DBシステムのセキュリティ・ルール

この記事では、DBシステムで使用するセキュリティ・ルールをリストします。セキュリティ・ルールは、DBシステムのコンピュート・ノードの内外で許可されるトラフィック・タイプを制御します。ルールは2つのセクションに分かれています。

セキュリティ・ルールの詳細は、セキュリティ・ルールを参照してください。これらのルールの様々な実装方法の詳細は、セキュリティ・ルールの実装方法を参照してください。

ノート:

Oracle提供のDBシステム・イメージを実行しているインスタンスには、そのインスタンスへのアクセスを制御するファイアウォール・ルールもあります。インスタンスのセキュリティ・ルールとファイアウォール・ルールの両方が正しく設定されていることを確認します。DB Systemのオープン・ポートも参照してください。

関連項目

基本的な接続に必要な一般ルール

次の各項では、VCN内のホストに不可欠な接続を有効にする、いくつかの一般ルールを示します。

セキュリティ・リストを使用してセキュリティ・ルールを実装する場合、デフォルトで次のルールがデフォルト・セキュリティ・リストに含まれることに注意してください。特定のセキュリティ・ニーズを満たすようにリストを更新または置換してください。Oracle Cloud Infrastructure環境内でネットワーク・トラフィックが適切に機能するには、2つのICMPルール(一般イングレス・ルール2および3)が必要です。VCN内のリソースと通信する必要があるホスト間のトラフィックのみが許可されるように、一般イングレス・ルール1 (SSHルール)と一般エグレス・ルール1を調整します。

デフォルト・セキュリティ・リストの詳細は、セキュリティ・リストを参照してください。

一般イングレス・ルール1: すべての場所からのSSHトラフィックを許可

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • ソース・タイプ: CIDR
  • ソースCIDR: 0.0.0.0/0 (IPv4)、::/0 (IPv6)
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲: 22

ノート:

IPv6 CIDRは、IPv6アドレスを使用してSSHに接続する場合にのみ必要です。

一般イングレス・ルール2: Path MTU Discoveryフラグメンテーション・メッセージを許可

このルールにより、VCN内のホストがPath MTU Discoveryフラグメンテーション・メッセージを受信できるようになります。これらのメッセージにアクセスできないと、VCN内のホストがVCN外のホストと正常に通信できないことがあります。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • ソース・タイプ: CIDR
  • ソースCIDR: 0.0.0.0/0 (IPv4)、::/0 (IPv6)
  • IPプロトコル: ICMP
  • タイプ: 3
  • コード: 4

一般イングレス・ルール3: VCN内の接続エラー・メッセージを許可

このルールにより、VCN内のホストが接続エラー・メッセージを相互に受信できるようになります。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • ソース・タイプ: CIDR
  • ソースCIDR: VCNのCIDR
  • IPプロトコル: ICMP
  • タイプ: すべて
  • コード: すべて

一般エグレス・ルール1: すべてのエグレス・トラフィックを許可

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • 宛先タイプ: CIDR
  • 宛先CIDR: 0.0.0.0/0 (IPv4)、::/0 (IPv6)
  • IPプロトコル: すべて

ノート:

  • IPv6宛先CIDRは、IPv6ネットワークへの送信通信にのみ必要です。
  • 宛先CIDRは制限できます。

カスタム・セキュリティ・ルール

DBシステムが機能するためには、次のルールが必要です。

ノート:

カスタム・イングレス・ルール1および2は、VCN内から開始された接続のみを対象とします。VCNの外部にクライアントが存在する場合、かわりにソースCIDRがクライアントのパブリックIPアドレスに設定された、2つの追加の類似ルールを設定することをお薦めします。

カスタム・イングレス・ルール1: VCN内からのONSおよびFANトラフィックを許可

このルールは推奨ルールであり、Oracle Notification Services (ONS)で高速アプリケーション通知(FAN)イベントに関する通信が可能になります。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • ソース・タイプ: CIDR
  • ソースCIDR: IPv4およびIPv6 VCNのCIDR
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲:6200
  • 説明: ルールの説明(オプション)。

カスタム・イングレス・ルール2: VCN内からのSQL*NETトラフィックを許可

このルールはSQL*NETトラフィックに関するものであり、データベースへのクライアント接続を有効にする必要がある場合にのみ必要です。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • ソース・タイプ: CIDR
  • ソースCIDR: IPv4およびIPv6 VCNのCIDR
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲:1521
  • 説明: ルールの説明(オプション)。

