Fusion Applicationsへのアクセスの保護
Fusionアプリケーションへのネットワーク・アクセスを制御します。
ユーザーは、有効なユーザー資格証明があるかぎり、インターネットからFusion Applicationsにアクセスできます。環境へのアクセスをさらに制御するために、Fusion Applicationsでは次のオプションがサポートされています。
- アクセス制御リスト(ACL): アクセス制御リスト(ACL)を使用して、選択したパブリックIP (CIDR)または仮想クラウド・ネットワーク(VCN)からのみ環境へのアクセスを許可します。
- オンプレミス・ネットワークからプライベートにアクセス: インターネットを介さずにオンプレミス・ネットワークから環境にアクセスできます。
- 事業所ベースのアクセス制御(LBAC): ロールと計算IPアドレスに基づいて、ユーザーがタスクおよびデータにアクセスできるようにします。このオプションは、ITセキュリティ・マネージャ・ロールを持つ管理者がFusion Applicationsセキュリティ・コンソールで構成します。詳細は、「事業所ベースのアクセスの概要」を参照してください。
これらのユースケースは相互に排他的ではなく、相互にサポートできます。たとえば、オンプレミス・ネットワークからのプライベート・アクセスを設定し、選択したIPのインターネット経由のアクセスを提供したり、オンプレミスからのプライベート・アクセスでLBACを有効にできます。
オンプレミス・ネットワークからのプライベート・アクセスの概要
Fusion Applicationでは、オンプレミス・ネットワークからFusion Applicationsへのプライベート接続を設定できます。概要レベルでは、この構成には次のものが含まれます。
-
オンプレミス・ネットワークからOCIのVCNへの接続を確立しています。
- OCI VCNとFusion Applications間の接続を準備するためのVCNの構成。
- Fusion Applications環境のネットワーク設定の更新。
オンプレミスからのプライベート・アクセスの前提条件
オンプレミス・ネットワークからOCI上のFusion Applicationsへのプライベート・アクセスを設定するには、次のものが必要です:
- Fusion Applications環境がプロビジョニングされるOracle Cloud Infrastructure (OCI)のテナンシ。
- OCIテナンシのVirtual Cloud Network (VCN)。
- オンプレミス・ネットワークからVCNへの接続。オンプレミス・ネットワークからOCIのVCNに接続するには、サイト間VPNまたはFastConnectの2つの方法があります。
- Site-to-Site VPN: オンプレミス・ネットワークと仮想クラウド・ネットワーク(VCN)の間にサイト間IPSec接続を提供します。IPSecプロトコル・スイートは、パケットがソースから宛先に転送される前にIPトラフィックを暗号化し、到着時にトラフィックを復号化します。このトピックの手順では、サイト間VPNの設定について説明します。詳細は、サイト間VPNを参照してください。
- FastConnect: データ・センターとOCI間に専用のプライベート接続を作成する方法を提供します。FastConnectは、インターネットベースの接続に比べて、高帯域幅のオプションを備えており、信頼性と一貫性が高いネットワーキングを実現できます。FastConnectを介して接続する場合、BGPはルートを交換する唯一のオプションです。設定の詳細は、FastConnectのブログおよびドキュメンテーションを参照してください。
- VCNおよびテナンシ内のサイト間VPN (以前はIPSec VPNと呼ばれていました)またはFastConnectをプロビジョニングできるようにするには、サービス制限が必要です。
コンソールでは、次のように制限を確認できます:
ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「テナンシ管理」で、「制限、割当ておよび使用状況」をクリックします。
「サービス」リストから次を選択して、制限を表示します。
- サイト間VPNの制限: 「VPN」を選択し、IPSec接続数の制限を表示します。
- VCNの制限: 「Virtual Cloud Network」を選択します。
- FastConnectの制限: 「Fast Connect」を選択します。
サービス制限の拡大をリクエストするには、サービス制限の拡大のリクエストを参照してください。
サイト間VPNを使用したプライベート接続の設定ステップ
次のステップでは、サイト間VPNを使用してプライベート接続を設定する方法について説明します。次に示す特定の値を使用して、OCIネットワーキング・サービスのドキュメントを参照します。
VCNを作成し、オンプレミス・ネットワークからOCIのVCNへの接続を確立します
- 仮想クラウド・ネットワークを作成します。
VCNを作成するには、ネットワーキング・サービスのドキュメントVCNの作成の手順に従います。入力したIPV4 CIDRブロックがオンプレミス・ネットワークIP範囲と重複していないことを確認します。
- オンプレミス・ネットワークにVCNを接続します。
このステップでは、サイト間VPNを使用して、VCNをオンプレミス・ネットワークに接続します。接続を実現するには、Dynamic Routing Gateway (DRG)を作成してVCNにアタッチし、VCNとオンプレミス・ネットワーク間のルーティングを設定する必要があります。
