Fusion Applicationsへのアクセスの保護

Fusionアプリケーションへのネットワーク・アクセスを制御します。

ユーザーは、有効なユーザー資格証明があるかぎり、インターネットからFusion Applicationsにアクセスできます。環境へのアクセスをさらに制御するために、Fusion Applicationsでは次のオプションがサポートされています。

  • アクセス制御リスト(ACL): アクセス制御リスト(ACL)を使用して、選択したパブリックIP (CIDR)または仮想クラウド・ネットワーク(VCN)からのみ環境へのアクセスを許可します。
  • オンプレミス・ネットワークからプライベートにアクセス: インターネットを介さずにオンプレミス・ネットワークから環境にアクセスできます。
  • 事業所ベースのアクセス制御(LBAC): ロールと計算IPアドレスに基づいて、ユーザーがタスクおよびデータにアクセスできるようにします。このオプションは、ITセキュリティ・マネージャ・ロールを持つ管理者がFusion Applicationsセキュリティ・コンソールで構成します。詳細は、「事業所ベースのアクセスの概要」を参照してください。

これらのユースケースは相互に排他的ではなく、相互にサポートできます。たとえば、オンプレミス・ネットワークからのプライベート・アクセスを設定し、選択したIPのインターネット経由のアクセスを提供したり、オンプレミスからのプライベート・アクセスでLBACを有効にできます。

オンプレミス・ネットワークからのプライベート・アクセスの概要

Fusion Applicationでは、オンプレミス・ネットワークからFusion Applicationsへのプライベート接続を設定できます。概要レベルでは、この構成には次のものが含まれます。

  • オンプレミス・ネットワークからOCIのVCNへの接続を確立しています。

  • OCI VCNとFusion Applications間の接続を準備するためのVCNの構成。
  • Fusion Applications環境のネットワーク設定の更新。

オンプレミスからのプライベート・アクセスの前提条件

オンプレミス・ネットワークからOCI上のFusion Applicationsへのプライベート・アクセスを設定するには、次のものが必要です:

  • Fusion Applications環境がプロビジョニングされるOracle Cloud Infrastructure (OCI)のテナンシ。
  • OCIテナンシのVirtual Cloud Network (VCN)。
  • オンプレミス・ネットワークからVCNへの接続。オンプレミス・ネットワークからOCIのVCNに接続するには、サイト間VPNまたはFastConnectの2つの方法があります。
    • Site-to-Site VPN: オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)の間にサイト間IPSec接続を提供します。IPSecプロトコル・スイートは、パケットがソースから宛先に転送される前にIPトラフィックを暗号化し、到着時にトラフィックを復号化します。このトピックの手順では、サイト間VPNの設定について説明します。詳細は、サイト間VPNを参照してください。
    • FastConnect: データ・センターとOCI間に専用のプライベート接続を作成する方法を提供します。FastConnectは、インターネットベースの接続に比べて、高帯域幅のオプションを備えており、信頼性と一貫性が高いネットワーキングを実現できます。FastConnectを介して接続する場合、BGPはルートを交換する唯一のオプションです。設定の詳細は、FastConnectのブログおよびドキュメンテーションを参照してください。
  • VCNおよびテナンシ内のサイト間VPN (以前はIPSec VPNと呼ばれていました)またはFastConnectをプロビジョニングできるようにするには、サービス制限が必要です。

コンソールでは、次のように制限を確認できます:

ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「テナンシ管理」で、「制限、割当ておよび使用状況」をクリックします。

「サービス」リストから次を選択して、制限を表示します。

  • サイト間VPNの制限: 「VPN」を選択し、IPSec接続数の制限を表示します。
  • VCNの制限: 「Virtual Cloud Network」を選択します。
  • FastConnectの制限: 「Fast Connect」を選択します。

サービス制限の拡大をリクエストするには、サービス制限の拡大のリクエストを参照してください。

サイト間VPNを使用したプライベート接続の設定ステップ

次のステップでは、サイト間VPNを使用してプライベート接続を設定する方法について説明します。次に示す特定の値を使用して、OCIネットワーキング・サービスのドキュメントを参照します。

VCNを作成し、オンプレミス・ネットワークからOCIのVCNへの接続を確立します

  1. 仮想クラウド・ネットワークを作成します。

    VCNを作成するには、ネットワーキング・サービスのドキュメントVCNの作成の手順に従います。入力したIPV4 CIDRブロックがオンプレミス・ネットワークIP範囲と重複していないことを確認します。

  2. オンプレミス・ネットワークにVCNを接続します。

    このステップでは、サイト間VPNを使用して、VCNをオンプレミス・ネットワークに接続します。接続を実現するには、Dynamic Routing Gateway (DRG)を作成してVCNにアタッチし、VCNとオンプレミス・ネットワーク間のルーティングを設定する必要があります。