カスタム・エグレス・ルール1: アウトバウンドSSHアクセスを許可

このルールにより、2ノードのDBシステム内のノード間のSSHアクセスが有効になります。これは、基本的な接続に必要な一般ルール(およびデフォルト・セキュリティ・リスト内)の一般エグレス・ルールと重複しています。これはオプションですが、一般ルール(またはデフォルト・セキュリティ・リスト)が誤って変更された場合のために推奨されます。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • 宛先タイプ: CIDR
  • 宛先CIDR: 0.0.0.0/0 (IPv4)、::/0 (IPv6)
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲: 22
  • 説明: ルールの説明(オプション)。

カスタム・エグレス・ルール2: Oracle Services Networkへのアクセスの許可

このルールにより、DBシステムは、Oracleサービス(インターネット・ゲートウェイを使用するパブリック・サブネットの場合)またはすべてのOracleサービスを含むOracle Services Network(サービス・ゲートウェイを使用するプライベート・サブネットの場合)と通信できます。これは、基本的な接続に必要な一般ルール(およびデフォルト・セキュリティ・リスト内)の一般エグレス・ルールと重複しています。これはオプションですが、一般ルール(またはデフォルト・セキュリティ・リスト)が誤って変更された場合のために推奨されます。OCIサービスは、IPv4とのみ通信します。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • 宛先タイプ: サービス
  • 宛先サービス:
    • IPv4パブリック・サブネット(インターネット・ゲートウェイを使用)を使用する場合は、CIDR 0.0.0.0/0を使用します
    • IPv4プライベート・サブネット(サービス・ゲートウェイを使用)を使用する場合は、All <region> Services in Oracle Services NetworkというCIDRラベルを使用します
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲: 443 (HTTPS)
  • 説明: ルールの説明(オプション)。

ネットワーキングの詳細は、ネットワーキングの概要を参照してください。

セキュリティ・ルールの実装方法

ネットワーキング・サービスでは、2つの方法でVCN内にセキュリティ・ルールを実装できます:

セキュリティ・リストとネットワーク・セキュリティ・グループの比較については、セキュリティ・ルールを参照してください。

ネットワーク・セキュリティ・グループの使用

ネットワーク・セキュリティ・グループ(NSG)を使用するように選択した場合、推奨されるプロセスは次のとおりです:

  1. DBシステムにネットワーク・セキュリティ・グループを作成します。そのNSGに次のセキュリティ・ルールを追加します:
    • 基本的な接続に必要な一般ルールにリストされているルール。
    • カスタム・セキュリティ・ルールにリストされているルール。
  2. データベース管理者は、DBシステムを作成するときに、複数のネットワーキング・コンポーネント(使用するVCNおよびサブネットなど)を選択する必要があります。また、使用する1つまたは複数のNSGも選択できます。必ず、ユーザーが作成したNSGを選択する必要があります。

あるいは、一般ルールに対して1つのNSGを作成し、カスタム・ルールに対して別のNSGを作成することもできます。その場合、データベース管理者は、DBシステムに使用するNSGを選択する際に、必ず両方のNSGを選択する必要があります。

セキュリティ・リストの使用

セキュリティ・リストを使用するように選択した場合、推奨されるプロセスは次のとおりです:

  1. 必要なセキュリティ・ルールを使用するようにサブネットを構成します:
    1. サブネット用のカスタム・セキュリティ・リストを作成し、カスタム・セキュリティ・ルールにリストされているルールを追加します。
    2. 次の2つのセキュリティ・リストをサブネットに関連付けます:
      • VCNのデフォルト・セキュリティ・リストおよびそのデフォルト・ルール全部。これにより、自動的にVCNが付属します。
      • サブネット用に作成した新しいカスタム・セキュリティ・リスト
  2. データベース管理者は、後でDBシステムを作成するときに、いくつかのネットワーキング・コンポーネントを選択する必要があります。ユーザーによってすでに作成および構成されたサブネットをネットワーク管理者が選択すると、サブネット内に作成されたコンピュート・ノードにセキュリティ・ルールが自動的に適用されます。

注意:

デフォルト・セキュリティ・リストからデフォルトのエグレス・ルールを削除しないでください。そうする場合は必ず、サブネットのカスタム・セキュリティ・リストに次の置換用のエグレス・ルールを含めてください:
  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • 宛先タイプ: CIDR
  • 宛先CIDR: 0.0.0.0/0
  • IPプロトコル: すべて