Fusion Applicationsへのアクセスの保護
Fusionアプリケーションへのネットワーク・アクセスを制御します。
ユーザーは、有効なユーザー資格証明があるかぎり、インターネットからFusion Applicationsにアクセスできます。環境へのアクセスをさらに制御するために、Fusion Applicationsでは次のオプションがサポートされています。
- アクセス制御リスト(ACL): アクセス制御リスト(ACL)を使用した、選択したパブリックIP (CIDR)または仮想クラウド・ネットワーク(VCNs)からのみ環境へのアクセスを許可します。
- オンプレミス・ネットワークからプライベートにアクセス: インターネットを介さずにオンプレミス・ネットワークから環境にアクセスできます。
- ロケーションベースのアクセス制御(LBAC): ユーザーが自分のロールと計算IPアドレスに基づいてタスクとデータにアクセスできるようにします。このオプションは、Fusion Applicationsセキュリティ・コンソールで、ITセキュリティ・マネージャ・ロールを持つ管理者が構成します。詳細は、「事業所ベースのアクセスの概要」に関する項を参照してください。
これらのユース・ケースは相互に排他的ではなく、相互にサポートできます。たとえば、オンプレミス・ネットワークからプライベート・アクセスを設定し、選択したIPに対してインターネット経由でアクセスを提供できます。または、オンプレミスからのプライベート・アクセスを使用してLBACを有効にすることもできます。
オンプレミス・ネットワークからのプライベート・アクセスの概要
Fusion Applicationsでは、オンプレミス・ネットワークからFusion Applicationsへのプライベート接続を設定できます。概要レベルでは、この構成には次のものが含まれます。
-
オンプレミス・ネットワークからOCIのVCNおよびFusion Applicationsへの接続を作成および構成します。
- Fusion Applications環境のネットワーク設定の更新。
オンプレミスからのプライベート・アクセスの前提条件
オンプレミス・ネットワークからOCI上のFusion Applicationsへのプライベート・アクセスを設定するには、次のものが必要です:
- Fusion Applications環境がプロビジョニングされるOracle Cloud Infrastructure (OCI)のテナンシ。
- OCIテナンシのVirtual Cloud Network (VCN)。
- オンプレミス・ネットワークからVCNへの接続。オンプレミス・ネットワークからOCIのVCNに接続するには、サイト間VPNまたはFastConnectの2つの方法があります。
- サイト間VPN: オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)の間にサイト間のIPSec接続が提供されます。IPSecプロトコル・スイートは、パケットがソースから宛先に転送される前にIPトラフィックを暗号化し、到着時にトラフィックを復号化します。このトピックの手順では、サイト間VPNの設定について説明します。
詳細は、サイト間VPNに関する項を参照してください。
- FastConnect: データ・センターとOCI間に、専用のプライベート接続を作成する方法が提供されます。FastConnectは、インターネット・ベースの接続に比べて、より高い帯域幅のオプションと、より信頼性の高い一貫性のあるネットワーキング・エクスペリエンスを提供します。FastConnectを介して接続する場合、BGPはルートを交換する唯一のオプションです。
- サイト間VPN: オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)の間にサイト間のIPSec接続が提供されます。IPSecプロトコル・スイートは、パケットがソースから宛先に転送される前にIPトラフィックを暗号化し、到着時にトラフィックを復号化します。このトピックの手順では、サイト間VPNの設定について説明します。
- VCNおよびテナンシ内のサイト間VPN (以前はIPSec VPNと呼ばれていました)またはFastConnectをプロビジョニングできるようにするには、サービス制限が必要です。
次のように、コンソールでサービス制限を確認できます:
- ナビゲーション・メニューを開き、「ガバナンスと管理」を選択します。「テナンシ管理」で、「制限、割当ておよび使用状況」を選択します。
- 「サービス」の横にある「フィルタの編集」を選択します。
- 「サービス」フィールドで、次を選択してサービス制限を表示します:
