デバイスを作成しておく必要があります。

  1. 新しい相互運用可能デバイスを作成します。

    この図は、新しい相互運用可能デバイスを作成する場所を示しています。

  2. 新しい相互運用可能デバイスの「一般プロパティ」ページで、IPSecトンネルを識別するための名前を追加します。IPSec接続を作成するときに、トンネルのOracle終端にOracleが割り当てたIPアドレスを入力します。

    この図は、相互運用可能デバイスの構成場所を示しています。

  3. 「トポロジ」ページでは、「新規」をクリックしてトンネルに使用するOracle VCNサブネットを追加して、新しいトポロジを作成することをお薦めします。

    かわりに、「手動で定義」のオプションを選択することもできます。ただし、すべてのサブネットを持つネットワーク・オブジェクトがIPSec暗号化ドメインに含まれている必要があります。

    この図は、相互運用可能デバイスのトポロジを構成する場所を示しています。

  4. 「IPSec VPN」ページでは、オプションで新しい相互運用可能デバイスを既存のVPNコミュニティに追加できます。VPNコミュニティをまだ作成していない場合は、このステップをスキップできます。

    後続のステップでVPNコミュニティのフェーズ1およびフェーズ2のすべてのパラメータを定義するため、「従来のモードの構成」はスキップすることに注意してください。VPNコミュニティは、VPNコミュニティに属するすべての相互運用可能デバイスにこれらのパラメータを適用します。

    この図は、相互運用可能デバイスをVPNコミュニティに追加する場所を示しています。

  5. 「リンク選択」ページの「常にこのIPアドレスを使用」で、相互運用可能デバイスの作成時に指定したアドレスである「メイン・アドレス」を選択します。必要に応じて、IKE IDとして使用される特定のIPアドレスを使用できます。

    この図は、相互運用可能デバイスに使用するアドレスを指定する場所を示しています。

  6. 「VPN拡張」ページで、「コミュニティ設定の使用」を選択します。これにより、フェーズ1パラメータやフェーズ2パラメータなど、VPNコミュニティのすべてのオプションと値が適用されます。

    この図は、拡張VPN設定を指定する場所を示しています。

  7. 「OK」をクリックして変更を保存します。
タスク4: VPNコミュニティの作成
  1. 「セキュリティ・ポリシー」に移動し、「アクセス・ツール」から「VPNコミュニティ」を選択します。
  2. スター・コミュニティを作成します。

    この図は、VPNコミュニティを作成する場所を示しています。

  3. スター・コミュニティに対して、名前を追加します。

  4. 「Gateways」ページで、「Center Gateways」および「Satellite Gateways」の値を選択します。このスター・コミュニティは、「中央ゲートウェイ」および「Satellite Gateway」で指定する相互運用可能デバイスの設定テンプレートとして機能します。

    • 中央ゲートウェイ: Check Point CloudGuard Security Gateway用です。
    • サテライト・ゲートウェイ: IPSecトンネルごとにOracle DRGに接続するCPE用です。

    この図は、VPNコミュニティのゲートウェイを構成する場所を示しています。

  5. 概念実証(POC)シナリオの場合: 「暗号化トラフィック」ページで、「暗号化トラフィックの受入れ」チェック・ボックスを選択します。この設定のデフォルト値では、中央ゲートウェイとサテライト・ゲートウェイの両方のトラフィックが許可されます。この設定はPOCシナリオに適しています。ただし、本番シナリオでは、かわりに「アクセス制御」「ポリシー」タブで特定のセキュリティ・ポリシーを作成することをお薦めします。これは、このプロセスの最終タスクで説明します。

    この図は、暗号化するトラフィックを構成できる場所を示しています。

  6. 「暗号化」ページで、Oracleでサポートされるフェーズ1およびフェーズ2のパラメータを構成します。これらの値のリストについては、サポートされているIPSecパラメータを参照してください。

    Government Cloudにサイト間VPNを構成する場合は、Government Cloudに必要なサイト間VPNパラメータを参照してください。

    IKEv2を使用する場合、「Encryption Method」で、かわりに「IKEv2のみ」を選択します。

    この図は、フェーズ1およびフェーズ2のパラメータを構成できる場所を示しています。

  7. 「トンネル管理」ページで、「永続トンネルの設定」を選択します。次のことをお薦めします:

    • すべてのOracle IPSecトンネルを常に稼働状態にするため、「コミュニティ内のすべてのトンネル」を選択します。
    • 「VPNトンネル共有」セクションで、「ゲートウェイ・ペアごとに1つのVPNトンネル」を選択します。

    後者のオプションは、1組のIPSecセキュリティ・アソシエーション(SA)のみを生成し、各SAは1つのセキュリティ・パラメータ・インデックス(SPI) (単方向)のみを使用します。

    ポリシーベース・トンネルを使用する場合、すべてのポリシー・エントリによってIPSec SAのペア(暗号化ドメインとも呼ばれる)が生成されます。

    重要

    Oracle VPNヘッドエンドは複数の暗号化ドメインをサポートできますが、制限があります。詳細は、「ポリシーベースのトンネルの暗号化ドメイン」を参照してください。

    Oracleでは、ルートベースのIPSec接続が作成されます。つまり、ローカル・トラフィック用の0.0.0.0/0 (任意)とリモート・トラフィック用の0.0.0.0/0 (任意)が含まれる暗号化ドメインを介してすべてがルーティングされます。詳細は、サポートされている暗号化ドメインまたはプロキシIDを参照してください。

    この図は、トンネル管理オプションを構成できる場所を示しています。

  8. 「共有シークレット」ページで、「すべての外部メンバーに対して共有シークレットのみを使用」を選択し、IPSec接続の作成時にトンネル用にOracleで生成された共有シークレットを追加します。

    現在、Oracleは共有秘密キーのみをサポートしています。Oracle Console共有シークレットを変更できることに注意してください。

    この図は、トンネルに共有シークレットを指定できる場所を示しています。

  9. 「OK」をクリックして変更を保存します。

検証

次のコマンドでオプション2および4を使用して、セキュリティ・アソシエーション(SA)を検証します。


vpn tunnelutil


**********     Select Option     **********
 
 
(1)                List all IKE SAs
(2)              * List all IPsec SAs
(3)                List all IKE SAs for a given peer (GW) or user (Client)
(4)              * List all IPsec SAs for a given peer (GW) or user (Client)
(5)                Delete all IPsec SAs for a given peer (GW)
(6)                Delete all IPsec SAs for a given User (Client)
(7)                Delete all IPsec+IKE SAs for a given peer (GW)
(8)                Delete all IPsec+IKE SAs for a given User (Client)
(9)                Delete all IPsec SAs for ALL peers and users
(0)                Delete all IPsec+IKE SAs for ALL peers and users
 
 
* To list data for a specific CoreXL instance, append "-i <instance number>" to your selection.
 
 
(Q)               Quit
 
 
*******************************************

モニタリング・サービスは、クラウド・リソースをアクティブおよびパッシブにモニターするためにOracle Cloud Infrastructureから使用できます。サイト間VPNのモニタリングの詳細は、「サイト間VPNメトリック」を参照してください。

問題がある場合は、「サイト間VPNのトラブルシューティング」を参照してください。