- 「DRGの作成」のトピックの手順を使用して、Dynamic Routing Gatewayを作成します。
- 「DRGへのVCNのアタッチ」のトピックの手順を使用して、VCNをDRGにアタッチします。
-
サイト間VPNの設定のトピックの手順に従って、顧客構内機器を設定し、サイト間VPN IPSec接続を作成します。
OCI VCNとFusion Applications間の接続を準備するためのVCNの構成
- VCNにサービス・ゲートウェイ(SGW)を追加し、リージョン別のOracle Services Networkに対するゲートウェイを有効にします。
「Oracle Servicesへのアクセス: サービス・ゲートウェイ」のトピックの手順に従います。「サービス」リストから選択する場合は、「Oracle Services Networkのすべての<region-code>サービス」を選択します。
-
DRGおよびサービス・ゲートウェイに対するイングレス・ルーティングを設定します。
DRGアタッチメントのルート表を作成し、オンプレミス・ネットワークからサービス・ゲートウェイにインバウンド・トラフィックを送信するルート・ルールを追加して、ルーティングを設定します。
ルート表を作成するには、VCNルート表の作成のトピックの手順に従います。次の選択を必ず行います。
- 「ターゲット・タイプ」で、「サービス・ゲートウェイ」を選択します。
- 「宛先」で、「Oracle Services Networkのすべての<region-code>サービス」を選択します。
- DRGアタッチメントにルート表をアタッチします。
ルート表の作成後、前に作成したDRGに移動し、前のステップで作成したルート表を選択します。このタスクの実行の詳細は、サブネットのトラフィックをDRGにルーティングするにはを参照してください。
- サービス・ゲートウェイのルート表を作成します。
サービス・ゲートウェイのルート表は、DRGを介してFusion Applicationsサービスからのレスポンス・トラフィックをオンプレミス・ネットワークにルーティングします。
ルート表を作成するには、VCNルート表の作成のトピックの手順に従います。次の選択を必ず行います。
- 「ターゲット・タイプ」で、「サービス・ゲートウェイ」を選択します。
- 「宛先」で、「Oracle Services Networkのすべての<region-code>サービス」を選択します。
- ルート表をサービス・ゲートウェイにアタッチします。
詳細は、「ルート表と既存のサービス・ゲートウェイの関連付け」を参照してください。
Fusion Applications環境のネットワーク設定の更新
最後のステップで、VCNからのプライベート・トラフィックを許可するようにFusion Applications環境を更新します。パブリック・インターネットからのアクセスをブロックするには、Fusion Applications環境アクセス制御リストに他のパブリックIPが追加されていないことを確認する必要があります。
さらに、Fusion Applicationsでは、コンテンツ配信ネットワーク(CDN)ベースのキャッシュを使用して、ユーザーにコンテンツを迅速に提供します。キャッシュを回避するには、コンテンツ・アクセラレーションを無効にする必要があります。
アクセス制御ルールを作成して、VCNのみを許可します:
- 環境にナビゲートします: コンソールの「アプリケーション」タブで、「Fusionアプリケーション」をクリックします。「概要」ページで、環境の環境ファミリを検索し、環境名をクリックします。
- 環境の詳細ページの「リソース」で、「ネットワーキング」をクリックします。
- 「ルールの作成」をクリックします。
- 「IP表記法タイプ」で、「Virtual Cloud Network」を選択し、次のフィールドでVCNを選択します。
- 「ルールの作成」をクリックします。
インターネット・キャッシュ(コンテンツ・アクセラレーション)を無効にします。
- 「ネットワーキング」で、「コンテンツ・アクセラレーション」タブをクリックします。
- 「編集」をクリックします。
- インターネットキャッシュスイッチを無効に設定します。
- 「変更の保存」をクリックします。
プライベート・オンプレミス接続によるロケーションベースのアクセス制御(LBAC)
LBACは、ユーザーのロールとコンピュータのIPアドレスに基づいてタスクおよびデータへのユーザー・アクセスを制御するためにFusion Applicationsが提供するもう1つの機能です。
LBACはFusion Applicationsセキュリティ・コンソールで構成されます。事業所ベースのアクセスを有効にしてロールを公開にするには、「ITセキュリティ・マネージャ」ロールが必要です。ロールは、事業所ベースのアクセスが有効になっている場合にのみ公開できます。事業所ベースのアクセスを有効にするには、ユーザーが通常サインインするコンピュータのIPアドレスを登録する必要があります。「ロケーションベースのアクセスの概要」で、LBACの有効化および無効化の詳細および方法を確認できます。
プライベートなオンプレミス接続でLBACを構成するには、プライベートなオンプレミス接続でLBACを有効にするために、Fusion Applicationsカスタマ・サポートに対してサポート・リクエストを開く(SR)も行う必要があります。