Oracle Cloud Infrastructureドキュメント

ネットワーク・セキュリティ・グループ

Compute Cloud@Customerでは、ネットワーク・セキュリティ・グループ(NSG)は、1つのVCN内のクラウド・リソース・セットに対して、すべて同じセキュリティ体制を持つ仮想ファイアウォールを提供します。たとえば、コンピュート・インスタンスのグループで、すべて同じタスクを実行するため、すべて同じポート・セットを使用する必要がある場合です。

NSGのルールはVNICに対して強制されますが、NSGメンバーシップは親リソースを介して決定されます。すべてのクラウド・サービスがNSGをサポートしているわけではありません。現在、次のタイプの親リソースはNSGの使用をサポートしています:

  • コンピュート・インスタンス:インスタンスを作成する場合、インスタンスのプライマリVNICに1つ以上のNSGを指定できます。インスタンスにセカンダリVNICを追加する場合、そのVNICに1つ以上のNSGを指定できます。既存のVNICのNSGメンバーシップを変更することもできます。

  • ロード・バランサ:ロード・バランサを作成するときに、(バックエンド・セットではなく)ロード・バランサに対して1つ以上のNSJを指定できます。また、既存のロード・バランサを更新して、1つ以上のNSGを使用することもできます。

  • マウント・ターゲット:ファイル・システムのマウント・ターゲットを作成する場合、1つ以上のNSGを指定できます。また、既存のマウント・ターゲットを更新して、1つ以上のNSGを使用できます。

NSGをまだサポートしていないリソース・タイプについては、引き続きセキュリティ・リストを使用して、これらの親リソースとの間のトラフィックを制御します。

ノート

インターネット・ゲートウェイをNSGに関連付けることはできません。

NSGには、次の2つのタイプの要素が含まれます。

  • VNIC: 1つ以上のVNIC。たとえば、すべてのセキュリティ・ポスチャが同じコンピュート・インスタンスのセットにアタッチされたVNIC。すべてのVNICは、NSGが属するVCNに存在する必要があります。VNICは、最大5つのNSGで使用できます。

  • セキュリティ・ルール:グループ内のVNICとの間で許可されるトラフィックのタイプを定義するルール。たとえば、特定のソースからのイングレスTCPポート22 SSHトラフィックなどです。

NSGの一般的な操作手順は次のとおりです。

  1. NSGを作成します。

    NSGを作成すると、最初は空になり、セキュリティ・ルールやVNICは作成されません。NSGの作成後、セキュリティ・ルールを追加または削除して、グループ内のVNICが必要とするイングレスおよびエグレス・トラフィックのタイプを許可できます。

  2. NSGにセキュリティ・ルールを追加します。

  3. NSGに親リソース(特にVNIC)を追加します。

    NSG VNICメンバーシップを管理する場合、これはNSG自体ではなく親リソースの作業の一部として実行します。親リソースを作成する場合、または親リソースを更新して1つ以上のNSGに追加できます。

    コンピュート・インスタンスを作成してNSGに追加すると、インスタンスのプライマリVNICがNSGに追加されます。セカンダリVNICは個別に作成でき、オプションでNSGに追加できます。

セキュリティ・リストと比較して、NSGのREST APIモデルにはいくつかの違いがあります:

  • セキュリティ・リストには、IngressSecurityRuleオブジェクトと個別のEgressSecurityRuleオブジェクトがあります。ネットワーク・セキュリティ・グループには、SecurityRuleオブジェクトのみが存在し、オブジェクトのdirection属性によって、ルールがイングレス・トラフィックかエグレス・トラフィックかが決定されます。

  • セキュリティ・リストを使用する場合、ルールはSecurityListオブジェクトの一部であり、セキュリティ・リスト操作(たとえば: UpdateSecurityList)をコールしてルールを使用します。NSGを使用する場合、ルールはNetworkSecurityGroupオブジェクトの一部ではありません。かわりに、個別の操作を使用して特定のNSGのルールを使用します。たとえば: UpdateNetworkSecurityGroupSecurityRules

  • 既存のセキュリティ・ルールを更新するモデルは、セキュリティ・リストとNSGで異なります。NSGでは、特定のグループ内の各ルールに一意の識別子があります。UpdateNetworkSecurityGroupSecurityRulesをコールするときは、更新する特定のルールのIDを指定します。セキュリティ・リストを使用する場合、ルールに一意の識別子はありません。UpdateSecurityListをコールする場合、コールで更新されないルールも含め、ルールのリスト全体を渡す必要があります。

  • セキュリティ・ルールを追加、削除または更新する操作をコールする場合、ルールは最大25個です。

詳細は、ネットワーク・セキュリティ・グループを使用したトラフィックの制御を参照してください。