セキュリティ・リスト
Compute Cloud@Customerでは、セキュリティ・リストはインスタンスの仮想ファイアウォールとして機能し、内外で許可されるトラフィックのタイプを指定するイングレスおよびエグレス・ルールが含まれます。
各セキュリティ・リストはVNICレベルで実行されます。ただし、セキュリティ・リストをサブネット・レベルで構成すると、特定のサブネット内のすべてのVNICが同じセキュリティ・リスト・セットに従うことになります。
セキュリティ・リストは、特定のVNICに対して、VCN内の別のインスタンスと通信しているか、またはVCN外部のホストと通信しているかに関係なく適用されます。各サブネットには複数のセキュリティ・リストを関連付けることができ、各リストには複数のルールを含めることができます。
各VCNには、デフォルトのセキュリティ・リストがあります。サブネットにカスタム・セキュリティ・リストを指定しない場合、デフォルト・セキュリティ・リストが自動的にそのサブネットで使用されます。デフォルト・セキュリティ・リスト内のルールを追加または削除できます。ステートフル・ルールの初期セットがあり、認可されたサブネットからのインバウンド・トラフィックのみを許可するように変更する必要があります。デフォルトのルールは次のとおりです。
-
ステートフル・イングレス:認可されたソースIPアドレスおよびすべてのソース・ポートからの宛先ポート22 (SSH)に対するTCPトラフィックを許可します。
このルールにより、新しいクラウド・ネットワークおよびパブリック・サブネットを作成し、Linuxインスタンスを作成し、すぐにSSHを使用してそのインスタンスに接続できます。このため、セキュリティ・リスト・ルールを自分で記述する必要はありません。
デフォルト・セキュリティ・リストには、Remote Desktop Protocol (RDP)アクセスを許可するルールは含まれていません。Compute Cloud@Customerイメージを使用している場合は、認可されたソースIPアドレスおよび任意のソース・ポートから、宛先port 3389上のTCPトラフィックのステートフル・イングレス・ルールを追加します。
-
ステートフル・イングレス:認可されたソースIPアドレスからのICMPトラフィック・タイプ3コード4を許可します。
このルールを使用すると、インスタンスでPath MTU Discoveryフラグメンテーション・メッセージを受信できます。
-
ステートフルイングレス: VCN CIDRブロックからのICMPトラフィック・タイプ3 (すべてのコード)を許可します。
このルールにより、インスタンスはVCN内の他のインスタンスから接続エラー・メッセージを受信できます。
-
ステートフル・エグレス:すべてのトラフィックを許可します。
これによって、インスタンスは任意の宛先に対して任意の種類のトラフィックを開始できます。これは、パブリックIPアドレスを持つインスタンスが、VCNに構成済インターネット・ゲートウェイがある場合、すべてのインターネットIPアドレスと通信できることを意味します。また、ステートフル・セキュリティ・ルールでは接続トラッキングが使用されるため、イングレス・ルールに関係なくレスポンス・トラフィックは自動的に許可されます。
セキュリティ・リストの作業の一般的なプロセスは次のとおりです。
-
セキュリティ・リストを作成します。
-
セキュリティ・リストにセキュリティ・ルールを追加します。
-
セキュリティ・リストを1つ以上のサブネットに関連付けます。
-
コンピュート・インスタンスなどのリソースをサブネットに作成します。
セキュリティールールは、そのサブネット内のすべてのVNICに適用されます。
サブネットを作成する場合、少なくとも1つのセキュリティ・リストを関連付ける必要があります。これは、VCNのデフォルト・セキュリティ・リストか、すでに作成した1つ以上の他のセキュリティ・リストのいずれかです。サブネットが使用するセキュリティ・リストはいつでも変更できます。セキュリティ・リスト内のルールを追加または削除できます。セキュリティ・リストにルールが含まれていない可能性があります。
詳細は、セキュリティ・リストを使用したトラフィックの制御を参照してください。