- VCNの制限: 「Virtual Cloud Network」を選択します。
- サイト間VPNの制限: 「VPN」を選択し、IPSec接続数の制限を表示します。
- FastConnectの制限: 「Fast Connect」を選択します。
サービス制限の引き上げをリクエストするには、サービス制限の引揚のリクエストに関する項を参照してください。
サイト間VPNを使用したプライベート接続の設定ステップ
次のステップでは、サイト間VPNを使用してプライベート接続を設定する方法について説明します。後述する特定の値を使用して、OCI Networkingサービスのドキュメントを参照してください。
VCNを作成し、オンプレミス・ネットワークからOCIのVCNおよびFusion Applicationsへの接続を確立します
- 仮想クラウド・ネットワークを作成します。
VCNを作成するには、ネットワーキング・サービスのドキュメントVCNの作成の手順に従います。入力するIPV4 CIDRブロックが、オンプレミス・ネットワークIP範囲と重複していないことを確認します。
- オンプレミス・ネットワークにVCNを接続します。
このステップでは、サイト間VPNを使用して、VCNをオンプレミス・ネットワークに接続します。接続を実現するには、Dynamic Routing Gateway (DRG)を作成してVCNにアタッチし、VCNとオンプレミス・ネットワーク間のルーティングを設定する必要があります。
- 「DRGの作成」のトピックの手順を使用して、Dynamic Routing Gatewayを作成します。
- 「DRGへのVCNのアタッチ」のトピックの手順を使用して、VCNをDRGにアタッチします。
- サイト間VPNの設定のトピックの手順に従って、顧客構内設備を設定し、サイト間VPN IPSec接続を作成します。
- トピック「Oracle Servicesへのプライベート・アクセス用の転送ルーティング・オプション」の手順に従って、転送ルーティングを構成します。次の手順を使用して、サービス・ゲートウェイを介して直接転送ルーティングを構成します。または、より高度なシナリオがある場合は、プライベートIPを介したルーティングの詳細を参照してください。
Fusion Applications環境のネットワーク設定の更新
最後のステップで、VCNからのプライベート・トラフィックを許可するようにFusion Applications環境を更新します。パブリック・インターネットからのアクセスをブロックするには、Fusion Applications環境アクセス制御リストに他のパブリックIPが追加されていないことを確認する必要があります。
さらに、Fusion Applicationsでは、コンテンツ配信ネットワーク(CDN)ベースのキャッシュを使用して、ユーザーにコンテンツを迅速に提供します。キャッシュを回避するには、コンテンツ・アクセラレーションを無効にする必要があります。
アクセス制御ルールを作成して、VCNのみを許可します:
「環境」リスト・ページで、作業する環境を選択します。リスト・ページの検索に関するヘルプが必要な場合は、環境をリストするにはを参照してください。
- 環境の詳細ページで、「ネットワーキング」を選択します。
- 「アクセス制御ルール」で、「ルールの作成」を選択します。
- IP表記法タイプで、「Virtual Cloud Network」を選択し、VCNを選択します。
- 「ルールの作成」を選択します。
インターネットキャッシュを無効にします(コンテンツアクセラレーション):
- 「ネットワーキング」タブの「インターネット・キャッシュ」設定の横にある「編集」を選択します。
- 「コンテンツ・アクセラレーション」パネルで、トグルを無効にします。
- 「Save changes」を選択します。
プライベート・オンプレミス接続によるロケーションベースのアクセス制御(LBAC)
LBACは、ユーザーのロールとコンピュータのIPアドレスに基づいてタスクおよびデータへのユーザー・アクセスを制御するためにFusion Applicationsが提供するもう1つの機能です。
LBACは、Fusion Applicationsセキュリティ・コンソールで構成されます。事業所ベースのアクセスを有効にして、ロールを公開するには、「ITのセキュリティ・マネージャ」ロールを持っている必要があります。ロールを公開にできるのは、事業所ベースのアクセスが有効になっている場合のみです。事業所ベースのアクセスを有効にするには、ユーザーが通常アプリケーションにサインインするコンピュータのIPアドレスを登録する必要があります。LBACの詳細と有効化および無効化方法は、Overview of Location-Based Accessを参照してください。