    1. 「DRGの作成」のトピックの手順を使用して、Dynamic Routing Gatewayを作成します。
    2. 「DRGへのVCNのアタッチ」のトピックの手順を使用して、VCNをDRGにアタッチします。
  3. サイト間VPNの設定のトピックの手順に従って、顧客構内機器を設定し、サイト間VPN IPSec接続を作成します。

OCI VCNとFusion Applications間の接続を準備するためのVCNの構成

VCNを構成するには、次のステップを実行します。
  1. VCNにサービス・ゲートウェイ(SGW)を追加し、リージョン別のOracle Services Networkに対するゲートウェイを有効にします。

    「Oracle Servicesへのアクセス: サービス・ゲートウェイ」のトピックの手順に従います。「サービス」リストから選択する場合は、「Oracle Services Networkのすべての<region-code>サービス」を選択します。

  2. DRGおよびサービス・ゲートウェイに対するイングレス・ルーティングを設定します。

    DRGアタッチメントのルート表を作成し、オンプレミス・ネットワークからサービス・ゲートウェイにインバウンド・トラフィックを送信するルート・ルールを追加して、ルーティングを設定します。

    ルート表を作成するには、VCNルート表の作成のトピックの手順に従います。次の選択を必ず行います。

    • 「ターゲット・タイプ」で、「サービス・ゲートウェイ」を選択します。
    • 「宛先」で、「Oracle Services Networkのすべての<region-code>サービス」を選択します。
  3. DRGアタッチメントにルート表をアタッチします。

    ルート表の作成後、前に作成したDRGに移動し、前のステップで作成したルート表を選択します。このタスクの実行の詳細は、サブネットのトラフィックをDRGにルーティングするにはを参照してください。

  4. サービス・ゲートウェイのルート表を作成します。

    サービス・ゲートウェイのルート表は、DRGを介してFusion Applicationsサービスからのレスポンス・トラフィックをオンプレミス・ネットワークにルーティングします。

    ルート表を作成するには、VCNルート表の作成のトピックの手順に従います。次の選択を必ず行います。

    • 「ターゲット・タイプ」で、「サービス・ゲートウェイ」を選択します。
    • 「宛先」で、「Oracle Services Networkのすべての<region-code>サービス」を選択します。
  5. ルート表をサービス・ゲートウェイにアタッチします。

    詳細は、「ルート表と既存のサービス・ゲートウェイの関連付け」を参照してください。

Fusion Applications環境のネットワーク設定の更新

最後のステップで、VCNからのプライベート・トラフィックを許可するようにFusion Applications環境を更新します。パブリック・インターネットからのアクセスをブロックするには、Fusion Applications環境アクセス制御リストに他のパブリックIPが追加されていないことを確認する必要があります。

さらに、Fusion Applicationsでは、コンテンツ配信ネットワーク(CDN)ベースのキャッシュを使用して、ユーザーにコンテンツを迅速に提供します。キャッシュを回避するには、コンテンツ・アクセラレーションを無効にする必要があります。

アクセス制御ルールを作成して、VCNのみを許可します:

  1. 環境にナビゲートします: コンソールの「アプリケーション」タブで、「Fusionアプリケーション」をクリックします。「概要」ページで、環境の環境ファミリを検索し、環境名をクリックします。
  2. 環境の詳細ページの「リソース」で、「ネットワーキング」をクリックします。
  3. 「ルールの作成」をクリックします。
  4. 「IP表記法タイプ」で、「Virtual Cloud Network」を選択し、次のフィールドでVCNを選択します。
  5. 「ルールの作成」をクリックします。

インターネット・キャッシュ(コンテンツ・アクセラレーション)を無効にします。

  1. 「ネットワーキング」で、「コンテンツ・アクセラレーション」タブをクリックします。
  2. 編集」をクリックします。
  3. インターネットキャッシュスイッチを無効に設定します。
  4. 「変更の保存」をクリックします。

プライベート・オンプレミス接続によるロケーションベースのアクセス制御(LBAC)

LBACは、ユーザーのロールとコンピュータのIPアドレスに基づいてタスクおよびデータへのユーザー・アクセスを制御するためにFusion Applicationsが提供するもう1つの機能です。

LBACはFusion Applicationsセキュリティ・コンソールで構成されます。事業所ベースのアクセスを有効にしてロールを公開にするには、「ITセキュリティ・マネージャ」ロールが必要です。ロールは、事業所ベースのアクセスが有効になっている場合にのみ公開できます。事業所ベースのアクセスを有効にするには、ユーザーが通常サインインするコンピュータのIPアドレスを登録する必要があります。「ロケーションベースのアクセスの概要」で、LBACの有効化および無効化の詳細および方法を確認できます。

プライベートなオンプレミス接続でLBACを構成するには、プライベートなオンプレミス接続でLBACを有効にするために、Fusion Applicationsカスタマ・サポートに対してサポート・リクエストを開く(SR)も行う必要があります。